Agent Skills by ALSEL
汎用セキュリティ⭐ リポ 5品質スコア 77/100

domain-investigation

ユーザーがドメインやホスト名の調査、確認、または特性把握をリクエストした場合に使用します。VirusTotal、URLScan(既存スキャン検索)、Shodan(DNS解決+ホスト情報)、OTX、ransomware.live(被害者ステータス確認)、およびオプションでCensysをチェーン処理します。レピュテーション、解決結果、ホスティングフィンガープリント、ランサムウェア請求ステータス、およびピボット候補を返却します。対象がドメインである場合、/cti-orchestratorによって実行されます。

description の原文を見る

Use when a user asks to investigate, check, or characterize a domain or hostname. Chains VirusTotal, URLScan (search existing scans), Shodan (DNS resolve + host), OTX, ransomware.live (victim-status sweep), and optionally Censys. Returns reputation, resolution, hosting fingerprint, ransomware-claim status, and pivot candidates. Invoked by /cti-orchestrator when the target is a domain.

SKILL.md 本文

domain-investigation

ドメインまたはホスト名を端末から端末まで調査します。lookup-* スキルをチェーンし、統合し、フォローアップIOCを優先順位付けし、評価済みの調査サマリーを返します。

このスキルが呼び出すもの: /lookup-virustotal, /lookup-urlscan, /lookup-shodan, /lookup-otx, /lookup-ransomwarelive, オプション /lookup-censys, オプション /lookup-misp (内部相関)、その後 /source-assessment, /tlp-guide, /confidence-levels

呼び出しのタイミング

  • ユーザーがドメイン/ホスト名の調査、確認、またはエンリッチメントを要求した場合
  • ユーザーが疑わしいドメインを貼り付けて「これは何ですか?」と聞いた場合
  • /url-investigation がより深いコンテキストのために親ドメインを引き継いだ場合
  • /ip-investigation が調査する価値のあるホスト名を検出した場合

入力

indicator: <domain or hostname>
context: <optional>
tlp_ceiling: <optional, default AMBER>

手順

1. 検証 + トリアージ

  • 有効なドメインとして解析されることを確認してください(IP、URL は拒否し、適切なスキルにルーティング)
  • 明らかな誤検知をチェック(トップ1M ドメイン、自社インフラ)
  • data/iocs/ で以前のエンリッチメントをチェック

2. 並列ルックアップ

/lookup-virustotal domain <value>    # reputation + WHOIS-ish
/lookup-urlscan domain <value>       # existing scans (search, not submit)
/lookup-shodan domain <value>        # DNS resolve + host fingerprint of the resolved IP
/lookup-otx domain <value>           # community pulses + passive DNS
/lookup-ransomwarelive search --q <org-candidate>   # victim-status sweep

ransomware.live スイープの場合、ドメインからパブリックサフィックスと一般的なサブドメイン(www.acme-corp.comacme-corp または acme corp)を削除して org-candidate を派生させます。apexにハイフンまたはドットが含まれている場合は、最初のラベルだけも試してください。PRO ティアは1回の呼び出しで完全なマッチセットを返します(ページネーションなし)。そのため、2つの候補クエリは最大で1日の予算3000呼び出しのうち2つのコストで済みます。

オプション:

/lookup-censys search "services.tls.certificates.leaf_data.subject.common_name: <domain>"
# 証明書ピボッティングが価値的である場合のみ。クエリクレジットがかかります
/lookup-misp search-attributes --value <domain>
# 自社のカタログ化されたイベントに対する内部相関

3. 統合

indicator: <domain>
type: domain
consolidated_verdict: malicious | suspicious | clean | unknown
reputation:
  vt_detection_ratio: <X/Y>
  vt_categories: [<list>]
  otx_pulse_count: <n>
registration:
  registrar: <...>
  creation_date: <...>
  age_days: <calc>
dns:
  resolved_ip: <...>
  passive_dns: [<historical resolutions>]
  ns: [<name servers>]
hosting:
  asn: <from shodan on resolved ip>
  org: <...>
  country: <...>
  certificates: <present/absent, recent renewal?>
content:
  urlscan_verdict: <from existing scans>
  urlscan_screenshot: <URL if available>
community_context:
  pulse_count: <...>
  malware_families: [<...>]
  attributed_actors: [<...>]
ransomware_status:
  matched_total: <n>             # org-candidateにマッチするリークサイト請求総数
  high_confidence_matches:       # ウェブサイト OR タイトルがドメインに明確にマッピングされるエントリのみ
    - victim_id: <...>
      title: <...>
      group: <ransomware group>
      country: <CC>
      sector: <...>
      published: <ISO date>
      website: <victim website if present>
      description_excerpt: <最初の200文字  慎重に引用、犯罪者が作成>
      permalink: <ransomware.live record URL>
  notes: <帰属注意書き  名前の衝突は一般的です。例: 「Acme」は多くの企業です>
pivot_candidates:
  - type: ip
    value: <resolved_ip>
    reason: resolves_to
  - type: domain
    value: <cert_sibling>
    reason: shares_tls_cert
  - type: hash
    value: <communicating_file>
    reason: downloaded_from

