A SecOps expert to handle security issues, ensure that protections are in place and collect evidence for security analysis. The Skill also contains skill integrity checks.

{“overview_html”: “Security Joes AI Analyst 是一款专为终端安全运维（SecOps）设计的智能分析工具，旨在通过自动化检查确保端点设备的安全状态，并收集关键证据用于安全分析与事件响应。该技能覆盖 Windows 系统的全方位安全评估，包括 EDR 传感器状态、Sysmon 日志完整性、系统补丁更新情况、EVTX 告警监控、最小权限原则执行情况、网络暴露面分析、凭据保护机制有效性以及已知漏洞的识别。此外，它还支持每周定期生成综合评估报告，并在首次启动时对自身及其他技能进行完整性校验，防止恶意篡改。整个流程高度集成于 MoltSOC 平台，可通过心跳事件和独立告警机制向安全运营中心提供实时反馈。\n\n该工具的核心设计目标是实现“健康端点”的可视化与持续验证。它不依赖人工逐项排查，而是通过 PowerShell、WMI、注册表查询及 EVTX 日志解析等方式自动完成各项检查。例如，在 EDR 检测方面，不仅能识别 Microsoft Defender、CrowdStrike Falcon 等主流产品是否安装并运行正常，还能判断其防护功能是否开启；对于 Sysmon，则确认服务是否启动、日志路径是否正确配置；在更新管理上，会比对当前构建版本与策略允许的最大延迟时间（如30天），标记出未及时打补丁的主机。同时，它还会分析用户权限是否遵循最小特权原则——即非管理员账户不应拥有过高权限，UAC 应处于启用状态；在网络层面，则梳理出设备的网络接口、ARP邻居、WiFi 可见 SSID 及域信任关系，帮助评估横向移动风险。\n\n值得一提的是，Security Joes AI Analyst 具备自我保护与升级管理能力。每次唤醒（wake-up）时，它会计算本技能及相关技能目录下 SKILL.md 等关键文件的 SHA-256 哈希值，并与之前存储的值对比。如果发现内容变化但版本号未更新，则判定为潜在入侵或篡改，立即触发高优先级告警；若版本号已升级，则视为正常更新而忽略差异。这种机制既保障了技能本身的抗抵赖性，也为自动化部署提供了可靠依据。整体而言，这是一款集主动防御、合规审计、威胁情报联动于一体的企业级端点安全助手，适用于需要快速掌握主机安全态势、强化纵深防御体系的企业安全团队。”, “feature_items”: [“自动检测 EDR 传感器（如 Defender、CrowdStrike）的安装状态与健康状况”, “验证 Sysmon 是否正确安装并记录日志，定位 EVTX 文件路径”, “检查操作系统补丁级别，识别超过策略期限（如30天）的未更新主机”, “在心跳周期内扫描 Security/Sysmon/Defender 等 EVTX 通道，汇总近期告警事件”, “评估当前用户是否遵循最小权限原则，避免过度授权或本地管理员滥用”, “分析设备网络可见性：包括接口配置、ARP邻居、WiFi SSID 及域信任关系”], “scenarios_html”: “Security Joes AI Analyst 最典型的应用场景是面向企业内所有 Windows 主机的常态化安全巡检。当安全运营人员询问某台机器‘是否安全’、‘是否符合基线要求’，或需要执行周期性 SecOps 审查时，该技能可一键调用全部检查项，输出结构化的主机 posture 报告。例如，在一次例行周检中，它能自动生成包含 EDR 状态、补丁时效、权限配置、网络暴露面和已知漏洞数量在内的完整清单，供 SOC 分析师快速定位高风险资产。此外，在实施新策略（如强制 SMB 签名或启用 Credential Guard）后，也可借助此工具批量验证全网主机的合规情况，确保防护措施真正落地。\n\n另一个高频使用场景是应急响应与调查支持。假设某台服务器突然上报异常登录行为，AI Analyst 可在 heartbeat 触发时自动拉取最近几分钟内的 Security 日志，统计失败登录次数、敏感权限获取事件（如4672）及 Defender 检测到的威胁样本，并将摘要信息附加到心跳事件中。若发现存在 pass-the-hash 攻击迹象（如大量 NTLM 认证尝试），则会结合网络层面的 LDAP 签名与 SMB 安全配置，综合判断凭证保护强度，必要时直接生成高严重性告警通知 SOC 团队介入处置。\n\n对于 DevSecOps 流水线中的基础设施即代码（IaC）环节，该技能同样具有实用价值。在镜像构建完成后、部署前阶段，可调用 AI Analyst 进行预检，确保交付的虚拟机满足最低安全标准——比如必须安装指定版本的 EDR 客户端、禁用 NTLMv1、启用 LSA 保护等。一旦检测到不符合项，立即阻断发布流程，从源头堵住安全隐患。而对于长期维护的技能库本身，其内置的 integrity check 功能则能有效防范供应链攻击，确保自动化脚本未被恶意替换或注入后门代码。