building-patch-tuesday-response-process
建立结构化的运营流程,以基于风险的修复 SLA 对 Microsoft 补丁星期二(Patch Tuesday)安全更新进行分类、测试和部署。
Best use case
building-patch-tuesday-response-process is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
建立结构化的运营流程,以基于风险的修复 SLA 对 Microsoft 补丁星期二(Patch Tuesday)安全更新进行分类、测试和部署。
Teams using building-patch-tuesday-response-process should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/building-patch-tuesday-response-process/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How building-patch-tuesday-response-process Compares
| Feature / Agent | building-patch-tuesday-response-process | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
建立结构化的运营流程,以基于风险的修复 SLA 对 Microsoft 补丁星期二(Patch Tuesday)安全更新进行分类、测试和部署。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 构建补丁星期二响应流程
## 概述
Microsoft 每月第二个星期二("补丁星期二(Patch Tuesday)")发布安全更新,涵盖 Windows、Office、Exchange、SQL Server、Azure 服务和其他产品中的漏洞。2025 年,Microsoft 全年修补了超过 1,129 个漏洞——比 2024 年增加了 11.9%——使结构化的响应流程至关重要。主要风险类型包括权限提升(49%)、远程代码执行(34%)和信息披露(7%)。本技能涵盖从初始公告审查到测试、部署和验证的可重复补丁星期二响应工作流的构建。
## 前置条件
- 访问 Microsoft 安全响应中心(MSRC)更新指南
- 漏洞管理平台(Qualys VMDR、Rapid7、Tenable)
- 补丁部署基础设施(WSUS、SCCM/MECM、Intune 或第三方)
- 镜像生产配置的测试环境
- 变更管理流程(基于 ITIL 或等效方案)
- 跨团队协调的通信渠道
## 核心概念
### 补丁星期二时间线
| 天数 | 活动 | 负责人 |
|-----|----------|-------|
| T+0(星期二上午 10 点 PT) | Microsoft 发布补丁和公告 | Microsoft |
| T+0(星期二下午) | 安全团队审查公告并分类 | 安全运营 |
| T+1(星期三) | Qualys/供应商扫描特征更新 | 漏洞管理平台 |
| T+1 至 T+2 | 为零日漏洞部署紧急补丁 | IT 运营 |
| T+2 至 T+5 | 在暂存环境中测试补丁 | QA/IT 运营 |
| T+5 至 T+7 | 部署到试点组(5-10% 的设备) | IT 运营 |
| T+7 至 T+14 | 部署到生产环 Ring 1(服务器) | IT 运营 |
| T+14 至 T+21 | 部署到生产环 Ring 2(工作站) | IT 运营 |
| T+21 至 T+30 | 验证扫描和合规报告 | 安全运营 |
### 补丁分类框架
| 类别 | 标准 | 响应 SLA |
|----------|----------|-------------|
| 零日/已利用 | 已确认主动利用,CISA KEV 已列出 | 24-48 小时 |
| 严重 RCE | CVSS >= 9.0,远程代码执行,无需身份验证 | 3-5 天 |
| 有利用的严重 | 公开漏洞利用代码或 EPSS > 0.7 | 7 天 |
| 高严重性 | CVSS 7.0-8.9,权限提升 | 14 天 |
| 中等严重性 | CVSS 4.0-6.9 | 30 天 |
| 低/信息性 | CVSS < 4.0,纵深防御 | 下一个维护窗口 |
### 需监控的 Microsoft 产品类别
| 类别 | 产品 | 风险级别 |
|----------|----------|------------|
| Windows 操作系统 | Windows 10、11、Server 2016-2025 | 严重 |
| Exchange Server | Exchange 2016、2019、Online | 严重 |
