← 返回 Skills 市场

cyber-events-log-abstract

Name: cyber-events-log-abstract
Author: haoweijie

作者 brother. Jing · GitHub ↗ · v1.0.0 · MIT-0

win32linux ⚠ suspicious

258

总下载

当前安装

版本数

在 OpenClaw 中安装

/install cyber-events-log-abstract

功能描述

专门生成安全事件关键信息摘要报告，提取安全事件关键信息并生成简洁的安全事件报告摘要。

使用说明 (SKILL.md)

安全事件关键信息摘要生成器

这个skill专门用于生成安全事件关键信息摘要报告，提取安全事件关键信息并生成简洁的安全事件报告摘要。

功能概述

拉取XDR安全事件聚合统计
生成安全事件关键信息摘要报告
支持自定义时间范围查询

运行入口（给用户/cron调用）

直接运行命令

在聊天中直接调用：

/cyber-events-log-abstract run

或带参数：

/cyber-events-log-abstract run --days 7

手动执行脚本

如果需要手动运行，直接执行：

py -3 "{baseDir}\run_abstract.py"

或

python "{baseDir}\run_abstract.py"

定时任务 (Cron)

建议用 cron 表达式每小时触发一次：

0 * * * *（每小时）

1. 拉取XDR安全事件聚合统计（必须先执行）

脚本位置（已给定）

{baseDir}\security_report.py

执行方式（Windows）

优先使用 py，没有则用 python：

py -3 "{baseDir}\security_report.py" 或
python "{baseDir}\security_report.py"

期望输出（强约定）

脚本应在 stdout 输出 可解析的 JSON（允许前后有日志行，但必须能提取出一个完整 JSON 块），内容表示"统计周期内的安全事件聚合结果"，而不是单条事件。如果当前脚本输出不是 JSON，请按以下策略处理：

优先从输出中截取最后一段 JSON
截取失败则判定"数据不可用"，仅输出错误信息与建议，不进入处置环节

字段归一化（在你脑内做映射）

无论接口字段叫什么，都要归一化为以下语义字段（缺字段则置空）：

eventName：事件名称/类型
eventCount 或 counts：该类事件在周期内发生总次数（总量分析必须基于求和）
riskLevel：风险等级（严重/高/中/低或 1-4/1-5）
timeRange：统计时间范围（start/end 或 firstSeen/lastSeen）
sourceIp：主要攻击来源IP（若为TopN列表，保留Top3）
destIp：主要受害资产IP（若为TopN列表，保留Top3）
objectType：对象类型（主机/服务器/网络设备/业务系统等）

2. 生成安全事件摘要报告（严格按模板输出，不得输出JSON）

将第1步得到的"安全事件聚合统计结果"作为输入数据，生成一份简洁的安全事件摘要报告。

报告固定模板（必须逐字遵守结构与要求）

【统一安全事件摘要报告生成任务】你是一名资深网络安全运营分析专家。输入数据为安全事件的聚合统计结果，每条记录代表某类事件在统计周期内的汇总信息，而不是单条事件。注意： 1. counts / eventCount 表示事件在周期内的总发生次数 2. 事件总数量必须基于 eventCount 的求和结果进行分析 3. 不得将记录条数当作事件总数请基于输入数据生成一份简洁的安全事件摘要报告，包含以下内容：

1. 事件趋势分析

发生事件总数量为{{event_totals}} {{trend_data}}

2. 风险峰值时间

事件数量的峰值时间点
如果事件量分布均匀，无峰值，则说明情况

3. 主要攻击来源（IP / 国家 / 资产 / 分类）

Top 5：{{trend_top5_ips}}
如果来源信息缺失，则基于已有字段（如资产、类别）推断可能来源类型

4.主要受害者（IP / 国家 / 资产 / 分类）

Top 3：{{victim_top3_ips}}

4. 总体安全态势判断

根据趋势、峰值、来源信息综合判断整体威胁水平（如：持续上升、阶段性高峰、低风险平稳态势）。重点关注事件
- 找出 持续时间最长的事件，描述其名称、时间范围、持续天数、对象类型及 IP
- 找出 风险等级最高的事件，描述其名称、时间范围、风险等级、对象类型及 IP
  2.示例表格格式：输出top5_events | 时间范围 | 持续天数 | 对象类型 | IP | 事件名称 | 风险等级 | 事件结果 | 事件次数 | 输出top3潜伏攻击ip {{node6.long_cycle_top_attackers}} | IP | 潜伏时间范围 | 潜伏天数 | 对象类型 | 代表事件 | 最高风险等级 | 累计事件次数 | |----|------|------|-------|------|--------|-------|要为每条事件输出以下三部分内容（按 rank 顺序）：

