Best use case
building-soc-escalation-matrix is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
构建结构化的 SOC 升级矩阵,定义严重性分级、响应 SLA、升级路径和安全事件通知流程。
Teams using building-soc-escalation-matrix should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/building-soc-escalation-matrix/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How building-soc-escalation-matrix Compares
| Feature / Agent | building-soc-escalation-matrix | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
构建结构化的 SOC 升级矩阵,定义严重性分级、响应 SLA、升级路径和安全事件通知流程。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 构建 SOC 升级矩阵
## 概述
安全运营中心(Security Operations Center,SOC)升级矩阵(escalation matrix)定义了安全事件如何根据严重性、影响和响应需求在组织内流转。现代 SOC 采用基于业务风险、资产关键性和数据敏感性相结合的上下文驱动升级模式,而非纯粹依赖严重性等级的模型。使用 AI 和自动化的 SOC 组织将检测与遏制的生命周期缩短至约 161 天,比行业平均水平 241 天提高了 80 天。
## SOC 层级结构
### 一级 - 告警分诊分析师
- 监控 SIEM 仪表盘和告警队列
- 执行初始告警分类(真阳性/假阳性)
- 将 P3 和 P4 事件处置至关闭
- 在 SLA 时限内将 P1 和 P2 事件升级至二级
- 在工单系统中记录初步发现
### 二级 - 事件分析师
- 对已升级事件进行深入调查
- 执行根因分析和范围界定
- 执行遏制(Containment)流程
- 将 P2 事件处置至关闭
- 将 P1 事件升级至三级或管理层
### 三级 - 高级分析师 / 威胁猎手
- 处理 P1 关键事件及 APT 调查
- 执行主动威胁狩猎(Threat Hunting)
- 开发检测规则和响应手册(Playbook)
- 执行恶意软件逆向工程
- 主导重大安全事件的事件响应(Incident Response)
### 管理层升级
- SOC 经理:运营决策、资源分配
- CISO:业务影响决策、高管沟通
- 法务/公关:数据泄露通知、媒体响应
- 外部 IR:委托第三方事件响应服务
## 严重性分级
### P1 - 关键
| 属性 | 值 |
|---|---|
| 影响 | 主动数据泄露、勒索软件扩散、关键系统被攻陷 |
| 业务影响 | 收入损失、监管风险敞口、客户数据面临威胁 |
| 初始响应 | 15 分钟 |
| 升级至二级 | 立即升级 |
| 升级至管理层 | 30 分钟 |
| 解决目标 | 4 小时 |
| 通报频率 | 每 30 分钟向相关方通报 |
| 示例 | 活跃勒索软件、已确认数据外泄(Exfiltration)、域管理员账号被攻陷 |
### P2 - 高
| 属性 | 值 |
|---|---|
| 影响 | 已确认的受限范围入侵,无活跃数据外泄 |
| 业务影响 | 潜在收入影响,风险可控 |
| 初始响应 | 30 分钟 |
| 升级至二级 | 30 分钟内未解决则升级 |
| 升级至管理层 | 2 小时 |
| 解决目标 | 8 小时 |
| 通报频率 | 每 2 小时向 SOC 管理层通报 |
| 示例 | 用户账号被攻陷、单端点恶意软件、内部威胁指标 |
### P3 - 中
| 属性 | 值 |
|---|---|
| 影响 | 需要调查的可疑活动 |
| 业务影响 | 即时风险较低 |
| 初始响应 | 4 小时 |
| 升级至二级 | 8 小时内未解决则升级 |
| 解决目标 | 24 小时 |
| 通报频率 | 每日状态更新 |
| 示例 | 策略违规、暴力破解(Brute Force)失败、可疑邮件报告 |
### P4 - 低
| 属性 | 值 |
|---|---|
| 影响 | 信息性告警、例行安全事件 |
| 业务影响 | 最小化 |
| 初始响应 | 8 小时 |
| 升级 | 仅在出现规律性模式时升级 |
| 解决目标 | 72 小时 |
| 通报频率 | 每周汇总 |
| 示例 | 漏洞扫描结果、过期证书、策略例外 |
## 升级决策矩阵
```
资产关键性
低 中 高 关键
严重性 低 P4 P4 P3 P3
中 P4 P3 P2 P2
高 P3 P2 P2 P1
关键 P2 P1 P1 P1
```
## 上下文驱动升级触发条件
### 自动升级(无需分析师决策)
| 触发条件 | 动作 |
|---|---|
| 任意端点检测到勒索软件 | P1 - 立即升级至三级 + 管理层 |
| 域管理员账号被攻陷 | P1 - 立即升级至三级 + 管理层 |
| 主动向外部 IP 数据外泄 | P1 - 立即升级至三级 + 管理层 |
| 关键基础设施(域控制器、SCADA)告警 | P1 - 至少立即升级至二级 |
| 高管账号异常 | P2 - 立即升级至二级 |
| 多台主机感染相同恶意软件 | P1 - 立即升级至二级 |
### 基于时间的升级
| 条件 | 动作 |
|---|---|
| P2 超过 4 小时未解决 | 升级至三级 |
| P3 超过 12 小时未解决 | 升级至二级 |
| 任何事件超过 SLA 未解决 | 升级至 SOC 经理 |
| P1 超过 2 小时未解决 | 升级至 CISO |
## 通报模板
### P1 初始通报
```
主题:[P1 关键] 安全事件 - {Incident_ID}
事件摘要:
- 类型:{incident_type}
- 受影响系统:{systems}
- 受影响用户:{users}
- 当前状态:{status}
