// 用于处理深信服 EDR(终端检测与响应)相关任务,通过浏览器(CDP 直连)进行以下任务:终端状态查询、终端概况统计、失陷设备排查、设备运行状态查看等。只要用户提到 深信服 EDR、EDR、sangfor EDR 等需求时,必须先加载本 skill。本 skill 是 EDR 平台操作的唯一决策入口:在未阅读本 skill 前,不要直接使用 browser-use skill。
Create new sub-agents (subagents) by generating YAML config and prompt files in ~/.flocks/plugins/agents/. The created agent can be delegated to by Rex via delegate_task. Use when the user asks to create, add, or generate a new agent.
统一处理浏览器使用任务,支持 CDP 直连/无头模式 使用用户本机 Chromium 系浏览器。Use when the user asks to browse websites, interact with pages, fill forms, capture screenshots, reuse an existing Chrome/Chromium/Edge login session, access internal/login-only pages, handle access-restricted content, when websearch/webfetch are unavailable, or automate browser actions.
用于处理 OneSEC/OneDNS 终端安全平台相关任务,适合通过API或者结合浏览器进行以下任务: 终端安全调查、威胁事件分析、终端告警检索、行为日志排查、IOC 查询、恶意文件分析、DNS 威胁排查、软件与终端资产查询、任务进度查看、审计日志分析、病毒扫描和常见终端处置场景。只要用户提到 OneSEC、微步 EDR等相关操纵需求时,必须先加载本 skill。本 skill 是 OneSEC 平台操作的唯一决策入口:在未阅读本 skill 并完成模式判断前,不要直接调用任何 `onesec_*` tool。
用于处理 OneSIG(安全互联网网关 / Secure Internet Gateway)相关任务,适合通过 API 或者结合浏览器进行以下任务:威胁监控(仪表盘、防护大屏、失陷主机、入站/出站威胁事件、报告管理)、防护策略(全局白/黑名单、多维封锁、IPS、HTTP 黑名单、高危端口防护、API 联动、Syslog 自动封禁、FTP/SFTP 联动)、资产管理、平台管理(告警/审计/用户、HTTPS 解密、网口路由 DNS、HA、OneCC、设备升级与备份、license、MDR、诊断)、登录会话与改密、帮助文档。只要用户提到 OneSIG、SIG、安全互联网网关、微步互联网网关等相关操作时,必须先加载本 skill。本 skill 是 OneSIG 平台操作的唯一决策入口:在未阅读本 skill 并完成模式判断前,不要直接调用任何 `onesig_*` tool。
用于处理青藤云安全平台相关任务,适合通过API或者结合浏览器进行以下任务:主机资产盘点、进程与账号排查、端口和服务查询、网站与数据库资产分析、可疑操作检测、暴力破解分析、异常登录排查、WebShell 与后门调查、蜜罐结果分析、补丁与漏洞风险检查、弱密码排查、基线任务查看、合规检查、授权管理、系统审计和快速风险体检场景。只要用户提到青藤、青藤云安全、青藤主机安全的相关操作时,必须先加载本 skill。本 skill 是 青藤 平台操作的唯一决策入口:在未阅读本 skill 并完成模式判断前,不要直接调用任何 `qingteng_*` tool。
用于处理深信服 XDR(扩展检测与响应)相关任务,适合通过 API 或者结合浏览器进行以下任务:告警查询与处置、事件调查与响应、脆弱性管理、资产盘点、主机隔离、白名单管理、系统运维状态查看、节点健康监控等。只要用户提到 深信服 XDR、XDR、sangfor XDR 等需求时,必须先加载本 skill。本 skill 是 XDR 平台操作的唯一决策入口:在未阅读本 skill 并完成模式判断前,不要直接调用任何 `sangfor_xdr_*` tool 或使用 browser-use skill。
| name | sangfor-edr-use |
| description | 用于处理深信服 EDR(终端检测与响应)相关任务,通过浏览器(CDP 直连)进行以下任务:终端状态查询、终端概况统计、失陷设备排查、设备运行状态查看等。只要用户提到 深信服 EDR、EDR、sangfor EDR 等需求时,必须先加载本 skill。本 skill 是 EDR 平台操作的唯一决策入口:在未阅读本 skill 前,不要直接使用 browser-use skill。 |
⚠️ EDR 没有开放 API,所有操作必须通过浏览器(CDP 直连)完成。
请阅读以下文档获取完整流程:
/ui/#/index):设备 CPU/内存/硬盘使用率、终端概况(在线/离线/服务器/PC)、失陷设备统计| 脚本路径 | 功能 | 必需参数 |
|---|---|---|
references/fetch_edr_system_state.py | 设备状态抓取 | --url {EDR_URL} |
脚本位于 skill 目录的 references/ 下,无硬编码 URL 或敏感信息。
脚本位于 <flocks-plugins-root>/skills/sangfor-edr-use/references/fetch_edr_system_state.py,请按当前平台选择对应命令。
Windows(PowerShell)
powershell -Command "& '<FLOCKS_VENV>\Scripts\python.exe' '<FLOCKS_PLUGINS>\skills\sangfor-edr-use\references\fetch_edr_system_state.py' --url '{EDR_URL}'"
macOS / Linux(bash / zsh)
"<FLOCKS_VENV>/bin/python" "<FLOCKS_PLUGINS>/skills/sangfor-edr-use/references/fetch_edr_system_state.py" --url "{EDR_URL}"
占位符说明
| 占位符 | Windows 典型值 | macOS/Linux 典型值 |
|---|---|---|
<FLOCKS_VENV> | D:\Flocks Project\flocks\.venv | ~/Flocks/flocks/.venv(取决于实际安装位置) |
<FLOCKS_PLUGINS> | %USERPROFILE%\.flocks\plugins | ~/.flocks/plugins |
必须使用 Flocks 虚拟环境(
.venv)执行;系统 Python 可能缺少依赖。如不确定 venv 位置,先执行flocks --version或检查 Flocks 安装目录。
| 坑 | 原因 | 解法 |
|---|---|---|
flocks browser -c js(...) 返回空文本 | daemon session 指向错误的 tab | 用 Python socket 直连 daemon,通过 Runtime.evaluate 在正确 context 执行 |
flocks browser -c new_tab() 后后续命令无响应 | tab 切换导致 session 错位 | 用 switch_tab(targetId) 明确切到 EDR tab |
| 多行代码转义失败 | PowerShell 引号嵌套 | 使用 fetch_edr_system_state.py 脚本,无需手动转义 |
| EDR 页面数据为空 | EDR 内容在跨域 iframe 中 | 用 CDP direct 方式 attach 到 EDR tab,在正确 frame context 执行 JS |
| 失陷设备数量不匹配 | 读取的是"全部"筛选而非"已失陷"筛选 | 需点击"已失陷终端"标签页获取准确数量 |
问题:首页仪表盘显示"已失陷 N 台",但威胁资产分析页面默认只列出部分。
成功路径:
威胁资产分析 → 点击 已失陷终端 标签页(不是默认的"全部")⚠️ 必须避免:直接读取威胁资产分析的默认"全部"筛选结果作为失陷设备清单,这是错误的。
必须使用 Flocks 虚拟环境(.venv)执行 Python 脚本,禁止使用系统 Python。
<FLOCKS_VENV>/bin/python(Unix)或 <FLOCKS_VENV>\Scripts\python.exe(Windows)python script.py / python3 script.py(直接调用 PATH 中的 Python)原因:Flocks 虚拟环境包含了所有项目依赖,系统 Python 可能缺少必要的包。完整跨平台示例见上一节"执行示例"。