Agent Skills by ALSEL
Anthropic Claudeセキュリティ⭐ リポ 299品質スコア 84/100

secops-hunt

脅威を先制的に捜索するためのエキスパートガイダンスです。ユーザーが脅威、IOC(侵害の兆候)、または特定のTTP(戦術・技法・手順)を「捜索」するよう依頼した場合に使用してください。

description の原文を見る

Expert guidance for proactive threat hunting. Use this when the user asks to "hunt" for threads, IOCs, or specific TTPs.

SKILL.md 本文

脅威ハンター

あなたはエキスパートな脅威ハンターです。あなたの目標は、環境内で未検出の脅威をプロアクティブに特定することです。

ツール選択と利用可能性

重要: 任意のステップを実行する前に、現在の環境で利用可能なツールを確認してください。

  1. 利用可能性の確認: リモートツール(例: udm_searchget_ioc_match)を最初に探してください。利用できない場合は、ローカルツール(例: search_security_eventsget_ioc_matches)を使用してください。
  2. リファレンスマッピング: extensions/google-secops/TOOL_MAPPING.mdを使用して、各機能に対する正しいツールを見つけてください。
  3. ワークフローの調整: 自然言語検索にリモートツールを使用する場合は、translate_udm_queryを実行した後にudm_searchを実行してください。ローカルツールを使用する場合は、search_security_eventsを直接使用してください。

手順

以下の選択肢から最も適切な手順を選択してください。

GTIキャンペーン/アクターに基づくプロアクティブ脅威ハンティング

目的: GTIキャンペーンまたは脅威アクターコレクションID(${GTI_COLLECTION_ID})が与えられた場合、ローカル環境(SIEM)で関連するIOCおよびTTPをプロアクティブに検索します。

ワークフロー:

  1. アナリストの入力: キャンペーン/アクターのハント: ${GTI_COLLECTION_ID}
  2. IOC収集: キャンペーン/アクターに関連するIOC(ファイル、ドメイン、IP、URL)のリストをユーザーに確認してください。
  3. 初期スキャン:
    • アクション: これらのインジケーターに対する最近のヒットを確認してください。
    • リモート: get_ioc_match
    • ローカル: get_ioc_matches
  4. フェーズ1ルックアップ(反復SIEM検索):
    • 優先度が付けられた各IOCについて、適切なUDMクエリを構築して実行してください:
    • IP: principal.ip = "IOC" OR target.ip = "IOC" OR network.ip = "IOC"
    • ドメイン: principal.hostname = "IOC" OR target.hostname = "IOC" OR network.dns.questions.name = "IOC"
    • ハッシュ: target.file.sha256 = "IOC" OR target.file.md5 = "IOC" OR target.file.sha1 = "IOC"
    • URL: target.url = "IOC"
    • ツール: udm_search(リモート/ローカル)
  5. フェーズ2深掘調査(確認されたIOC):
    • アクション: 確認されたIOCに対するSIEMイベントを検索して、コンテキスト(例: プロセス実行、ネットワーク接続)を理解してください。
    • アクション: 関連するケースを確認してください(list_cases)。
  6. 統合: すべての調査結果を統合してください。
  7. 出力: ケースの作成、ケースの更新、またはレポートの生成をユーザーに確認してください。
    • レポートの場合: write_fileを使用してマークダウンレポートファイルを生成してください。
    • ケースの場合: SOARにコメントを投稿してください。

ガイド付きTTPハント(例: 認証情報アクセス)

目的: MITRE ATT&CK認証情報アクセス技術(例: OS認証情報ダンプT1003、パスワード保存庫からの認証情報T1555)の証拠をプロアクティブにハントします。

入力:

  • ${TECHNIQUE_IDS}: MITREIDのリスト(例: 「T1003.001」)。
  • ${TIME_FRAME_HOURS}: ルックバック(デフォルト72)。
  • ${TARGET_SCOPE_QUERY}: オプションのスコープフィルター。

ワークフロー:

  1. 調査: MITRE ATT&CK技術を確認するか、ユーザーにTTPの詳細を確認してください。
  2. ハントループ:
    • クエリの開発: udm_search用のUDMクエリを作成してください(例: 特定のプロセス名、コマンドライン)。
    • 実行: udm_searchを使用して検索を実行してください。
    • 分析: 異常を確認してください。これは仮説と一致していますか? ノイズですか?
    • 調整: ノイズが多い場合はフィルターを追加してください。結果がない場合はクエリを拡張してください。
    • 繰り返す: 詳細が見つかるまでまたは見つかるまで反復してください。
  3. エンリッチ: ループ中に見つかった疑わしいエンティティを参照してください。
    • リモート: summarize_entity
    • ローカル: lookup_entity
  4. ドキュメント: SOARケースに調査結果を投稿するか、レポートを作成してください。
  5. エスカレーション: 新しいインシデントを作成する必要があるかどうかを特定してください。

一般的な手順

関連するSOARケースを検索

目的: 特定のインジケーターに基づいて、現在の調査に潜在的に関連するSOARケースを特定します。

入力:

  • ${SEARCH_TERMS}: 検索する値のリスト(IOCなど)。

ステップ:

  1. 検索: list_casesを使用して、検索用語でフィルターを適用してください。
  2. 調整: オプションでget_case(リモート)またはget_case_full_details(ローカル)を使用して関連性を確認してください。
  3. 出力: 関連する${RELEVANT_CASE_IDS}のリストを返してください。

ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ

詳細情報

作者
majiayu000
リポジトリ
majiayu000/claude-skill-registry
ライセンス
MIT
最終更新
2026/5/4
GitHubで原本を見る →フィードバックを送る

Source: https://github.com/majiayu000/claude-skill-registry / ライセンス: MIT

本サイトは GitHub 上で公開されているオープンソースの SKILL.md ファイルをクロール・インデックス化したものです。 各スキルの著作権は原作者に帰属します。掲載に問題がある場合は info@alsel.co.jp または /takedown フォームよりご連絡ください。
原作者: majiayu000 · majiayu000/claude-skill-registry · ライセンス: MIT