通讯设备供应商PSIRT网络安全日报自动化搭建指南
恭喜您成功启动本地n8n!作为PSIRT安全负责人,您需要关注的不是泛泛的科技新闻,而是与通讯设备、网络基础设施紧密相关的安全漏洞和攻击事件。这份指南将完全围绕您的专业需求定制,帮助您今天内完成专属的网络安全日报自动化系统。
一、您需要关注的信息类型
作为通讯设备供应商的PSIRT负责人,您应该重点关注以下四类信息:
| 信息类型 | 说明 | 示例来源 |
|---|---|---|
| CVE漏洞通告 | 通讯设备相关的官方漏洞披露 | CVE Details、NVD、厂商安全公告 |
| 攻击事件 | 针对电信运营商、网络设备的真实攻击案例 | 近期韩国KT基站攻击事件 |
| 厂商安全动态 | 竞争对手/合作伙伴的安全能力建设 | 合勤加入FIRST、威强电成立PSIRT |
| 漏洞利用情报 | 已知漏洞被活跃利用的情况(KEV) | CISA Known Exploited Vulnerabilities |
二、准备工作:获取专用API密钥
在开始前,请准备好以下密钥:
| 服务 | 用途 | 推荐获取方式 |
|---|---|---|
| 漏洞信息API | 获取CVE漏洞数据 | NVD API(免费,需申请) |
| 新闻聚合API | 获取安全事件新闻 | NewsAPI(免费)或 GNews API |
| AI模型API | 智能筛选和生成摘要 | OpenAI API 或 Google Gemini |
| Telegram Bot | 接收日报推送 | 通过 @BotFather 创建,获取 token 和 chat ID |
专业提示:NVD(National Vulnerability Database)是漏洞信息的权威来源,包含CVE详情、CVSS评分、受影响产品版本等关键信息,对PSIRT工作至关重要。
三、分步搭建PSIRT专属日报工作流
第1步:设置关注领域(通讯安全关键词)
添加 Set 节点,定义您关注的领域。以下是根据通讯设备供应商特点定制的关键词:
| 字段名 | 值(可自定义修改) |
|---|---|
topics |
"telecom, telecommunications, network equipment, router, switch, firewall, 5G, LTE, femtocell, base station, CVE, vulnerability, exploit, RCE, privilege escalation, DoS, ISP, telco" |
language |
"Chinese" |
cvss_threshold |
7.0(只关注CVSS评分≥7.0的高危漏洞) |
device_keywords |
"router, switch, gateway, firewall, access point, CPE, ONT, DSL, modem" |
为什么这样设置?
- 包含
femtocell(毫微微蜂窝基站):近期韩国KT事件暴露此类设备存在严重安全隐患 - 包含
telecom/telco/ISP:关注电信运营商级设备 - 包含
CVE/vulnerability:直接捕获漏洞通告
第2步:多源信息采集(核心改进)
作为PSIRT负责人,不能只依赖单一新闻源。建议并行采集三类信息源,然后用Merge节点合并。
A. 漏洞信息源(NVD API)
添加 HTTP Request 节点,配置如下:
| 参数 | 配置内容 |
|---|---|
| Method | GET |
| URL | https://services.nvd.nist.gov/rest/json/cves/2.0?keywordSearch={``{encodeURIComponent($json.device_keywords)}}&cvssV3Severity=HIGH&startIndex=0&resultsPerPage=20 |
| Authentication | Generic Credential,填入你的NVD API Key |
此API会返回过去一周内发布的、CVSS评分HIGH(≥7.0)且与你的设备关键词相关的CVE漏洞。
B. 安全事件新闻源(NewsAPI)
添加第二个 HTTP Request 节点:
| 参数 | 配置内容 |
|---|---|
| Method | GET |
| URL | https://newsapi.org/v2/everything?q={``{encodeURIComponent($json.topics)}}&from={``{$today.minus(7, "days").toFormat("yyyy-MM-dd")}}&sortBy=publishedAt&language=en&apiKey=YOUR_API_KEY |
C. 厂商安全公告(RSS Feed)- 进阶选项
对于特定厂商(如Cisco、华为、Zyxel等),可以添加 RSS Feed Read 节点,订阅其PSIRT公告RSS。
