building-soc-escalation-matrix

构建结构化的 SOC 升级矩阵,定义严重性分级、响应 SLA、升级路径和安全事件通知流程。

9 stars

Best use case

building-soc-escalation-matrix is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

构建结构化的 SOC 升级矩阵,定义严重性分级、响应 SLA、升级路径和安全事件通知流程。

Teams using building-soc-escalation-matrix should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/building-soc-escalation-matrix/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/building-soc-escalation-matrix/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/building-soc-escalation-matrix/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How building-soc-escalation-matrix Compares

Feature / Agentbuilding-soc-escalation-matrixStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

构建结构化的 SOC 升级矩阵,定义严重性分级、响应 SLA、升级路径和安全事件通知流程。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 构建 SOC 升级矩阵

## 概述

安全运营中心(Security Operations Center,SOC)升级矩阵(escalation matrix)定义了安全事件如何根据严重性、影响和响应需求在组织内流转。现代 SOC 采用基于业务风险、资产关键性和数据敏感性相结合的上下文驱动升级模式,而非纯粹依赖严重性等级的模型。使用 AI 和自动化的 SOC 组织将检测与遏制的生命周期缩短至约 161 天,比行业平均水平 241 天提高了 80 天。

## SOC 层级结构

### 一级 - 告警分诊分析师

- 监控 SIEM 仪表盘和告警队列
- 执行初始告警分类(真阳性/假阳性)
- 将 P3 和 P4 事件处置至关闭
- 在 SLA 时限内将 P1 和 P2 事件升级至二级
- 在工单系统中记录初步发现

### 二级 - 事件分析师

- 对已升级事件进行深入调查
- 执行根因分析和范围界定
- 执行遏制(Containment)流程
- 将 P2 事件处置至关闭
- 将 P1 事件升级至三级或管理层

### 三级 - 高级分析师 / 威胁猎手

- 处理 P1 关键事件及 APT 调查
- 执行主动威胁狩猎(Threat Hunting)
- 开发检测规则和响应手册(Playbook)
- 执行恶意软件逆向工程
- 主导重大安全事件的事件响应(Incident Response)

### 管理层升级

- SOC 经理:运营决策、资源分配
- CISO:业务影响决策、高管沟通
- 法务/公关:数据泄露通知、媒体响应
- 外部 IR:委托第三方事件响应服务

## 严重性分级

### P1 - 关键

| 属性 | 值 |
|---|---|
| 影响 | 主动数据泄露、勒索软件扩散、关键系统被攻陷 |
| 业务影响 | 收入损失、监管风险敞口、客户数据面临威胁 |
| 初始响应 | 15 分钟 |
| 升级至二级 | 立即升级 |
| 升级至管理层 | 30 分钟 |
| 解决目标 | 4 小时 |
| 通报频率 | 每 30 分钟向相关方通报 |
| 示例 | 活跃勒索软件、已确认数据外泄(Exfiltration)、域管理员账号被攻陷 |

### P2 - 高

| 属性 | 值 |
|---|---|
| 影响 | 已确认的受限范围入侵,无活跃数据外泄 |
| 业务影响 | 潜在收入影响,风险可控 |
| 初始响应 | 30 分钟 |
| 升级至二级 | 30 分钟内未解决则升级 |
| 升级至管理层 | 2 小时 |
| 解决目标 | 8 小时 |
| 通报频率 | 每 2 小时向 SOC 管理层通报 |
| 示例 | 用户账号被攻陷、单端点恶意软件、内部威胁指标 |

### P3 - 中

| 属性 | 值 |
|---|---|
| 影响 | 需要调查的可疑活动 |
| 业务影响 | 即时风险较低 |
| 初始响应 | 4 小时 |
| 升级至二级 | 8 小时内未解决则升级 |
| 解决目标 | 24 小时 |
| 通报频率 | 每日状态更新 |
| 示例 | 策略违规、暴力破解(Brute Force)失败、可疑邮件报告 |

### P4 - 低

| 属性 | 值 |
|---|---|
| 影响 | 信息性告警、例行安全事件 |
| 业务影响 | 最小化 |
| 初始响应 | 8 小时 |
| 升级 | 仅在出现规律性模式时升级 |
| 解决目标 | 72 小时 |
| 通报频率 | 每周汇总 |
| 示例 | 漏洞扫描结果、过期证书、策略例外 |

## 升级决策矩阵

```
                    资产关键性
                    低         中         高         关键
严重性  低          P4         P4         P3         P3
        中          P4         P3         P2         P2
        高          P3         P2         P2         P1
        关键        P2         P1         P1         P1
```

## 上下文驱动升级触发条件

### 自动升级(无需分析师决策)

| 触发条件 | 动作 |
|---|---|
| 任意端点检测到勒索软件 | P1 - 立即升级至三级 + 管理层 |
| 域管理员账号被攻陷 | P1 - 立即升级至三级 + 管理层 |
| 主动向外部 IP 数据外泄 | P1 - 立即升级至三级 + 管理层 |
| 关键基础设施(域控制器、SCADA)告警 | P1 - 至少立即升级至二级 |
| 高管账号异常 | P2 - 立即升级至二级 |
| 多台主机感染相同恶意软件 | P1 - 立即升级至二级 |

### 基于时间的升级

| 条件 | 动作 |
|---|---|
| P2 超过 4 小时未解决 | 升级至三级 |
| P3 超过 12 小时未解决 | 升级至二级 |
| 任何事件超过 SLA 未解决 | 升级至 SOC 经理 |
| P1 超过 2 小时未解决 | 升级至 CISO |