- 负责人:{analyst}
影响评估:
- 业务影响:{impact}
- 数据风险:{data_risk}
- 遏制状态:{containment}
下一步行动:
- {action_1}
- {action_2}
下次更新:{time}(每 30 分钟间隔)
会议桥接:{conference_details}
```
## 升级矩阵实施
### SOAR 集成
```yaml
# XSOAR 升级剧本触发规则
trigger:
condition: incident.severity == "critical" AND incident.asset_criticality == "high"
action:
- assign_tier: 3
- notify: [soc_manager, ciso]
- create_war_room: true
- start_bridge: true
- set_sla: 4h
auto_escalation_rules:
- name: P2 Time-Based Escalation
condition: incident.severity == "high" AND incident.age > 4h AND incident.status != "resolved"
action:
- escalate_tier: 3
- notify: soc_manager
- add_comment: "Auto-escalated due to SLA breach"
```
## 参考资料
- [Torq - Threat Escalation Matrix for Modern Security Challenges](https://torq.io/blog/escalation-matrix/)
- [ClearFeed - Incident Escalation Matrix](https://clearfeed.ai/blogs/incident-escalation-matrix)
- [Vectra - SOC Operations Guide](https://www.vectra.ai/topics/soc-operations)
- [Runframe - Incident Priority Levels Explained](https://runframe.io/learn/incident-priority)Related Skills
performing-privilege-escalation-on-linux
Linux 权限提升是指在已控制的系统上从低权限用户账户提升至 root 访问权限。红队通过利用错误配置、存在漏洞的服务、内核漏洞利用和弱权限来实现 root 访问。
performing-privilege-escalation-assessment
在已入侵的 Linux 和 Windows 系统上执行权限提升评估,识别从低权限访问到 root 或 SYSTEM 级别控制的路径。 测试人员枚举错误配置、存在漏洞的服务、内核漏洞、SUID 二进制文件、未加引号的服务路径和凭据存储, 以演示初始入侵的完整影响。适用于权限提升测试、本地漏洞利用、后渗透提权或操作系统级安全评估等请求场景。
performing-aws-privilege-escalation-assessment
在 AWS 环境中执行已授权的权限提升(Privilege Escalation)评估,使用 Pacu、CloudFox、Principal Mapper 和手动 IAM 策略分析技术,识别允许用户或角色提升权限的 IAM 配置错误。
detecting-privilege-escalation-in-kubernetes-pods
通过使用 Falco 和 OPA 策略监控安全上下文、能力和系统调用模式,检测并防止 Kubernetes Pod 中的权限提升。
detecting-privilege-escalation-attempts
检测权限提升尝试,包括令牌操控、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 Windows 和 Linux 上的 sudo/doas 滥用。
detecting-aws-iam-privilege-escalation
使用 boto3 和 Cloudsplaining 策略分析检测 AWS IAM 权限提升路径,识别过度宽松的策略、危险权限组合和最小权限违规。
building-vulnerability-scanning-workflow
使用 Nessus、Qualys 和 OpenVAS 等工具构建结构化的漏洞扫描工作流, 对基础设施中的安全漏洞进行发现、优先级排序和修复跟踪。适用于 SOC 团队 需要建立定期漏洞评估流程、将扫描结果与 SIEM 告警集成,以及构建 修复跟踪仪表盘的场景。
building-vulnerability-exception-tracking-system
构建具有审批工作流、补偿控制文档和到期管理功能的漏洞例外与风险接受跟踪系统。
building-vulnerability-dashboard-with-defectdojo
部署 DefectDojo 作为集中式漏洞管理仪表盘,支持扫描器集成、去重、指标跟踪和 Jira 工单工作流。
building-vulnerability-aging-and-sla-tracking
实施漏洞老化仪表盘和 SLA 跟踪系统,根据基于严重性的时间线衡量修复绩效,并推动问责制落地。
building-threat-intelligence-platform
构建威胁情报平台(TIP)涉及将多个 CTI 工具部署和集成到统一系统中,用于收集、分析、富化和分发威胁情报,包括 MISP、OpenCTI、TheHive 和 Cortex 的开源工具集成。
building-threat-intelligence-feed-integration
构建自动化威胁情报(Threat Intelligence)源集成管道,将 STIX/TAXII 源、 开源威胁情报和商业 TI 平台接入 SIEM 和安全工具,实现实时 IOC 匹配和告警。 适用于 SOC 团队需要通过自动化源接入、标准化、评分和分发到检测系统来 将威胁情报付诸实践的场景。