Builds structured SOC escalation matrix defining P1-P4 severity levels, response SLAs, tiered analyst paths, auto-triggers, and notification templates for security incidents.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
安全运营中心(Security Operations Center,SOC)升级矩阵(escalation matrix)定义了安全事件如何根据严重性、影响和响应需求在组织内流转。现代 SOC 采用基于业务风险、资产关键性和数据敏感性相结合的上下文驱动升级模式,而非纯粹依赖严重性等级的模型。使用 AI 和自动化的 SOC 组织将检测与遏制的生命周期缩短至约 161 天,比行业平均水平 241 天提高了 80 天。
Builds structured SOC escalation matrix with severity tiers, response SLAs, escalation paths, and notification procedures for security incidents.
Builds structured SOC escalation matrix defining severity tiers, response SLAs, escalation paths, and notification procedures for security incidents. Useful for SOC operations setup.
Triages security incidents using NIST SP 800-61r3 and SANS PICERL: classifies types, assesses severity by business impact and asset criticality, determines response actions, and routes to teams. For SOC alert prioritization and initial analysis.
Share bugs, ideas, or general feedback.
安全运营中心(Security Operations Center,SOC)升级矩阵(escalation matrix)定义了安全事件如何根据严重性、影响和响应需求在组织内流转。现代 SOC 采用基于业务风险、资产关键性和数据敏感性相结合的上下文驱动升级模式,而非纯粹依赖严重性等级的模型。使用 AI 和自动化的 SOC 组织将检测与遏制的生命周期缩短至约 161 天,比行业平均水平 241 天提高了 80 天。
| 属性 | 值 |
|---|---|
| 影响 | 主动数据泄露、勒索软件扩散、关键系统被攻陷 |
| 业务影响 | 收入损失、监管风险敞口、客户数据面临威胁 |
| 初始响应 | 15 分钟 |
| 升级至二级 | 立即升级 |
| 升级至管理层 | 30 分钟 |
| 解决目标 | 4 小时 |
| 通报频率 | 每 30 分钟向相关方通报 |
| 示例 | 活跃勒索软件、已确认数据外泄(Exfiltration)、域管理员账号被攻陷 |
| 属性 | 值 |
|---|---|
| 影响 | 已确认的受限范围入侵,无活跃数据外泄 |
| 业务影响 | 潜在收入影响,风险可控 |
| 初始响应 | 30 分钟 |
| 升级至二级 | 30 分钟内未解决则升级 |
| 升级至管理层 | 2 小时 |
| 解决目标 | 8 小时 |
| 通报频率 | 每 2 小时向 SOC 管理层通报 |
| 示例 | 用户账号被攻陷、单端点恶意软件、内部威胁指标 |
| 属性 | 值 |
|---|---|
| 影响 | 需要调查的可疑活动 |
| 业务影响 | 即时风险较低 |
| 初始响应 | 4 小时 |
| 升级至二级 | 8 小时内未解决则升级 |
| 解决目标 | 24 小时 |
| 通报频率 | 每日状态更新 |
| 示例 | 策略违规、暴力破解(Brute Force)失败、可疑邮件报告 |
| 属性 | 值 |
|---|---|
| 影响 | 信息性告警、例行安全事件 |
| 业务影响 | 最小化 |
| 初始响应 | 8 小时 |
| 升级 | 仅在出现规律性模式时升级 |
| 解决目标 | 72 小时 |
| 通报频率 | 每周汇总 |
| 示例 | 漏洞扫描结果、过期证书、策略例外 |
资产关键性
低 中 高 关键
严重性 低 P4 P4 P3 P3
中 P4 P3 P2 P2
高 P3 P2 P2 P1
关键 P2 P1 P1 P1
| 触发条件 | 动作 |
|---|---|
| 任意端点检测到勒索软件 | P1 - 立即升级至三级 + 管理层 |
| 域管理员账号被攻陷 | P1 - 立即升级至三级 + 管理层 |
| 主动向外部 IP 数据外泄 | P1 - 立即升级至三级 + 管理层 |
| 关键基础设施(域控制器、SCADA)告警 | P1 - 至少立即升级至二级 |
| 高管账号异常 | P2 - 立即升级至二级 |
| 多台主机感染相同恶意软件 | P1 - 立即升级至二级 |
| 条件 | 动作 |
|---|---|
| P2 超过 4 小时未解决 | 升级至三级 |
| P3 超过 12 小时未解决 | 升级至二级 |
| 任何事件超过 SLA 未解决 | 升级至 SOC 经理 |
| P1 超过 2 小时未解决 | 升级至 CISO |
主题:[P1 关键] 安全事件 - {Incident_ID}
事件摘要:
- 类型:{incident_type}
- 受影响系统:{systems}
- 受影响用户:{users}
- 当前状态:{status}
- 负责人:{analyst}
影响评估:
- 业务影响:{impact}
- 数据风险:{data_risk}
- 遏制状态:{containment}
下一步行动:
- {action_1}
- {action_2}
下次更新:{time}(每 30 分钟间隔)
会议桥接:{conference_details}
# XSOAR 升级剧本触发规则
trigger:
condition: incident.severity == "critical" AND incident.asset_criticality == "high"
action:
- assign_tier: 3
- notify: [soc_manager, ciso]
- create_war_room: true
- start_bridge: true
- set_sla: 4h
auto_escalation_rules:
- name: P2 Time-Based Escalation
condition: incident.severity == "high" AND incident.age > 4h AND incident.status != "resolved"
action:
- escalate_tier: 3
- notify: soc_manager
- add_comment: "Auto-escalated due to SLA breach"