【事件概览】
- 事件类型（subCategory）
- 事件规模（eventCount）
- 对象类型（focusObjectCN）
- top3 IP（top3Ips）
【核心风险】
- 若存在 criticalDangerPoint 或 coreRisks，用一句话总结核心风险。
- 若不存在，则根据 subCategory 给一句最基础的风险描述（不要深入推断）。
【处置建议】
- 若 attackDisposalSuggestionList 不为空：按 step 顺序压缩整理（只保留一句话描述）。
- 若为空：统一给一句通用建议名规范，方便后续其他skills调用）。

可选参数（若用户在命令里给了就生效）

--days \x3Cint>：统计周期天数（默认 1，即当天）
--output-file \x3Cpath>：输出报告文件路径（默认在临时目录）

若参数解析不可靠：以"默认值 + 用户自然语言意图"为准，但不得突破安全护栏。

安全使用建议

This skill appears to implement the advertised report-generation workflow, but the bundled security_report.py contains a hardcoded internal API URL (10.50.86.28) and an embedded API_KEY constant, and disables SSL verification. Before installing or running it: 1) Confirm the API endpoint and API key belong to you/your organization — do not use credentials that you did not provision. 2) Prefer passing credentials via environment variables or secure config rather than leaving them hardcoded; ask the author to replace API_KEY/URL with configurable env vars. 3) Review the full security_report.py (the package shown here was truncated in the manifest) to ensure there are no additional hidden endpoints or exfiltration logic. 4) Run the skill in an isolated environment or with restricted network access if you must test it. 5) If the endpoint is externally owned or unknown, do not run the script — rotating any exposed key is advisable. These issues make the skill suspicious even though its functional goal (summarizing XDR aggregates) is reasonable.

功能分析

Type: OpenClaw Skill Name: cyber-events-log-abstract Version: 1.0.0 The skill is designed to aggregate and summarize security event logs from an internal XDR system (10.50.86.28). It is classified as suspicious due to high-risk coding practices: `security_report.py` contains a hardcoded API key, and `run_abstract.py` utilizes `subprocess.run(shell=True)` to execute sub-scripts. While these appear to be functional vulnerabilities rather than intentional malice, the presence of hardcoded credentials and risky execution patterns in a security-oriented tool warrants caution.

能力评估

ℹ Purpose & Capability

The skill's name/description (generate security event summaries) matches the included scripts which fetch event aggregates and produce reports. However, the code embeds an explicit API_URL (https://10.50.86.28/...) and an API_KEY constant — network credentials and a specific internal endpoint which are not mentioned in the SKILL.md or in required env vars. Requiring access to an XDR API is plausible for this purpose, but such credentials should be declared as required configuration (env vars) rather than hardcoded.

⚠ Instruction Scope

SKILL.md instructs the agent to run security_report.py to pull aggregated XDR data before generating the report. The instructions do not disclose the network endpoint or credential usage, nor do they warn about contacting an internal IP. The runtime behavior (HTTP GET to an internal API, saving raw JSON and writing report files to the user's home workspace) is outside what the user is explicitly told and could expose sensitive internal data to files on disk.

✓ Install Mechanism

No install spec — instruction-and-script only. That minimizes install-time risk (nothing is downloaded at install). The runtime requirement of a local Python interpreter is coherent with the provided .py scripts.

⚠ Credentials

The package requests no environment variables but hardcodes an API endpoint and an API_KEY in security_report.py. Hardcoded credentials are a red flag: they are sensitive, not declared in the manifest, and cannot be rotated or scoped by the installing user. The code also disables SSL verification (verify=False) and suppresses InsecureRequestWarning — weakening transport security for API calls.

ℹ Persistence & Privilege

always:false and user-invocable:true (normal). The skill writes raw data and generated reports into ~/.openclaw workspace directories; this is plausible for its purpose but users should be aware it creates files in their home directory. It does not request elevated system privileges or modify other skills' configuration.

如何使用

确保已安装 OpenClaw（本地或 Docker 部署）
在对话框中输入安装命令：/install cyber-events-log-abstract
安装完成后，直接呼叫该 Skill 的名称或使用 /cyber-events-log-abstract 触发
根据 Skill 的参数说明提供必要输入，即可获得结构化输出

版本历史

v1.0.0

- 首次发布，提供安全事件关键信息摘要报告自动生成能力 - 支持拉取XDR安全事件聚合统计，并汇总整理为模板化报告 - 可按用户自定义时间范围查询安全事件数据 - 报告重点涵盖事件趋势、风险峰值、主要攻击来源与受害者、整体安全态势等核心指标 - 提供命令行与定时任务两种运行方式

元数据

Slug cyber-events-log-abstract

版本 1.0.0

许可证 MIT-0

累计安装 0

当前安装数 0

历史版本数 1

常见问题