Agent Skills by ALSEL
汎用セキュリティ⭐ リポ 5品質スコア 77/100

domain-investigation

ユーザーがドメインやホスト名の調査、確認、または特性把握をリクエストした場合に使用します。VirusTotal、URLScan(既存スキャン検索)、Shodan(DNS解決+ホスト情報)、OTX、ransomware.live(被害者ステータス確認)、およびオプションでCensysをチェーン処理します。レピュテーション、解決結果、ホスティングフィンガープリント、ランサムウェア請求ステータス、およびピボット候補を返却します。対象がドメインである場合、/cti-orchestratorによって実行されます。

description の原文を見る

Use when a user asks to investigate, check, or characterize a domain or hostname. Chains VirusTotal, URLScan (search existing scans), Shodan (DNS resolve + host), OTX, ransomware.live (victim-status sweep), and optionally Censys. Returns reputation, resolution, hosting fingerprint, ransomware-claim status, and pivot candidates. Invoked by /cti-orchestrator when the target is a domain.

SKILL.md 本文

domain-investigation

ドメインまたはホスト名を端末から端末まで調査します。lookup-* スキルをチェーンし、統合し、フォローアップIOCを優先順位付けし、評価済みの調査サマリーを返します。

このスキルが呼び出すもの: /lookup-virustotal, /lookup-urlscan, /lookup-shodan, /lookup-otx, /lookup-ransomwarelive, オプション /lookup-censys, オプション /lookup-misp (内部相関)、その後 /source-assessment, /tlp-guide, /confidence-levels

呼び出しのタイミング

  • ユーザーがドメイン/ホスト名の調査、確認、またはエンリッチメントを要求した場合
  • ユーザーが疑わしいドメインを貼り付けて「これは何ですか?」と聞いた場合
  • /url-investigation がより深いコンテキストのために親ドメインを引き継いだ場合
  • /ip-investigation が調査する価値のあるホスト名を検出した場合

入力

indicator: <domain or hostname>
context: <optional>
tlp_ceiling: <optional, default AMBER>

手順

1. 検証 + トリアージ

  • 有効なドメインとして解析されることを確認してください(IP、URL は拒否し、適切なスキルにルーティング)
  • 明らかな誤検知をチェック(トップ1M ドメイン、自社インフラ)
  • data/iocs/ で以前のエンリッチメントをチェック

2. 並列ルックアップ

/lookup-virustotal domain <value>    # reputation + WHOIS-ish
/lookup-urlscan domain <value>       # existing scans (search, not submit)
/lookup-shodan domain <value>        # DNS resolve + host fingerprint of the resolved IP
/lookup-otx domain <value>           # community pulses + passive DNS
/lookup-ransomwarelive search --q <org-candidate>   # victim-status sweep

ransomware.live スイープの場合、ドメインからパブリックサフィックスと一般的なサブドメイン(www.acme-corp.comacme-corp または acme corp)を削除して org-candidate を派生させます。apexにハイフンまたはドットが含まれている場合は、最初のラベルだけも試してください。PRO ティアは1回の呼び出しで完全なマッチセットを返します(ページネーションなし)。そのため、2つの候補クエリは最大で1日の予算3000呼び出しのうち2つのコストで済みます。

オプション:

/lookup-censys search "services.tls.certificates.leaf_data.subject.common_name: <domain>"
# 証明書ピボッティングが価値的である場合のみ。クエリクレジットがかかります
/lookup-misp search-attributes --value <domain>
# 自社のカタログ化されたイベントに対する内部相関

3. 統合

indicator: <domain>
type: domain
consolidated_verdict: malicious | suspicious | clean | unknown
reputation:
  vt_detection_ratio: <X/Y>
  vt_categories: [<list>]
  otx_pulse_count: <n>
registration:
  registrar: <...>
  creation_date: <...>
  age_days: <calc>
dns:
  resolved_ip: <...>
  passive_dns: [<historical resolutions>]
  ns: [<name servers>]
hosting:
  asn: <from shodan on resolved ip>
  org: <...>
  country: <...>
  certificates: <present/absent, recent renewal?>
content:
  urlscan_verdict: <from existing scans>
  urlscan_screenshot: <URL if available>
community_context:
  pulse_count: <...>
  malware_families: [<...>]
  attributed_actors: [<...>]
ransomware_status:
  matched_total: <n>             # org-candidateにマッチするリークサイト請求総数
  high_confidence_matches:       # ウェブサイト OR タイトルがドメインに明確にマッピングされるエントリのみ
    - victim_id: <...>
      title: <...>
      group: <ransomware group>
      country: <CC>
      sector: <...>
      published: <ISO date>
      website: <victim website if present>
      description_excerpt: <最初の200文字  慎重に引用、犯罪者が作成>
      permalink: <ransomware.live record URL>
  notes: <帰属注意書き  名前の衝突は一般的です。例: 「Acme」は多くの企業です>
pivot_candidates:
  - type: ip
    value: <resolved_ip>
    reason: resolves_to
  - type: domain
    value: <cert_sibling>
    reason: shares_tls_cert
  - type: hash
    value: <communicating_file>
    reason: downloaded_from