| SQL Server | SQL 2016-2022 | 高 |
| Office 套件 | Microsoft 365、Office 2019-2024 | 高 |
| .NET 框架 | .NET 4.x、.NET 6-9 | 中等 |
| Azure 服务 | Azure AD、Entra ID、Azure Stack | 高 |
| Edge/浏览器 | Edge Chromium、IE 模式 | 中等 |
| 开发工具 | Visual Studio、VS Code | 低 |
## 实施步骤
### 步骤 1:补丁星期二前准备(前一个星期一)
```
准备检查表:
[ ] 确认 WSUS/SCCM 同步计划处于活动状态
[ ] 验证测试环境可用且为最新状态
[ ] 审查上个月的未完成补丁
[ ] 确认监控仪表盘正常运行
[ ] 预先准备通信模板
[ ] 确保回滚程序已有文档记录
[ ] 验证关键服务器的备份作业已成功运行
```
### 步骤 2:当日分类(补丁星期二)
```
分类流程:
1. 监控 MSRC 更新指南(https://msrc.microsoft.com/update-guide)
2. 查看 Microsoft 安全博客中的公告摘要
3. 与同日的 CISA KEV 新增内容交叉参考
4. 检查供应商公告(Qualys、Rapid7、CrowdStrike 分析)
5. 识别零日和主动利用的漏洞
6. 按严重性和适用性对每个 CVE 进行分类
7. 确定每个补丁的部署环和时间线
8. 为零日补丁提交紧急变更请求
9. 将分类结果通报给 IT 运营和管理层
```
### 步骤 3:扫描和差距分析
```python
# 补丁星期二后扫描工作流
def run_patch_tuesday_scan(scanner_api, target_groups):
"""补丁星期二更新后触发漏洞扫描。"""
for group in target_groups:
print(f"[*] 正在扫描 {group['name']}...")
scan_id = scanner_api.launch_scan(
target=group["targets"],
template="patch-tuesday-focused",
credentials=group["creds"]
)
print(f" 扫描已启动:{scan_id}")
# 等待扫描完成,然后生成报告
results = scanner_api.get_scan_results(scan_id)
missing_patches = [r for r in results if r["status"] == "missing"]
# 按补丁星期二发布分类
current_month = [p for p in missing_patches
if p["vendor_advisory_date"] >= patch_tuesday_date]
return {
"total_missing": len(missing_patches),
"current_month": len(current_month),
"zero_day": [p for p in current_month if p.get("actively_exploited")],
"critical": [p for p in current_month if p["cvss"] >= 9.0],
}
```
### 步骤 4:基于环的部署策略
```
Ring 0 - 紧急(0-48 小时):
范围: 仅零日和主动利用的 CVE
方式: 手动或定向推送(SCCM 加速)
目标: 面向互联网的服务器、关键基础设施
审批: 紧急变更,CISO 口头批准
回滚: 如果出现服务降级,立即回滚
Ring 1 - 试点(第 2-7 天):
范围: 所有严重和高级别补丁
方式: WSUS/SCCM 自动部署
目标: IT 部门机器,测试组(5-10%)
审批: 标准变更,CAB 通知
监控: 48 小时浸泡期,检查蓝屏、应用崩溃
Ring 2 - 生产服务器(第 7-14 天):
范围: 所有安全补丁
方式: SCCM 维护窗口(非工作时间)
目标: 按层级划分的生产服务器
审批: 标准变更,CAB 批准
监控: 应用健康检查,性能基线
Ring 3 - 工作站(第 14-21 天):
范围: 所有安全补丁 + 质量更新
方式: Windows Update for Business / Intune
目标: 所有托管工作站
审批: 预批准标准变更
监控: 监控服务台工单中的问题
Ring 4 - 落后(第 21-30 天):
范围: 捕获剩余未打补丁的系统
方式: 强制部署并重启
目标: 错过之前环的系统
审批: 合规驱动的强制执行
```
### 步骤 5:验证和报告
```
部署后验证:
1. 使用更新的漏洞特征重新扫描环境
2. 比较补丁前和补丁后的扫描结果
3. 按环和部门计算补丁合规率
4. 识别失败的补丁并调查根本原因
5. 生成供管理层审查的合规报告
