بنقرة واحدة
building-patch-tuesday-response-process
建立结构化的运营流程,以基于风险的修复 SLA 对 Microsoft 补丁星期二(Patch Tuesday)安全更新进行分类、测试和部署。
التثبيت باستخدام Codex أو Claude انسخ هذا Prompt والصقه في Codex أو Claude أو مساعد آخر ليراجع صفحة Skill ويثبّتها لك.
القائمة
建立结构化的运营流程,以基于风险的修复 SLA 对 Microsoft 补丁星期二(Patch Tuesday)安全更新进行分类、测试和部署。
التثبيت باستخدام Codex أو Claude انسخ هذا Prompt والصقه في Codex أو Claude أو مساعد آخر ليراجع صفحة Skill ويثبّتها لك.
استنادا إلى تصنيف SOC المهني
通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型,检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于:当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具(iodine、dnscat2、DNSExfiltrator)的威胁情报时使用。
实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。
| name | building-patch-tuesday-response-process |
| description | 建立结构化的运营流程,以基于风险的修复 SLA 对 Microsoft 补丁星期二(Patch Tuesday)安全更新进行分类、测试和部署。 |
| domain | cybersecurity |
| subdomain | vulnerability-management |
| tags | ["patch-management","patch-tuesday","microsoft","wsus","sccm","vulnerability-remediation","windows-update"] |
| version | 1.0 |
| author | mahipal |
| license | Apache-2.0 |
Microsoft 每月第二个星期二("补丁星期二(Patch Tuesday)")发布安全更新,涵盖 Windows、Office、Exchange、SQL Server、Azure 服务和其他产品中的漏洞。2025 年,Microsoft 全年修补了超过 1,129 个漏洞——比 2024 年增加了 11.9%——使结构化的响应流程至关重要。主要风险类型包括权限提升(49%)、远程代码执行(34%)和信息披露(7%)。本技能涵盖从初始公告审查到测试、部署和验证的可重复补丁星期二响应工作流的构建。
| 天数 | 活动 | 负责人 |
|---|---|---|
| T+0(星期二上午 10 点 PT) | Microsoft 发布补丁和公告 | Microsoft |
| T+0(星期二下午) | 安全团队审查公告并分类 | 安全运营 |
| T+1(星期三) | Qualys/供应商扫描特征更新 | 漏洞管理平台 |
| T+1 至 T+2 | 为零日漏洞部署紧急补丁 | IT 运营 |
| T+2 至 T+5 | 在暂存环境中测试补丁 | QA/IT 运营 |
| T+5 至 T+7 | 部署到试点组(5-10% 的设备) | IT 运营 |
| T+7 至 T+14 | 部署到生产环 Ring 1(服务器) | IT 运营 |
| T+14 至 T+21 | 部署到生产环 Ring 2(工作站) | IT 运营 |
| T+21 至 T+30 | 验证扫描和合规报告 | 安全运营 |
| 类别 | 标准 | 响应 SLA |
|---|---|---|
| 零日/已利用 | 已确认主动利用,CISA KEV 已列出 | 24-48 小时 |
| 严重 RCE | CVSS >= 9.0,远程代码执行,无需身份验证 | 3-5 天 |
| 有利用的严重 | 公开漏洞利用代码或 EPSS > 0.7 | 7 天 |
| 高严重性 | CVSS 7.0-8.9,权限提升 | 14 天 |
| 中等严重性 | CVSS 4.0-6.9 | 30 天 |
| 低/信息性 | CVSS < 4.0,纵深防御 | 下一个维护窗口 |
| 类别 | 产品 | 风险级别 |
|---|---|---|
| Windows 操作系统 | Windows 10、11、Server 2016-2025 | 严重 |
