漏洞资产排查
漏洞资产排查的核心问题是:一个新的高危 CVE 刚爆出来,如何在几分钟内拿到"本企业内哪些资产受影响、哪些对外暴露、处置优先级怎么排"的清单。
Flocks 的做法是搭一个漏洞资产排查 Agent:先抓漏洞情报 → 再并发多源资产匹配 → 再交叉暴露面核查 → 最后输出排好优先级的受影响资产清单。全流程自动化,应急响应直接拿清单开工。
场景简介
漏洞应急的"慢"通常不在补丁本身,而在定位:
- CVE 只给了"影响 X 组件 Y 版本",要翻译成"我这里哪几台机器是 X 组件"
- HIDS 的软件清单、NDR 的流量指纹、资产扫描平台、CMDB 的组件版本——分散在四五个系统里
- 还得叠加"这台机器是不是对外暴露"、"是不是核心业务"来排优先级
人工做一次要 2~4 小时,且经常遗漏。自动化之后,拿到 CVE 编号几分钟内就能产出清单。
输入与输出
典型输入
- CVE / CNVD 编号(最常见)
- 漏洞名称 + 受影响组件描述(半结构化,Agent 自己补齐细节)
- 可选:情报源 URL(微步 / 安全媒体文章)
- 可选:时间窗(默认全量资产,也可以只查"最近上线的")
典型输出
- 漏洞情报摘要:受影响组件、版本范围、补丁状态、利用成熟度
- 受影响资产清单:每台资产的标签(组件版本 / 网络位置 / 暴露情况 / 业务重要性)
- 处置优先级:按风险分排序的应急响应清单
- 暴露面专项:对外暴露资产单独拉出,优先处置
前置条件
| 依赖项 | 要求 |
|---|---|
| 模型 | 推理型模型优先:组件版本匹配、暴露面判断都需要多步推断 |
| 漏洞情报源 | CVE / CNVD / 微步 / 安全媒体 等任一可用;推荐接微步情报平台 API——参考 威胁情报与 IOC 研判 |
| 资产源 | CMDB(组件版本)、HIDS(软件清单 / 进程)、NDR(流量指纹)、资产扫描平台 至少 2 个 |
| 暴露面数据 | 用于互联网暴露核查,见 互联网资产测绘 |
| 通道 | 企微 / 钉钉 / 飞书任一已连通,用于通知应急响应组——参考 通道配置 |
操作步骤(WebUI)
步骤 1:起会话,给 Rex 一条漏洞线索
进入 会话管理 → + 新建会话:
「CVE-2026-xxxx 刚爆了,帮我排一下本企业受影响的资产,输出优先级清单」
Rex 识别出这是漏洞资产排查类任务后,委派对应子 Agent(或直接按 workflow 执行)。
步骤 2:漏洞情报丰富
子 Agent 先把 CVE 吃透:
- 从 CVE / CNVD 拉基础信息:受影响组件、版本、CVSS
- 从微步 / 安全媒体拉"利用成熟度":是否有 POC、是否在野利用
- 从补丁源拉"官方补丁是否已发布 / 变通方案是什么"
产出一段标准化情报摘要,落盘到 Workspace(vulns/CVE-2026-xxxx/intel.json)。
步骤 3:多源资产匹配(并发)
子 Agent 并发查询各资产源,匹配受影响组件:
| 源 | 匹配逻辑 |
|---|---|
| CMDB | 字段精确匹配组件名 + 版本范围 |
| HIDS 软件清单 | 进程 / 服务 / 软件包名 + 版本 |
| HIDS 进程视图 | 运行时进程特征(适合 CMDB 没录入的旁路组件) |
| NDR | 流量指纹 / HTTP Banner(适合识别外网可触达的版本) |
| 资产扫描平台 | 端口 + 服务 + 版本 |
不同源的结果会去重合并(以 IP / 主机名为主键),得到一份候选受影响资产列表。
步骤 4:暴露面交叉核查
对每台候选资产,再做一次"对外暴露核查":
- 内部 IP 对公网有没有 NAT 映射?
- 对应服务是否在互联网资产测绘结果里出现过?
- 是不是 DMZ 资产?
