本章为该系列的第15篇，也是事中迎战的第5篇。工作日报、技战法、布防报告、事件处置报告、协同联动报告、总结报告、应急响应报告……各种报告也算是演习工作中的一大特色了，曾经请教过一位资深业内人士，后续的演练有没有可能取消各种报告任务，他的回答是：“不太可能，毕竟是呈现成果的直接方式，领导能看得懂。”

写过的应该都知道，这活没那么容易，不比盯监控轻松，这一篇咱们就聊聊各种报告怎么写。

一、 报告组

不知道大家有没有被各种小作文、大论文困扰过，防守单位为了在演练中获得好成绩，不会放弃任何一个报告加分的机会。一些防守单位会专门设立报告组来应对各类报告编写任务，如果有采购安全公司主防服务的，还可以让厂商提供报告编写人员。总之，写报告要有专人负责。

二、 日报

汇总每天的情况给指挥部汇报，这是让高层看到安全工作的机会。内容可以由监控组、分析研判组、处置组、分支附属机构提供基础内容，报告组汇总整理。
当天的日报素材通常下班后才能收集齐，所以汇总整理完成后的时间一般都比较晚了，加班是避免不了的，处理日报的人会比较辛苦。如果人手足够的话，写日报的人也可以排班，大家轮流加班。

三、 技战法

每天一篇，这个也比较难搞，建议演练前就开始准备，向各个领域的负责人征集议题，如果有一定权力的话，可以作为工作KPI分派给不同负责人。
技战法只需要针对一个点进行详细介绍，无需写成大而全的报告，可以针对一个典型问题介绍切实可落地执行的措施，包括但不限于应对新型攻击、针对具体事件开展应急处置、安全运营、安全管理、策略配置等。
技战法写的好有机会获得组织方嘉奖，对个人和组织都有好处，建议大家认真对待。抛开获不获奖，其实写文章也是一次对工作的系统总结和思考，在总结的过程中，说不定会给我们带来新的思路。

四、 应急响应报告

如果您的企业不幸出现了安全事件，免不了要写应急响应报告，针对攻击事件进行全面分析还原，可从此事件的检测发现、分析研判、应急处置、攻防对抗等方面进行详细描述。应急响应报告可以按照如下框架编写：

4.1 监测发现

检测发现概况：体现及时性。
攻击类型判断：描述攻击方攻击行为是否有效，明确攻击方的攻击手段，提供攻击类型证据材料，包括但不限于以下攻击手段，供参考：①对重点人投毒进行社工攻击、②发现隐蔽攻击隧道、③发现重要敏感数据被窃取、④系统被控制、植入木马等、⑤邮件系统被盯控 、⑥近源攻击突破网络防线、⑦供应链打击、⑧通过下属单位、跨网，迂回攻击、⑨内网敏感信息被搜集利用、⑩漏洞利用、口令盗用、权限提升等高危操作。

4.2 分析研判

攻击痕迹提取：能够提取该起事件对应的攻击日志，能够发现恶意进程、捕获攻击样本、发现篡改账号等。
攻击样本/payload分析：描述能够对该起事件涉及的恶意进程、样本、exp等进行分析，包括功能特点、回连信息等。能够对攻击源IP位置及资产数据、攻击频次、攻击历史信息、攻击意图等进行分析。

4.3 应急处置

事件分类分级：描述本单位网络安全分级分类管理办法和，确定此事件性质。
应急响应预案：描述本单位网络安全应急处置预案，确定此事件处置方案。
风险抑制措施：描述本单位抑制攻击所采取的手段及效果，例如：阻断互联网侧攻击源（如IP、物理接口、服务、处置社会工程学攻击的方式与效果等）；阻断内网攻击入口或攻击跳板。

4.4 通报预警

通报流程：针对该起事件，是否规范开展通报工作，包括：通报发布的及时性；通报发布渠道的规范性，提供及时通讯、邮件、通报平台发送截图；通报内容要详尽，如提供事件级别、威胁类型、事件截图、发现时间、涉及对象、威胁方式、严重程度、防范措施及建议等信息。

4.5 追踪溯源

攻击链溯源：还原攻击链条维度包括：定位攻击入口、锁定内网跳板、还原攻击路径，刻画出完整的攻击链条。

4.6 排查整改

• 【整改加固】：

确定该起事件涉及的资产范围、资产所属单位、运营单位等，例如落查到具体涉事单位和系统。描述整改措施，提供清除被攻击利用的问题隐患详细方案，描述完善防护策略方案。

• 【全面排查整改】：

大范围内开展排查整改，描述详细排查整改方案；提供正式通知；描述排查整改成果成效，对排查结果要有反馈或验证。
应急报告模板就是一套完整的应急响应流程，真实的应急响应完全可以按照报告中的要素去执行。不过还是祝愿大家都平平安安的，不要写这份报告。

五、布防报告

这是一份整体介绍安全防御体系的报告，布防报告完全可以摘录年度工作总结中的内容，根据实际工作中涉及到的工作领域，介绍我们是如何做的，可参考以下领域分别进行介绍：

网络安全

终端安全

邮件安全

云安全

容器安全

应用安全

安全资产管理

漏洞管理

安全运营

……

六、协同联动报告

可以从以下两方面描述在贵公司如何进行实际落地：
技术方面：告警日志的联动聚合，汇总到统一平台（如SOC、SIEM）集中分析，再联动多个安全设备协同处置安全事件（SOAR）。
组织方面：结合组织架构，介绍如何将演练相关方有机统筹，包括各团队、各部门、分支附属机构、同行业其他公司、行业组织等。

七、 总结报告

立意站位要高，整个文章可以采用以下结构：

引言，标准的背景介绍，这一段很适合用GPT写。

前期准备，为了演练我们做了哪些工作，效果如何，最好有一些数据展示，可以复用布防报告中的内容。

演练成效，描述演练期间我们如何在领导的指挥下井然有序开展工作，最好有一些数据展示。
结尾，总结升华一下，这一段也适合用GPT写。

文章标题和各个章节标题尽可能体现文采，标题写得好很能抓住读者眼球，会写公文的朋友可以在总结报告里多绽放一下你的光彩。

八、总结

报告属于加分项，防守单位需要根据自身情况来安排在报告上面的资源投入，写报告的工作量很大，资源有限的情况下，应该优先保证不减分，再考虑加分项。如果您有余力争取报告加分，可以参考上面的主题提前准备材料，为演练期间减轻压力。
如果这篇文章你只能记住一件事的话，那请记住：明确各类报告的框架，由专人来写。

原创 十九线菜鸟学安全