名称： Security Joes AI 分析师
描述： 端点安全运维检查：EDR、Sysmon、更新、心跳时EVTX、最小权限、网络可见性、凭据保护（Kerberos/NTLM/哈希传递）、设备清单与已知漏洞、每周评估、技能完整性（唤醒时哈希、版本感知）。适用于实施或审查主机安全态势、心跳逻辑、EDR/Sysmon/EVTX、权限、网络暴露、凭据加固、漏洞评估、每周安全运维审查或技能完整性检查。
版本： 1.0.0
作者： Security Joes
authorUrl: https://www.securityjoes.com
主页： https://www.securityjoes.com
许可证： MIT
元数据：
openclaw:
emoji: "🔒"
category: "security"
标签：
- security
- secops
- clawhub
- edr
- sysmon
- evtx

Security Joes AI 分析师

您负责指导并实施端点的安全运维检查。重点包括：EDR、Sysmon、系统更新、心跳时EVTX、最小权限、网络可见性、凭据保护（Kerberos/NTLM/哈希传递）、设备清单与已知漏洞以及每周评估。主要针对Windows系统；酌情使用PowerShell/WMI/注册表和EVTX。

职责范围

1. EDR传感器 – 检测至少一个EDR（Defender、CrowdStrike等）。报告其存在/缺失及基本运行状况。
2. Sysmon – 确认Sysmon已安装并正在记录日志；识别日志位置（通常为EVTX）。
3. 系统更新状态 – 检查操作系统/内部版本和补丁级别；若超出策略（例如超过30天）则报告为陈旧。
4. 心跳与EVTX – 在心跳时，查询安全/Sysmon/Defender的EVTX日志以获取近期告警；附加摘要或触发告警。
5. 最小权限 – 检查设备/用户是否以最小权限运行（非管理员，UAC/令牌提升符合预期）。
6. 网络可见性 – 设备可见的其他网络/接口（接口、ARP、WiFi、域信任、网络视图/会话）。
7. 凭据保护（网络层面） – Kerberos/NTLM加固和哈希传递抵御（SMB签名、LDAP签名、NTLM限制、凭据防护）。
8. 设备详情与已知漏洞 – 清点操作系统、补丁、已安装软件；关联已知CVE或漏洞数据进行评估。
9. 每周评估 – 每周运行完整的安全运维检查清单；生成评估报告并可选地作为事件发出。
10. 技能完整性 – 首次唤醒时，哈希计算此技能及其他已知技能；存储哈希值。每次唤醒时重新计算并比较；利用版本变更区分升级与潜在篡改，并对意外变更发出告警。

适用场景

• 用户询问主机安全态势、端点健康状况、“此机器是否安全？”或每周安全运维审查。
• 实施或扩展收集器/心跳逻辑时。
• 用户提及EDR、Sysmon、EVTX、最小权限、网络暴露、Kerberos、哈希传递、凭据保护、漏洞、每周评估或技能完整性/篡改检查。
• 审查或设计仪表板中“健康端点”的含义时。

1. EDR传感器检查

Microsoft Defender

• 服务：WinDefend (Get-Service WinDefend)。
• 可选：Get-MpComputerStatus（或 MpCmdRun.exe -GetStatus）用于检查签名版本和实时保护状态。
• 注册表（如需）：HKLM\SOFTWARE\Microsoft\Windows Defender 及相关产品状态键。

CrowdStrike Falcon

• 服务：CsAgent (Get-Service CsAgent -ErrorAction SilentlyContinue)。
• 注册表：HKLM\SYSTEM\CurrentControlSet\Services\CsAgent 或 HKLM\SOFTWARE\CrowdStrike 下的Falcon特定键。

其他（SentinelOne、Carbon Black等）

• 首选服务名 + 可选的注册表/进程检查。记录环境中哪个EDR是“主要”的。

输出

• 至少包含：edr_present: true|false、edr_name: "Defender"|"CrowdStrike"|...，可选的 edr_healthy: true|false（例如服务运行、实时保护开启）。

2. Sysmon

• 服务：Sysmon64 或 Sysmon (Get-Service Sysmon64, Sysmon -ErrorAction SilentlyContinue)。
• 日志：通常为EVTX – C:\Windows\System32\winevt\Logs\ 下的 Microsoft-Windows-Sysmon%4Operational（路径：...\Microsoft-Windows-Sysmon%4Operational.evtx）。
• 配置：可选 – 检查Sysmon配置（例如 Sysmon64 -s 或已知配置路径）以确认日志记录范围。

输出

• sysmon_installed: true|false、sysmon_log_path: "..."（如果可用），可选的 sysmon_service_running: true|false。

3. 系统更新状态

• 快速检查：Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 1 获取最后补丁日期；或 (Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion").CurrentBuild（以及可选的UBR）获取内部版本。
• 严格检查：Windows更新状态 – 例如使用WMI Win32_QuickFixEngineering 或COM Microsoft.Update.Session 查看最后安装时间/待重启状态。
• 策略：定义“陈旧”（例如超过30天未打补丁或内部版本落后于当前分支）并报告 up_to_date: true|false 以及可选的 last_patch_date 或 build。

