现代人工智能已从根本上改变了信息安全领域的格局。对于网络安全分析师而言,AI不再只是一个流行语——它已成为威胁狩猎、事件响应和安全运维(SecOps)的效能倍增器。当攻击者正在自动化攻击时,防御者必须自动化并增强他们的分析能力。
以下提示词已在所有主流大语言模型(包括ChatGPT、Gemini、Claude和DeepSeek)中经过严格测试和优化,以确保其有效性。虽然每个模型都具备独特的架构优势——DeepSeek通常在代码逻辑方面表现出色,Claude擅长处理细微差别,而Gemini则擅长大上下文合成——但这10个提示词为任何希望简化工作流程并强化防御的网络安全分析师提供了一个通用且强大的基础。
1. 生成用于日志解析的复杂正则表达式
最适合: DeepSeek(擅长代码逻辑和语法精确性)
从非结构化日志中解析特定的入侵指标(IoCs)是项繁琐的工作。使用此提示词可为您的SIEM或grep操作即时生成精确的正则表达式。
扮演一名高级安全工程师。我需要一个正则表达式(Regex)来识别[特定模式,例如:信用卡号、来自特定子网的IP地址或SQL注入模式],这些模式出现在[日志类型,例如:Apache访问日志或Windows事件日志]中。
该正则表达式必须:
1. 捕获[特定分组]。
2. 避免与[常见误报]相关的误报。
3. 兼容[工具名称,例如:Splunk、Grep、Python re模块]。
请解释所生成正则表达式的语法分解。
收益: 极大减少调试语法所花费的试错时间,使您能更快地部署检测规则。
2. 反混淆恶意PowerShell脚本
最适合: Gemini 或 ChatGPT(对混淆逻辑有很强的解读能力)
攻击者经常通过Base64编码或大量变量别名来隐藏意图。此提示词有助于安全地进行脚本逆向工程。
我正在为一项安全调查分析一个可能恶意的PowerShell脚本。该脚本使用了重度混淆(Base64、别名替换、字符串拼接)。
以下是代码片段:
[粘贴混淆后的代码]
请:
1. 解码所有Base64字符串。
2. 根据功能将变量重命名为有意义的名称。
3. 添加注释解释每个代码块正在执行什么操作。
4. 总结脚本的最终意图(例如:数据窃取、C2连接)。
收益: 将难以理解的乱码转化为清晰的逻辑,加速恶意软件分析的分类阶段。
3. 创建事件响应(IR)预案
最适合: Claude(擅长结构化、专业的文档编写)
当新威胁出现时,您需要立即制定标准化的响应计划。
为[特定场景,例如:HR服务器上的勒索软件感染]起草一份详细的事件响应预案。
请根据NIST 800-61框架(准备、检测与分析、遏制、根除与恢复、事后活动)来构建响应流程。
对于每个阶段,列出:
- 需要涉及的关键干系人。
- 要使用的具体技术命令行或工具。
- 用于遏制的决策树(例如:何时隔离与何时关机)。
收益: 确保您的团队在真实事件的混乱中遵循合规、有条不紊的流程。
4. 将技术风险转化为高管摘要
最适合: ChatGPT(擅长调整语气)
安全运维团队经常难以向高管层解释技术风险的严重性。此提示词可以弥合这一差距。
我识别出一个关键漏洞:[漏洞名称/CVE]。
技术影响:[技术细节,例如:通过未修补的API允许RCE]。
请将其重写为面向非技术背景的CISO和CEO的高管摘要。
- 尽可能避免使用术语。
- 重点关注业务影响(财务、声誉、运营)。
- 提供清晰的“结论先行”(BLUF)式修复资源建议。
收益: 通过用业务术语阐述安全问题,增加获得修复预算或批准的可能性。
5. 为威胁狩猎生成KQL/SPL查询
最适合: DeepSeek(在查询语言语法方面准确性高)
无论您使用Microsoft Sentinel(KQL)还是Splunk(SPL),构建复杂的连接查询都可能很困难。
扮演一名SIEM专家。编写一个[查询语言,例如:KQL或Splunk SPL]查询,用于检测[威胁行为,例如:不可能的旅行登录尝试或密码喷洒攻击]。
该查询应:
1. 关联来自[表1]和[表2]的数据。