识别结果决定优先级:对外暴露 + 核心业务 > 对外暴露 + 普通资产 > 内网 + 核心业务 > 其他。
步骤 5:输出受影响资产清单
最终产出一张排好序的表,落盘到 Workspace + 推送通道:
- 每行一台资产:IP / 主机名 / 组件 + 版本 / 网络位置 / 暴露情况 / 业务重要性 / 建议优先级
- 顶部附摘要:受影响总数、对外暴露数、核心业务数、建议几小时内处置
步骤 6:可选——交给漏洞验证复现
清单上的"对外暴露 + 核心业务"资产,Rex 可以直接委派到 漏洞验证复现 子 Agent,实际构造 Payload 验证漏洞是否真实可利用,进一步压缩处置优先级。
真实案例走读(一次新爆 CVE 的几分钟应急)
| 阶段 | Agent 动作 | 产出 / 说明 |
|---|---|---|
| T+0:00 | 安全媒体群里看到 CVE-2026-xxxx 新爆漏洞,推到会话里 | 自然语言线索 |
| T+0:20 | Agent 从 CVE 库拉基础信息,从微步补利用成熟度 | 一份情报摘要 |
| T+1:00 | 并发查 CMDB + HIDS 软件清单 + NDR | 第一批候选:37 台资产命中 |
| T+2:00 | 暴露面交叉核查 | 其中 4 台对外暴露、2 台是核心业务 |
| T+2:30 | 产出优先级清单 | 4 台高优先级 + 33 台中低优先级 |
| T+2:35 | 推送企微摘要 + 附 Workspace 报告链接 | 应急响应组拿清单开工 |
| T+10 | 人工接手处置;Agent 被继续调用做漏洞验证复现 | 两个场景无缝接力 |
产出示例(清单摘要)
markdown
# CVE-2026-xxxx 受影响资产清单
漏洞: CVE-2026-xxxx (某 Web 框架反序列化 RCE, CVSS 9.8)
利用成熟度: 已有公开 POC,微步标注"在野利用"
官方补丁: 已发布 1.2.4,变通方案:临时关闭 XX 端点
## 高优先级(对外暴露 / 核心业务,建议 2h 内处置)
| IP | 主机名 | 组件版本 | 暴露 | 业务 | 责任人 |
| --- | --- | --- | --- | --- | --- |
| 1.2.3.4 | web-prod-01 | v1.2.1 | 公网 443 | 官网 | 张三 |
| 1.2.3.5 | web-prod-02 | v1.2.1 | 公网 443 | 官网 | 张三 |
| 10.10.x.x | api-core-01 | v1.2.0 | 内网 | 核心 API | 李四 |
| 10.10.x.y | api-core-02 | v1.2.0 | 内网 | 核心 API | 李四 |
## 中低优先级(仅内网 / 非核心,建议 24h 内处置)
...共 33 台,详见 Workspace vulns/CVE-2026-xxxx/assets.json持续运行与定时任务
| 任务形态 | 说明 |
|---|---|
| 每日新漏洞订阅 | 每天早上定时拉昨日新增高危 CVE,自动跑一次资产排查,只推"有命中"的 |
| 监控清单回扫 | 高优先级漏洞处置过程中,每 1 小时回扫一次,关注"已修数量 / 未修数量"趋势 |
| 长尾清理 | 每周汇总所有未修完的漏洞,生成清理报告推给各业务线 Owner |
| 新上线资产扫描 | CMDB 新增资产时触发一次"是否命中已知漏洞"的复查 |
边界与常见问题
| 问题 | 处理 |
|---|---|
| CMDB 版本字段不准 | 多源交叉:HIDS 软件清单 + NDR 指纹作为兜底 |
| 某些组件版本号是 commit hash,没法直接比 | 让 Agent 用 Skill 里的"版本比对规则"兜底,无法判定的标为"待人工确认" |
| 公网暴露数据滞后 | 定期触发一次 互联网资产测绘,保持最新 |
| 清单太长没人看 | 通道通知只推前 N 条高优先级;全量清单走 Workspace 下载 |
| 想让 Agent 自动打补丁 | 不建议。Flocks 的定位是"把清单精准送到人",打补丁由运维流程执行 |
相关:场景总览 · 漏洞验证复现 · 威胁情报与 IOC 研判 · 互联网资产测绘 · 内网 IP 资产画像 · 任务中心