## 通报模板

### P1 初始通报

```
主题:[P1 关键] 安全事件 - {Incident_ID}

事件摘要:
- 类型:{incident_type}
- 受影响系统:{systems}
- 受影响用户:{users}
- 当前状态:{status}
- 负责人:{analyst}

影响评估:
- 业务影响:{impact}
- 数据风险:{data_risk}
- 遏制状态:{containment}

下一步行动:
- {action_1}
- {action_2}

下次更新:{time}(每 30 分钟间隔)
会议桥接:{conference_details}
```

## 升级矩阵实施

### SOAR 集成

```yaml
# XSOAR 升级剧本触发规则
trigger:
  condition: incident.severity == "critical" AND incident.asset_criticality == "high"
  action:
    - assign_tier: 3
    - notify: [soc_manager, ciso]
    - create_war_room: true
    - start_bridge: true
    - set_sla: 4h

auto_escalation_rules:
  - name: P2 Time-Based Escalation
    condition: incident.severity == "high" AND incident.age > 4h AND incident.status != "resolved"
    action:
      - escalate_tier: 3
      - notify: soc_manager
      - add_comment: "Auto-escalated due to SLA breach"
```

## 参考资料

- [Torq - Threat Escalation Matrix for Modern Security Challenges](https://torq.io/blog/escalation-matrix/)
- [ClearFeed - Incident Escalation Matrix](https://clearfeed.ai/blogs/incident-escalation-matrix)
- [Vectra - SOC Operations Guide](https://www.vectra.ai/topics/soc-operations)
- [Runframe - Incident Priority Levels Explained](https://runframe.io/learn/incident-priority)

Related Skills

performing-privilege-escalation-on-linux

9
from killvxk/cybersecurity-skills-zh

Linux 权限提升是指在已控制的系统上从低权限用户账户提升至 root 访问权限。红队通过利用错误配置、存在漏洞的服务、内核漏洞利用和弱权限来实现 root 访问。

performing-privilege-escalation-assessment

9
from killvxk/cybersecurity-skills-zh

在已入侵的 Linux 和 Windows 系统上执行权限提升评估,识别从低权限访问到 root 或 SYSTEM 级别控制的路径。 测试人员枚举错误配置、存在漏洞的服务、内核漏洞、SUID 二进制文件、未加引号的服务路径和凭据存储, 以演示初始入侵的完整影响。适用于权限提升测试、本地漏洞利用、后渗透提权或操作系统级安全评估等请求场景。

performing-aws-privilege-escalation-assessment

9
from killvxk/cybersecurity-skills-zh

在 AWS 环境中执行已授权的权限提升(Privilege Escalation)评估,使用 Pacu、CloudFox、Principal Mapper 和手动 IAM 策略分析技术,识别允许用户或角色提升权限的 IAM 配置错误。

detecting-privilege-escalation-in-kubernetes-pods

9
from killvxk/cybersecurity-skills-zh

通过使用 Falco 和 OPA 策略监控安全上下文、能力和系统调用模式,检测并防止 Kubernetes Pod 中的权限提升。

detecting-privilege-escalation-attempts

9
from killvxk/cybersecurity-skills-zh

检测权限提升尝试,包括令牌操控、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 Windows 和 Linux 上的 sudo/doas 滥用。

detecting-aws-iam-privilege-escalation

9
from killvxk/cybersecurity-skills-zh

使用 boto3 和 Cloudsplaining 策略分析检测 AWS IAM 权限提升路径,识别过度宽松的策略、危险权限组合和最小权限违规。

building-vulnerability-scanning-workflow

9
from killvxk/cybersecurity-skills-zh

使用 Nessus、Qualys 和 OpenVAS 等工具构建结构化的漏洞扫描工作流, 对基础设施中的安全漏洞进行发现、优先级排序和修复跟踪。适用于 SOC 团队 需要建立定期漏洞评估流程、将扫描结果与 SIEM 告警集成,以及构建 修复跟踪仪表盘的场景。

building-vulnerability-exception-tracking-system

9
from killvxk/cybersecurity-skills-zh

构建具有审批工作流、补偿控制文档和到期管理功能的漏洞例外与风险接受跟踪系统。

building-vulnerability-dashboard-with-defectdojo

9
from killvxk/cybersecurity-skills-zh

部署 DefectDojo 作为集中式漏洞管理仪表盘,支持扫描器集成、去重、指标跟踪和 Jira 工单工作流。

building-vulnerability-aging-and-sla-tracking

9
from killvxk/cybersecurity-skills-zh

实施漏洞老化仪表盘和 SLA 跟踪系统,根据基于严重性的时间线衡量修复绩效,并推动问责制落地。

building-threat-intelligence-platform

9
from killvxk/cybersecurity-skills-zh

构建威胁情报平台(TIP)涉及将多个 CTI 工具部署和集成到统一系统中,用于收集、分析、富化和分发威胁情报,包括 MISP、OpenCTI、TheHive 和 Cortex 的开源工具集成。

building-threat-intelligence-feed-integration

9
from killvxk/cybersecurity-skills-zh

构建自动化威胁情报(Threat Intelligence)源集成管道,将 STIX/TAXII 源、 开源威胁情报和商业 TI 平台接入 SIEM 和安全工具,实现实时 IOC 匹配和告警。 适用于 SOC 团队需要通过自动化源接入、标准化、评分和分发到检测系统来 将威胁情报付诸实践的场景。