4. 心跳与EVTX告警

在心跳时（或安排与心跳时间一致的计划检查）：

1. 选择EVTX日志

   • 安全：C:\Windows\System32\winevt\Logs\Security.evtx
   • Sysmon：Microsoft-Windows-Sysmon%4Operational.evtx
   • Microsoft-Windows-Windows Defender/Operational（Defender告警）
   • 可选：应用程序、系统日志用于上下文。

2. 查找内容

   • 安全：登录失败（例如4625）、敏感权限使用（4672、4688）、账户锁定等。
   • Sysmon：在临时目录创建可执行文件、可疑父子进程等（事件ID取决于配置）。
   • Defender：检测事件（例如1116、1117）、威胁（1006、1015）。
   • 建议使用时间范围查询（例如自上次心跳以来的最近N分钟或最近24小时）以避免过载。

3. 实现选项

   • PowerShell：Get-WinEvent -FilterHashtable @{ LogName='Security'; StartTime=$since }（对Sysmon/Defender类似）。
   • 或使用小型脚本/工具读取EVTX并输出紧凑的JSON（事件ID、时间、计数），供收集器作为 details 发出或触发告警。

4. 发出

   • 附加到心跳的 details（例如 evtx_alert_count、evtx_summary[]），或在超出阈值时（例如 > N 次失败，或任何Defender检测）触发告警事件。

5. 最小权限

检查设备/用户是否以最小权限运行（未过度授权）。

• 当前用户提升状态：whoami /groups 查看组成员身份；通过 (Get-Process -Id $PID).StartInfo.Verb 或 WMI/CIM 查看令牌提升类型。对于提升：检查进程令牌是否具有提升（例如 [System.Security.Principal.WindowsIdentity]::GetCurrent().Groups 并查找 S-1-16-12288 = 高强制级别）。
• 管理员成员身份：net localgroup Administrators（或 Get-LocalGroupMember -Group Administrators）– 报告当前用户或常见服务账户是否在管理员组中。
• UAC：注册表 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 1（UAC开启）。可选：ConsentPromptBehaviorAdmin、PromptOnSecureDesktop。
• 特权会话：可选 – 检查RDP/管理员登录（安全EVTX 4624，登录类型10）以及是否预期有交互式管理员。

输出

• least_privilege: true|false、current_user_elevated: true|false、in_local_admins: true|false，可选的 uac_enabled: true|false。

6. 网络可见性（设备可见的网络）

评估设备可见的网络和邻居（暴露面和横向移动面）。

• 接口：Get-NetAdapter、Get-NetIPAddress – 列出适配器、IP、网关。可选：Get-NetRoute。
• ARP表：Get-NetNeighbor 或 arp -a – 设备最近与其他哪些主机通信过（L2/L3邻居）。
• WiFi：netsh wlan show networks 或 Get-NetAdapter | Where-Object {$_.InterfaceDescription -match 'Wi-Fi'} 加上WLAN配置文件 – 设备可见或已配置的SSID。
• 域/信任：systeminfo、nltest /domain_trusts（或如果安装了RSAT则使用 Get-ADDomainTrust）– 域成员身份和信任关系。
• 网络视图/会话：net view（浏览的共享）、net session（谁连接到此计算机）– 可选；可能需要管理员权限。用于查看“此设备能看到谁”以及“谁在使用此设备”。

输出

• interfaces[]（名称、IP、网关）、arp_count 或 neighbors_count，可选的 wifi_ssids[]、domain_member: true|false、domain_name、trusts[]，可选的 net_view_count / net_session_count。

7. 凭据保护（网络层面 – Kerberos、NTLM、哈希传递）

检查网络层面的凭据加固，以抵御Kerberos/NTLM滥用和哈希传递攻击。

• SMB签名：Get-SmbClientConfiguration (RequireSecuritySignature) 和 Get-SmbServerConfiguration (RequireSecuritySignature, EnableSecuritySignature)。尽可能在服务器和客户端上要求签名，以缓解NTLM中继攻击。
• LDAP签名/通道绑定：域控制器 – LDAP签名（例如 HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity）、LDAP通道绑定。客户端：检查环境是否强制要求签名LDAP。
• NTLM限制：HKLM\SYSTEM\CurrentControlSet\Control\Lsa：LmCompatibilityLevel（例如5+以避免NTLMv1）、RestrictNTLMInDomain / RestrictNTLMOutbound（如果可用）。NTLM审核或阻止策略（RestrictNTLMInDomain = 1, 2, 3）。
• 凭据防护/LSA保护：Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard 或注册表 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags – 凭据防护（1）和/或LSA作为受保护进程轻量级运行，以保护内存中的哈希。
• 哈希传递：上述缓解措施（凭据防护、LSA保护、NTLM限制）可减少哈希传递攻击；将“凭据保护”作为摘要报告（例如凭据防护开启、SMB签名要求、NTLM受限）。

