tenzir-ocsf
OCSF(Open Cybersecurity Schema Framework)に関する質問にお答えします。ユーザーがOCSFのクラス、オブジェクト、属性、プロファイル、拡張機能、またはイベント正規化について質問した場合に使用します。
description の原文を見る
Answer questions about OCSF (Open Cybersecurity Schema Framework). Use when the user asks about OCSF classes, objects, attributes, profiles, extensions, or event normalization.
SKILL.md 本文
OCSF
OCSFリファレンスドキュメントを参照して、これらのソースから回答してください。読んだファイルからのみ事実を述べてください。スキーマの詳細を作り出さないでください。ドキュメントに質問の内容が含まれていない場合は、その旨を述べてください。
バージョン
ユーザーが特定のバージョンをリクエストしない限り、最新の安定版を使用してください。1つの回答につき1つのバージョンに統一してください。
各バージョンページはそのクラス、オブジェクト、プロファイル、拡張機能、型にリンクしています。
ファイル構成
introduction.md # OCSF概要と概念セクション
introduction/{section}.md
faqs.md # スキーマ設計の根拠
faqs/{slug}.md
articles.md # 特定のトピックに関する詳細ガイド
articles/{slug}.md
{version}.md # バージョン概要(新機能、統計情報)
{version}/classes.md # カテゴリ別にグループ化されたクラスインデックス
{version}/classes/{name}.md
{version}/objects.md
{version}/objects/{name}.md
{version}/profiles.md
{version}/profiles/{name}.md
{version}/extensions.md
{version}/extensions/{name}/index.md
{version}/extensions/{name}/events/{event}.md
{version}/extensions/{name}/objects/{object}.md
{version}/extensions/{name}/profiles/{profile}.md
{version}/types.md
質問のルーティング
質問の種類に応じて、最短の読書パスを選択してください。
| 質問パターン | 最初に参照する場所 |
|---|---|
| イベントXに合うクラスはどれか? | 下記のカテゴリ表 → バージョンクラスインデックス → 候補クラスページ |
| クラス/オブジェクトYにはどの属性がありますか? | バージョンクラスまたはオブジェクトインデックス → 特定ページ |
| プロファイルはどのように機能しますか? / Xのプロファイルはどれですか? | 導入:プロファイル → バージョンプロファイルインデックス |
| スキーマを拡張するにはどうしたらよいですか? | 導入:拡張機能または拡張機能を使用したコアスキーマのパッチ |
| オブザーバブルを入力したり、アラートをモデル化したりするにはどうしたらよいですか? | FAQおよび記事 |
| バージョン間で何が変わったか? | 2つのバージョンページを比較 |
| 概念的/設計上の質問 | 導入 → FAQ |
クラスを選ぶよう質問される場合は、複数の候補を読み、トレードオフを説明してください。
ドメイン知識
コア概念
属性は、データ型を持つ名前付きフィールドです。すべてのOCSFフィールドには要件レベルがあります:必須、推奨、またはオプションです。
オブジェクトは関連する属性を再利用可能な構造にグループ化します。オブジェクトは他のオブジェクトをネストできます。
イベントクラスは特定のセキュリティイベント用のスキーマを定義します。各クラスはカテゴリに属し、Base Eventから継承します。
Base Eventはユニバーサル属性を提供し、より具体的なクラスが当てはまらない場合のキャッチオールとなります。
プロファイルは横断的な属性を追加するミックスインです。1つのクラスは複数のプロファイルを適用できます。
拡張機能はコアスキーマを変更せずにベンダー固有の属性を追加します。
イベントカテゴリ
個別のクラスページに進む前に、カテゴリ範囲を使用してスコープを絞ってください。
| 範囲 | カテゴリ | 焦点 |
|---|---|---|
| 1xxx | システムアクティビティ | OS レベル:プロセス、ファイル、モジュール、メモリ、カーネル、レジストリ |
| 2xxx | 検出結果 | 検出、脆弱性、インシデント、コンプライアンス |
| 3xxx | IAM | 認証、認可、アカウント、グループ変更 |
| 4xxx | ネットワークアクティビティ | 一般的なトラフィックおよびプロトコル固有のアクティビティ |
| 5xxx | ディスカバリー | デバイス、ユーザー、サービス、リソースの列挙 |
| 6xxx | アプリケーションアクティビティ | Webリソース、APIコール、ファイルホスティング、データストア操作 |
| 7xxx | 復旧 | ファイル、プロセス、ネットワーク、エンティティの復旧アクション |
| 8xxx | 無人機器 | ドローン、車両、ロボット |
命名規則
- すべて
snake_case:process_activity、network_endpoint。 - 配列は複数形の名前を使用:
answers、enrichments、attacks。 _idがOther(99)の場合、兄弟文字列にはソース値を入力する必要があります。
主要なサフィックス:
| サフィックス | 意味 |
|---|---|
_id | 兄弟文字列を持つ列挙型整数識別子(_id を除いた同じ名前)。0 = Unknown、99 = Other。 |
_uid | スキーマ一意またはエクスターナル一意識別子(分類属性は整数、それ以外は文字列)。兄弟は _name を使用。 |
_uuid | グローバルに一意な128ビット識別子(文字列)。兄弟なし。 |
_name | _uid または _id 属性の兄弟としてのフレンドリー名/キャプション。 |
_time | タイムスタンプ(timestamp_t、ミリ秒単位のエポック)。 |
_dt | 日時(datetime_t、RFC 3339文字列)。Date/Timeプロファイルによって _time 属性と共に追加されます。 |
_info / _detail | 補足情報を含むオブジェクト。 |
_process | Process オブジェクトへの参照。 |
_ver | バージョン文字列。 |
_list | 値の配列。 |
回答の原則
ライセンス: Apache-2.0(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- tenzir
- リポジトリ
- tenzir/skills
- ライセンス
- Apache-2.0
- 最終更新
- 2026/5/11
Source: https://github.com/tenzir/skills / ライセンス: Apache-2.0