4. ピボットの優先順位付け

  1. 解決されたIP(常時 — 疑わしい場合は /ip-investigation を実行)
  2. TLS証明書の兄弟ドメイン(強いインフラリンク)
  3. 新規登録ドメインクラスタ(created_date <30日 + 類似TLD/パターンの場合)
  4. VTからの通信ファイル(中程度)
  5. パッシブDNS近傍(低〜中程度)

5. 厳密性を適用

チェーン:

  • /source-assessment
  • /tlp-guide
  • /confidence-levels

6. 返却

title: "Domain Investigation: <domain>"
tlp: AMBER
confidence: <0-100>
summary: <2-3 sentences>
verdict: <...>
reputation: <...>
registration: <...>
dns: <...>
hosting: <...>
content: <...>
community_context: <...>
pivot_candidates: <top 3-5>
source_ratings: <...>
investigation_date: <ISO8601>
recommended_next_steps: <...>

特殊なケース

  • 新規登録ドメイン(<7日) — フィッシングキャンペーンで非常に一般的です。評判スコアが低い場合でもフラグを立ててください。兄弟ドメインを見つけるために積極的にピボットしてください。
  • パーク/シンクホールドメイン — URLScanはパーキングページを表示します。自動的に悪意のあるものとして扱わないでください。
  • 既知CDNのサブドメイン(例: xyz.cloudfront.net) — 興味深いデータはホスト名パターン + それが何をフロントしているかであり、CDN自体ではありません。

ランサムウェアクレーム ヒット — 慎重に処理

ransomware_status 内のマッチは、クエリされたドメインの所有者が侵害されたことを証明しません。報告する前に検証してください:

  1. 被害者レコード上の website フィールドをクロスチェックしてください。 クエリされたドメイン(またはそのapex)が含まれている場合、信頼度は高いです。空白または別のドメインである場合、名前の衝突の可能性として扱ってください。
  2. 一般的な名前の衝突。 ジェネリック apex文字列(acme, apple, delta, chase)は多くの無関係な組織にマッチします。matched_total だけを信頼するのではなく、常に手動で上位2〜3件の結果を検査してください。
  3. 信頼性の分割。 /lookup-ransomwarelive によると、グループの帰属 + 日付はB2(おそらく真実)ですが、犯罪者が作成した description フィールドはB3〜B4(しばしば誇張)です。慎重に引用し、独立した裏付けなしに流出サイトの請求を確認済みの侵害として提示しないでください。
  4. ヒットなしは清潔を意味しません。 Ransomware.live は公開流出サイト請求のみを追跡します。静かに支払われた被害者と恐喝にエスカレートしなかった侵入は決して表示されません。

関連スキル

  • /ip-investigation, /url-investigation, /hash-investigation
  • /indicator-pivoting — より深いグラフピボッティング
  • /threat-actor-profiling — ドメインが既知の攻撃者に帰属する場合(/lookup-ransomwarelive group-profile をランサムウェアグループに使用)
  • /ransomware-ecosystem — 被害者ヒットが発生した場合に相談するナレッジセル
  • /cti-orchestrator

ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ

詳細情報

作者
Liberty91LTD
リポジトリ
Liberty91LTD/cti-skills
ライセンス
MIT
最終更新
2026/5/9
GitHubで原本を見る →フィードバックを送る

Source: https://github.com/Liberty91LTD/cti-skills / ライセンス: MIT

関連スキル

Anthropic Claudeセキュリティ⭐ リポ 8,981

secure-code-guardian

認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。

by Jeffallan
汎用セキュリティ⭐ リポ 1,982

claude-authenticity

APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。

by LeoYeAI
Anthropic Claudeセキュリティ⭐ リポ 2,159

anth-security-basics

Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。

by jeremylongshore
汎用セキュリティ⭐ リポ 699

x-ray

x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。

by pashov
汎用セキュリティ⭐ リポ 677

semgrep

Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。

by wimpysworld
汎用セキュリティ⭐ リポ 591

ghost-bits-cast-attack

Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。

by yaklang
本サイトは GitHub 上で公開されているオープンソースの SKILL.md ファイルをクロール・インデックス化したものです。 各スキルの著作権は原作者に帰属します。掲載に問題がある場合は info@alsel.co.jp または /takedown フォームよりご連絡ください。
原作者: Liberty91LTD · Liberty91LTD/cti-skills · ライセンス: MIT