合并信息源 :在三个采集节点后,添加 Merge 节点(选择"Combine All Data"模式),将所有信息汇总。
第3步:AI智能筛选(识别真正重要的漏洞)
这是整个工作流的"大脑"。添加 AI Agent 节点,配置以下prompt:
你是一名通讯设备厂商的PSIRT(产品安全事件响应团队)负责人。你的任务是筛选出今天最重要的网络安全漏洞和事件,用于制作每日行业日报。 **筛选原则:** 1. 只保留与**通讯设备、网络基础设施**强相关的内容 2. 优先保留: - CVSS评分≥7.0的高危漏洞 - 涉及设备类型:路由器、交换机、防火墙、基站、CPE、ONT、调制解调器 - 涉及攻击类型:远程代码执行(RCE)、权限提升、身份验证绕过 - 真实攻击事件(如韩国KT事件这类) 3. 删除: - 与通讯无关的通用软件漏洞(如仅影响桌面软件) - 低风险或需要复杂交互条件的漏洞 **输出格式:** 严格输出JSON数组,每个元素包含: - title(标题) - summary(1-2句摘要,说明影响设备及风险) - cvss(CVSS评分,若无则填"N/A") - affected_products(受影响产品列表) - link(原文链接) - category(分类:漏洞通告/攻击事件/厂商动态) 用户关注领域关键词:{``{$json.topics}} 设备关键词:{``{$json.device_keywords}} CVSS阈值:{``{$json.cvss_threshold}} 输入信息: {``{$json.articles.map(a => JSON.stringify(a)).join('\n')}}
第4步:拆分处理
添加 Split Out 节点:
- Field to Split Out :填入
articles(假设AI输出字段名) - 将筛选出的5-8条重要信息拆分为独立条目
第5步:AI深度分析(为每条信息添加PSIRT视角)
再添加一个 AI Agent 节点,对每条信息进行专业分析:
你是一名资深PSIRT分析师。请对以下漏洞/事件进行分析,输出JSON格式。 输入信息: 标题:{``{$json.title}} 摘要:{``{$json.summary}} CVSS评分:{``{$json.cvss}} 受影响产品:{``{$json.affected_products}} **分析要求:** 1. 评估该漏洞对**通讯设备供应商**的实际影响(是否可能影响类似产品线) 2. 判断是否需要立即采取行动(是/否)及理由 3. 如果已知缓解措施,简要说明 4. 用{``{$('Set').item.json.language}}输出 **输出JSON格式:** { "title": "原标题(可润色使其更精准)", "analysis": "2-3句话的专业分析,从PSIRT视角出发", "action_required": true/false, "action_reason": "如需行动,简要理由", "mitigation": "已知缓解措施(如无可填'暂无')", "cvss": "评分", "link": "原文链接", "category": "分类" }
第6步:聚合生成日报
添加 Aggregate 节点,将分析后的条目合并。
第7步:生成日报文本
添加 Code 节点(或再一个AI节点),将数据格式化为可读日报:
// JavaScript Code 节点 const items = $input.all(); const date = new Date().toLocaleDateString('zh-CN', { year: 'numeric', month: 'long', day: 'numeric' }); let report = `# 📡 通讯设备安全日报 - ${date}\n\n`; report += `## 📊 今日概览\n`; report += `- 漏洞通告:${items.filter(i => i.json.category === '漏洞通告').length}条\n`; report += `- 攻击事件:${items.filter(i => i.json.category === '攻击事件').length}条\n`; report += `- 厂商动态:${items.filter(i => i.json.category === '厂商动态').length}条\n`; report += `- 需立即关注:${items.filter(i => i.json.action_required === true).length}条\n\n`; report += `---\n\n`; items.forEach((item, index) => { const a = item.json; report += `### ${index+1}. ${a.title}\n\n`; report += `**类别**:${a.category} | **CVSS**:${a.cvss}\n\n`; report += `${a.analysis}\n\n`; if (a.action_required) { report += `⚠️ **需关注**:${a.action_reason}\n\n`; } if (a.mitigation && a.mitigation !== '暂无') { report += `🛠️ **缓解措施**:${a.mitigation}\n\n`; } report += `[查看原文](${a.link})\n\n`; report += `---\n\n`; }); return [{ json: { report: report } }];