2. 过滤掉已知的安全实体:[列出安全实体]。
3. 对结果设置阈值,仅显示在[Y]分钟内发生超过[X]次的事件。
收益: 无需记住SIEM语言中的每个运算符,即可快速创建高保真度的检测规则。
6. 分析钓鱼邮件头
最适合: Claude 或 Gemini(大上下文窗口适合解析邮件头转储)
手动追踪邮件头中的Received路径容易出错。
分析以下疑似钓鱼尝试的邮件头转储。
[粘贴邮件头]
请识别:
1. 真实的发件人IP和原始域名。
2. “发件人”地址与“返回路径”之间的任何不匹配。
3. SPF、DKIM和DMARC检查的状态。
4. “Received”链中表明欺骗行为的异常情况。
收益: 在几秒钟内获得欺骗行为或合法性的可验证证据,显著加快钓鱼邮件分类队列的处理速度。
7. 为培训模拟社会工程场景
最适合: ChatGPT(擅长创意场景生成)
红队和意识培训师需要新鲜的场景来测试员工的警惕性。
生成3个不同的社会工程场景,针对远程优先的科技公司中的[目标角色,例如:初级DevOps工程师]。
对于每个场景:
1. 定义借口(例如:紧急IT支持、供应商付款更新)。
2. 起草初始的钓鱼邮件或Slack消息内容。
3. 解释所使用的心理触发因素(例如:紧急性、权威性、恐惧)。
收益: 用现实的、针对特定角色的诱饵持续更新您的安全意识培训材料。
8. 漏洞优先级排序(结合上下文解读CVSS)
最适合: Claude(擅长细致的风险分析)
如果资产未暴露,高CVSS分数并不总是意味着“立即修补”。
我有一个漏洞[CVE ID],其CVSS分数为9.8。
资产上下文:[上下文,例如:内部遗留服务器、物理隔离、无互联网访问、存储敏感数据]。
请根据资产上下文,重新评估实际风险。与一个面向公众的Web服务器上CVSS 7.5的漏洞相比,是否应优先处理此漏洞?请根据可利用性和业务影响来证明您的答案。
收益: 帮助从“修补所有漏洞”转向“修补重要漏洞”,优化资源分配。
9. 自动化用于API安全测试的JSON/Python脚本
最适合: DeepSeek 或 ChatGPT(强大的编码能力)
安全分析师经常需要与API交互以测试损坏的对象级别授权(BOLA)。
使用‘requests’库编写一个Python脚本来测试API端点:[API URL]。
该脚本应:
1. 使用Bearer令牌进行身份验证。
2. 遍历用户ID列表(1到100)。
3. 尝试访问每个ID的‘/account/details’端点。
4. 记录任何返回200 OK状态码的响应,这表明可能存在损坏的对象级别授权(BOLA)。
收益: 自动化检测手动测试可能遗漏的常见API漏洞。
10. 威胁情报总结与TTP映射
最适合: Gemini(擅长综合多个数据点)
将威胁行为者的行为映射到MITRE ATT&CK框架对于防御至关重要。
我正在粘贴一份关于[威胁组织名称,例如:APT29]的威胁情报报告。
[粘贴报告文本]
请根据此文本:
1. 提取战术、技术和程序(TTPs)。
2. 将这些TTPs映射到特定的MITRE ATT&CK ID。
3. 基于这些TTPs,建议3个具体的检测规则来实施。
收益: 将非结构化的威胁情报报告转化为可操作的防御矩阵。
专业技巧:“脱敏上下文”链
切勿将原始PII(个人可识别信息)、真实密码或特定的内部IP地址粘贴到公共大语言模型中。相反,在输入提示词之前使用数据脱敏。
错误输入: “分析IP 192.168.1.50和用户[email protected]的日志。”
正确输入: “分析[目标_IP]和[目标_用户]的日志。将[目标_IP]视为内部关键资产。”
通过链接这种脱敏的上下文,您可以在保持操作安全(OpSec)的同时,仍然利用AI的推理能力。
网络安全分析师的有效性始终依赖于比对手更快处理信息的能力。通过将这些提示词整合到您的日常工作中,您并不是在取代您的专业知识;而是在扩展它。专注于分析、策略和决策,让AI来处理语法、总结和繁琐的数据解析。