| Exchange Server | Exchange 2016、2019、Online | 严重 |
| SQL Server | SQL 2016-2022 | 高 |
| Office 套件 | Microsoft 365、Office 2019-2024 | 高 |
| .NET 框架 | .NET 4.x、.NET 6-9 | 中等 |
| Azure 服务 | Azure AD、Entra ID、Azure Stack | 高 |
| Edge/浏览器 | Edge Chromium、IE 模式 | 中等 |
| 开发工具 | Visual Studio、VS Code | 低 |
准备检查表:
[ ] 确认 WSUS/SCCM 同步计划处于活动状态
[ ] 验证测试环境可用且为最新状态
[ ] 审查上个月的未完成补丁
[ ] 确认监控仪表盘正常运行
[ ] 预先准备通信模板
[ ] 确保回滚程序已有文档记录
[ ] 验证关键服务器的备份作业已成功运行
分类流程:
1. 监控 MSRC 更新指南(https://msrc.microsoft.com/update-guide)
2. 查看 Microsoft 安全博客中的公告摘要
3. 与同日的 CISA KEV 新增内容交叉参考
4. 检查供应商公告(Qualys、Rapid7、CrowdStrike 分析)
5. 识别零日和主动利用的漏洞
6. 按严重性和适用性对每个 CVE 进行分类
7. 确定每个补丁的部署环和时间线
8. 为零日补丁提交紧急变更请求
9. 将分类结果通报给 IT 运营和管理层
# 补丁星期二后扫描工作流
def run_patch_tuesday_scan(scanner_api, target_groups):
"""补丁星期二更新后触发漏洞扫描。"""
for group in target_groups:
print(f"[*] 正在扫描 {group['name']}...")
scan_id = scanner_api.launch_scan(
target=group["targets"],
template="patch-tuesday-focused",
credentials=group["creds"]
)
print(f" 扫描已启动:{scan_id}")
# 等待扫描完成,然后生成报告
results = scanner_api.get_scan_results(scan_id)
missing_patches = [r for r in results if r["status"] == "missing"]
# 按补丁星期二发布分类
current_month = [p for p in missing_patches
if p["vendor_advisory_date"] >= patch_tuesday_date]
return {
"total_missing": len(missing_patches),
"current_month": len(current_month),
"zero_day": [p for p in current_month if p.get("actively_exploited")],
"critical": [p for p in current_month if p["cvss"] >= 9.0],
}
Ring 0 - 紧急(0-48 小时):
范围: 仅零日和主动利用的 CVE
方式: 手动或定向推送(SCCM 加速)
目标: 面向互联网的服务器、关键基础设施
审批: 紧急变更,CISO 口头批准
回滚: 如果出现服务降级,立即回滚
Ring 1 - 试点(第 2-7 天):
范围: 所有严重和高级别补丁
方式: WSUS/SCCM 自动部署
目标: IT 部门机器,测试组(5-10%)
审批: 标准变更,CAB 通知
监控: 48 小时浸泡期,检查蓝屏、应用崩溃
Ring 2 - 生产服务器(第 7-14 天):
范围: 所有安全补丁
方式: SCCM 维护窗口(非工作时间)
目标: 按层级划分的生产服务器
审批: 标准变更,CAB 批准
监控: 应用健康检查,性能基线
Ring 3 - 工作站(第 14-21 天):
范围: 所有安全补丁 + 质量更新
方式: Windows Update for Business / Intune
目标: 所有托管工作站
审批: 预批准标准变更
监控: 监控服务台工单中的问题
Ring 4 - 落后(第 21-30 天):
范围: 捕获剩余未打补丁的系统
方式: 强制部署并重启
目标: 错过之前环的系统
审批: 合规驱动的强制执行
部署后验证:
1. 使用更新的漏洞特征重新扫描环境
2. 比较补丁前和补丁后的扫描结果
3. 按环和部门计算补丁合规率
4. 识别失败的补丁并调查根本原因
5. 生成供管理层审查的合规报告
6. 用剩余未打补丁的漏洞更新风险登记册
7. 记录例外情况和补偿性控制