第8步:推送到Telegram
添加 Telegram 节点:
- Credential:选择你的Telegram Bot凭证
- Chat ID:你的Telegram ID
- Text :
{``{$json.report}} - Parse Mode :选择
Markdown
四、完整工作流结构图
Schedule Trigger (每日8:00) ↓ Set (定义关键词) ↓ ┌─────────────────────────────────────┐ │ 并行的三个采集节点 │ ├─────────────────────────────────────┤ │ NVD API → 高危漏洞 │ │ NewsAPI → 安全事件 │ │ RSS Feed → 厂商公告 (可选) │ └─────────────────────────────────────┘ ↓ Merge (合并所有数据) ↓ AI Agent 1 (智能筛选) ↓ Split Out (拆分) ↓ AI Agent 2 (深度分析) ↓ Aggregate (聚合) ↓ Code (生成日报文本) ↓ Telegram (推送)
五、日报示例(基于真实事件)
# 📡 通讯设备安全日报 - 2026年2月25日 ## 📊 今日概览 - 漏洞通告:2条 - 攻击事件:1条 - 厂商动态:1条 - 需立即关注:1条 --- ### 1. 韩国电信基站安全漏洞导致大规模数据泄露 **类别**:攻击事件 | **CVSS**:9.8 **分析**:韩国电信(KT)的毫微微蜂窝基站使用相同数字证书且未设root密码,导致攻击者可克隆基站并窃听通话。这是典型的设备出厂安全配置缺陷,需排查贵公司类似产品是否也存在默认凭据、证书唯一性问题。 ⚠️ **需关注**:建议立即检查产品线中是否有类似小型基站、CPE类设备使用了全局证书或默认凭据。 🛠️ **缓解措施**:1) 确保每台设备出厂时生成唯一证书 2) 禁用默认密码强制首次修改 3) 加密存储敏感配置 [查看原文](https://example.com/kt-breach) --- ### 2. 普莱德科技工业级网关存在RCE漏洞 (CVE-2025-9972) **类别**:漏洞通告 | **CVSS**:9.8 **分析**:工业级行动通讯闸道器存在OS命令注入漏洞,未经认证的远程攻击者可执行任意指令。此类漏洞在网通设备中较为常见,多源于输入过滤不严。需排查类似功能模块的代码安全性。 [查看原文](https://www.twcert.org.tw/cp-132-10389-265a3-1.html) --- ### 3. 合勤PSIRT获国际FIRST组织认可 **类别**:厂商动态 | **CVSS**:N/A **分析**:合勤成为台湾网通业首家加入FIRST的PSIRT团队,此举有助于共享全球威胁情报与漏洞信息。作为同行,可关注其安全治理经验,尤其是漏洞披露机制(VDP)与CVE编号授权制度建设。 [查看原文](https://www.chinatimes.com/realtimenews/20251027002184-260410)
六、进阶优化建议
完成基础版后,可以逐步增加以下功能:
| 优化项 | 实现方式 | 价值 |
|---|---|---|
| KEV清单比对 | 添加节点抓取CISA Known Exploited Vulnerabilities,与漏洞列表自动比对 | 识别正在被活跃利用的漏洞,优先处置 |
| SBOM关联 | 将日报中的CVE与公司产品的SBOM进行自动匹配 | 快速判断是否影响自研产品 |
| 历史去重 | 用n8n Data Table存储历史日报,避免重复推送 | 减少信息冗余 |
| 严重度分级 | 根据CVSS评分+影响产品自动标记红/黄/绿等级 | 一目了然关注重点 |
| 邮件存档 | 添加Gmail节点,每日自动归档完整版日报 | 便于后续追溯 |
七、今日完成清单
- 获取NVD API Key、NewsAPI Key、OpenAI API Key
- 在n8n中配置上述Credential
- 按照指南搭建8个节点的工作流
- 测试执行,查看是否成功推送
- 调整Prompt关键词,优化筛选效果
- 激活定时器,明天早上8点自动接收第一期日报
最后提醒 :作为PSIRT负责人,您的工作不仅是获取信息 ,更是转化为行动。日报中的"需立即关注"项,建议建立内部工单流转机制(这正是您的第二个需求------智能问答+工单创建可以实现的)。祝您今日顺利完成自动化日报系统,从此告别手动刷安全新闻!