6. 用剩余未打补丁的漏洞更新风险登记册
7. 记录例外情况和补偿性控制
```
## 最佳实践
1. 订阅 MSRC 通知和供应商分析博客以获取早期情报
2. 为补丁星期二维护专用战情室(War Room)或 Slack/Teams 频道
3. 始终在正常环计划之外修补零日漏洞
4. 在广泛部署前针对关键业务应用程序测试补丁
5. 逐月跟踪补丁合规指标以进行趋势分析
6. 为每个部署环维护回滚程序
7. 与应用程序所有者协调进行兼容性测试
8. 记录所有例外情况,包括补偿性控制和审查日期
## 常见陷阱
- 未经基于环的测试同时部署所有补丁
- 打完补丁后不扫描以验证修复情况
- 不区分轻重,对所有补丁一视同仁
- 忽略导致补丁失败的累积更新依赖关系
- 在维护窗口中未考虑服务器重启要求
- 未能将补丁状态通报给业务利益相关者
## 相关技能
- implementing-rapid7-insightvm-for-scanning
- performing-cve-prioritization-with-kev-catalog
- implementing-vulnerability-remediation-sla
- implementing-patch-management-workflowRelated Skills
processing-stix-taxii-feeds
处理通过 TAXII 2.1 服务器分发的 STIX 2.1 威胁情报包,将对象规范化为平台原生模式并路由到相应消费系统。适用于接入新的 TAXII 集合端点、自动化与 ISAC 的双向情报共享,或为格式错误的 STIX 包构建管道验证。当涉及 OASIS STIX、TAXII 服务器配置、MISP TAXII 或 Cortex XSOAR 情报源集成时激活。
performing-ransomware-response
执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。
performing-ransomware-incident-response
执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。
implementing-patch-management-workflow
补丁管理(Patch Management)是识别、测试、部署和验证软件更新以修复组织 IT 基础设施漏洞的系统化流程。有效的补丁管理工作流通过结构化测试、审批门禁和分阶段发布,在降低攻击面的同时将运营中断降至最低。
implementing-patch-management-for-ot-systems
本技能涵盖为OT/ICS环境实施结构化补丁管理程序,在传统IT补丁方法可能导致过程中断或安全隐患的情况下进行管理。内容包括供应商兼容性测试、基于风险的补丁优先级排序、通过测试环境的分阶段部署、维护窗口协调、回滚程序,以及在因运营约束或供应商限制无法应用补丁时的补偿控制措施。
implementing-ot-incident-response-playbook
按照SANS PICERL框架、IEC 62443和NIST SP 800-82,开发并实施OT专用事件响应剧本,解决包括安全关键系统、有限停机容忍度以及IT SOC、OT工程和工厂运营团队协调等ICS特有挑战。
hunting-for-process-injection-techniques
通过 Sysmon 事件 ID 8 和 10 以及 EDR 进程遥测,检测进程注入技术(T1055),包括 CreateRemoteThread、进程空洞化和 DLL 注入。
detecting-t1055-process-injection-with-sysmon
通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。
detecting-process-injection-techniques
检测和分析恶意软件使用的进程注入技术,包括经典 DLL 注入、进程空洞化、APC 注入、线程劫持 和反射式加载。使用内存取证、API 监控和行为分析来识别注入痕迹。适用于进程注入检测、 代码注入分析、空洞化进程调查或内存威胁检测等请求场景。
detecting-process-hollowing-technique
通过分析内存映射节区、进程镂空指标以及 EDR 遥测中的父子进程异常,检测进程镂空技术(T1055.012)。
conducting-phishing-incident-response
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
conducting-malware-incident-response
响应企业端点的恶意软件感染,识别恶意软件家族、确定感染向量、评估传播范围,并执行根除程序。涵盖从检测到遏制、分析、清除和恢复的完整生命周期。适用于恶意软件响应、恶意软件根除、木马清除、蠕虫遏制、恶意软件分类或受感染端点修复相关请求。