输出

• smb_signing_required_client: true|false、smb_signing_required_server: true|false，可选的 ldap_signing、lm_compat_level、credential_guard: true|false、lsa_protected: true|false、credential_protection_summary: "strong|partial|weak"。

8. 设备详情与已知漏洞

清点设备并与已知漏洞关联进行评估。

• 操作系统与内部版本：Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" – ProductName、CurrentBuild、UBR、DisplayVersion。可选：Get-ComputerInfo。
• 补丁：Get-HotFix 或 WMI Win32_QuickFixEngineering – 列出KB号和InstalledOn日期。用于“最后补丁日期”以及与CVE数据交叉引用。
• 已安装软件：Get-ItemProperty HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*、HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* – DisplayName、DisplayVersion、Publisher。避免使用 Get-WmiObject Win32_Product（速度慢且会触发重新配置）。用于易受攻击软件清单。
• 已知漏洞：将操作系统内部版本和已安装产品版本与漏洞源（例如NVD、OSV、供应商公告或内部漏洞数据库）交叉引用。检查：操作系统生命周期终止、已知CVE的未修补KB、过时的浏览器/RDP/OpenSSL等。报告“已知漏洞”的数量或列表（CVE ID和严重性），除非必要，否则不转储完整的CPE。

输出

• os_name、os_build、last_patch_date、hotfix_count，可选的 installed_products[]（名称、版本）、known_vuln_count，可选的 known_vulns[]（cve_id、严重性、产品）。

9. 每周评估

执行每周安全运维评估：运行完整检查清单并生成报告（可选地发出事件）。

检查清单（每周运行）

• [ ] EDR传感器存在且健康（第1节）
• [ ] Sysmon已安装并记录日志（第2节）
• [ ] 系统更新至最新（第3节）
• [ ] EVTX：近期告警摘要（第4节）
• [ ] 最小权限（第5节）
• [ ] 网络可见性：接口、邻居、域/信任（第6节）
• [ ] 凭据保护：SMB/LDAP/NTLM/凭据防护（第7节）
• [ ] 设备清单与已知漏洞（第8节）
• [ ] 技能完整性：哈希匹配或版本已更新（第10节）

工作流程

1. 运行所有检查（或调用聚合这些检查的脚本）。
2. 使用主机安全态势报告模板（见下文）生成每周评估报告，扩展网络、凭据和漏洞部分。
3. 可选地发出一个专用事件：type: 'weekly_assessment'（或 config_change 附带 details.assessment = true），包含摘要和聚合结果的 details（计数、布尔值、无PII）。仪表板或规则可以展示“上次每周评估”和失败项。

计划

• 每周触发（例如cron/任务计划程序或收集器作业每7天运行一次）。存储上次运行时间以避免同一周内重复运行。

10. 技能完整性（唤醒时哈希、版本感知）

在首次唤醒时（当此技能首次应用或没有存储的哈希值时），哈希计算此技能及所有其他已知技能；存储哈希值。在每次唤醒时，重新计算哈希并与存储的哈希值比较。利用技能前言中的版本来区分升级（有意的版本变更）和潜在篡改（哈希值改变但版本未变或缺失）。

范围

• 哈希计算对象：.cursor/skills/（项目）或 ~/.cursor/skills/（个人）下的每个已知技能目录。每个技能：SKILL.md（必需），以及可选的 reference.md、examples.md（如果存在）。除非明确包含，否则不哈希 scripts/ 目录内容；首选 SKILL.md + 可选的 reference/examples 作为稳定基线。
• 算法：文件内容的SHA-256（一致使用UTF-8或原始字节）。如果技能可能在不同操作系统上编辑，则在哈希计算前规范化行尾（例如LF）。

存储

• 路径：项目范围：.cursor/skills/.skill-integrity.json。个人范围：~/.cursor/skills/.skill-integrity.json（或一个同时列出项目和个人路径的文件）。如果 .skill-integrity.json 包含机器特定或敏感元数据，则不要提交到版本控制；添加到 .gitignore 或仅保留在本地。
• 格式（按技能，以技能名称或相对路径为键）：

{
  "skills": {
    "security-joes-ai-analyst": {
      "version": "1.0",
      "fileHashes": {
        "SKILL.md": "sha256hex...",
        "reference.md": "sha256hex..."
      },
      "lastChecked": "ISO8601"
    }
  },
  "firstRun": "ISO8601"
}

首次唤醒

1. 枚举所有技能目录（项目 .cursor/skills/*，可选个人 ~/.cursor/skills/*）。
2. 对于每个技能：从SKILL.md前言读取 version（如果存在）。计算SKILL.md以及任何reference.md/examples.md的SHA-256。
3. 写入 `.skill-integrity.json