4. ピボットの優先順位付け

  1. 解決されたIP(常時 — 疑わしい場合は /ip-investigation を実行)
  2. TLS証明書の兄弟ドメイン(強いインフラリンク)
  3. 新規登録ドメインクラスタ(created_date <30日 + 類似TLD/パターンの場合)
  4. VTからの通信ファイル(中程度)
  5. パッシブDNS近傍(低〜中程度)

5. 厳密性を適用

チェーン:

  • /source-assessment
  • /tlp-guide
  • /confidence-levels

6. 返却

title: "Domain Investigation: <domain>"
tlp: AMBER
confidence: <0-100>
summary: <2-3 sentences>
verdict: <...>
reputation: <...>
registration: <...>
dns: <...>
hosting: <...>
content: <...>
community_context: <...>
pivot_candidates: <top 3-5>
source_ratings: <...>
investigation_date: <ISO8601>
recommended_next_steps: <...>

特殊なケース

  • 新規登録ドメイン(<7日) — フィッシングキャンペーンで非常に一般的です。評判スコアが低い場合でもフラグを立ててください。兄弟ドメインを見つけるために積極的にピボットしてください。
  • パーク/シンクホールドメイン — URLScanはパーキングページを表示します。自動的に悪意のあるものとして扱わないでください。
  • 既知CDNのサブドメイン(例: xyz.cloudfront.net) — 興味深いデータはホスト名パターン + それが何をフロントしているかであり、CDN自体ではありません。

ランサムウェアクレーム ヒット — 慎重に処理

ransomware_status 内のマッチは、クエリされたドメインの所有者が侵害されたことを証明しません。報告する前に検証してください:

  1. 被害者レコード上の website フィールドをクロスチェックしてください。 クエリされたドメイン(またはそのapex)が含まれている場合、信頼度は高いです。空白または別のドメインである場合、名前の衝突の可能性として扱ってください。
  2. 一般的な名前の衝突。 ジェネリック apex文字列(acme, apple, delta, chase)は多くの無関係な組織にマッチします。matched_total だけを信頼するのではなく、常に手動で上位2〜3件の結果を検査してください。
  3. 信頼性の分割。 /lookup-ransomwarelive によると、グループの帰属 + 日付はB2(おそらく真実)ですが、犯罪者が作成した description フィールドはB3〜B4(しばしば誇張)です。慎重に引用し、独立した裏付けなしに流出サイトの請求を確認済みの侵害として提示しないでください。
  4. ヒットなしは清潔を意味しません。 Ransomware.live は公開流出サイト請求のみを追跡します。静かに支払われた被害者と恐喝にエスカレートしなかった侵入は決して表示されません。

関連スキル

  • /ip-investigation, /url-investigation, /hash-investigation
  • /indicator-pivoting — より深いグラフピボッティング
  • /threat-actor-profiling — ドメインが既知の攻撃者に帰属する場合(/lookup-ransomwarelive group-profile をランサムウェアグループに使用)
  • /ransomware-ecosystem — 被害者ヒットが発生した場合に相談するナレッジセル
  • /cti-orchestrator

ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ

詳細情報

作者
Liberty91LTD
リポジトリ
Liberty91LTD/cti-skills
ライセンス
MIT
最終更新
2026/5/9
GitHubで原本を見る →フィードバックを送る

Source: https://github.com/Liberty91LTD/cti-skills / ライセンス: MIT

本サイトは GitHub 上で公開されているオープンソースの SKILL.md ファイルをクロール・インデックス化したものです。 各スキルの著作権は原作者に帰属します。掲載に問題がある場合は info@alsel.co.jp または /takedown フォームよりご連絡ください。
原作者: Liberty91LTD · Liberty91LTD/cti-skills · ライセンス: MIT