tenzir-ocsf
OCSF(Open Cybersecurity Schema Framework)に関する質問にお答えします。ユーザーがOCSFのクラス、オブジェクト、属性、プロファイル、拡張機能、またはイベント正規化について質問した場合に使用します。
description の原文を見る
Answer questions about OCSF (Open Cybersecurity Schema Framework). Use when the user asks about OCSF classes, objects, attributes, profiles, extensions, or event normalization.
SKILL.md 本文
OCSF
OCSFリファレンスドキュメントを参照して、これらのソースから回答してください。読んだファイルからのみ事実を述べてください。スキーマの詳細を作り出さないでください。ドキュメントに質問の内容が含まれていない場合は、その旨を述べてください。
バージョン
ユーザーが特定のバージョンをリクエストしない限り、最新の安定版を使用してください。1つの回答につき1つのバージョンに統一してください。
1.0.01.1.01.2.01.3.01.4.01.5.01.6.01.7.01.8.0← 最新安定版1.9.0-dev← 未リリース開発スナップショット
各バージョンページはそのクラス、オブジェクト、プロファイル、拡張機能、型にリンクしています。
ファイル構成
introduction.md # OCSF概要と概念セクション
introduction/{section}.md
faqs.md # スキーマ設計の根拠
faqs/{slug}.md
articles.md # 特定のトピックに関する詳細ガイド
articles/{slug}.md
{version}.md # バージョン概要(新機能、統計情報)
{version}/classes.md # カテゴリ別にグループ化されたクラスインデックス
{version}/classes/{name}.md
{version}/objects.md
{version}/objects/{name}.md
{version}/profiles.md
{version}/profiles/{name}.md
{version}/extensions.md
{version}/extensions/{name}/index.md
{version}/extensions/{name}/events/{event}.md
{version}/extensions/{name}/objects/{object}.md
{version}/extensions/{name}/profiles/{profile}.md
{version}/types.md
質問のルーティング
質問の種類に応じて、最短の読書パスを選択してください。
| 質問パターン | 最初に参照する場所 |
|---|---|
| イベントXに合うクラスはどれか? | 下記のカテゴリ表 → バージョンクラスインデックス → 候補クラスページ |
| クラス/オブジェクトYにはどの属性がありますか? | バージョンクラスまたはオブジェクトインデックス → 特定ページ |
| プロファイルはどのように機能しますか? / Xのプロファイルはどれですか? | 導入:プロファイル → バージョンプロファイルインデックス |
| スキーマを拡張するにはどうしたらよいですか? | 導入:拡張機能または拡張機能を使用したコアスキーマのパッチ |
| オブザーバブルを入力したり、アラートをモデル化したりするにはどうしたらよいですか? | FAQおよび記事 |
| バージョン間で何が変わったか? | 2つのバージョンページを比較 |
| 概念的/設計上の質問 | 導入 → FAQ |
クラスを選ぶよう質問される場合は、複数の候補を読み、トレードオフを説明してください。
ドメイン知識
コア概念
属性は、データ型を持つ名前付きフィールドです。すべてのOCSFフィールドには要件レベルがあります:必須、推奨、またはオプションです。
オブジェクトは関連する属性を再利用可能な構造にグループ化します。オブジェクトは他のオブジェクトをネストできます。
イベントクラスは特定のセキュリティイベント用のスキーマを定義します。各クラスはカテゴリに属し、Base Eventから継承します。
Base Eventはユニバーサル属性を提供し、より具体的なクラスが当てはまらない場合のキャッチオールとなります。
プロファイルは横断的な属性を追加するミックスインです。1つのクラスは複数のプロファイルを適用できます。
拡張機能はコアスキーマを変更せずにベンダー固有の属性を追加します。
イベントカテゴリ
個別のクラスページに進む前に、カテゴリ範囲を使用してスコープを絞ってください。
| 範囲 | カテゴリ | 焦点 |
|---|---|---|
| 1xxx | システムアクティビティ | OS レベル:プロセス、ファイル、モジュール、メモリ、カーネル、レジストリ |
| 2xxx | 検出結果 | 検出、脆弱性、インシデント、コンプライアンス |
| 3xxx | IAM | 認証、認可、アカウント、グループ変更 |
| 4xxx | ネットワークアクティビティ | 一般的なトラフィックおよびプロトコル固有のアクティビティ |
| 5xxx | ディスカバリー | デバイス、ユーザー、サービス、リソースの列挙 |
| 6xxx | アプリケーションアクティビティ | Webリソース、APIコール、ファイルホスティング、データストア操作 |
| 7xxx | 復旧 | ファイル、プロセス、ネットワーク、エンティティの復旧アクション |
| 8xxx | 無人機器 | ドローン、車両、ロボット |
命名規則
- すべて
snake_case:process_activity、network_endpoint。 - 配列は複数形の名前を使用:
answers、enrichments、attacks。 _idがOther(99)の場合、兄弟文字列にはソース値を入力する必要があります。
主要なサフィックス:
| サフィックス | 意味 |
|---|---|
_id | 兄弟文字列を持つ列挙型整数識別子(_id を除いた同じ名前)。0 = Unknown、99 = Other。 |
_uid | スキーマ一意またはエクスターナル一意識別子(分類属性は整数、それ以外は文字列)。兄弟は _name を使用。 |
_uuid | グローバルに一意な128ビット識別子(文字列)。兄弟なし。 |
_name | _uid または _id 属性の兄弟としてのフレンドリー名/キャプション。 |
_time | タイムスタンプ(timestamp_t、ミリ秒単位のエポック)。 |
_dt | 日時(datetime_t、RFC 3339文字列)。Date/Timeプロファイルによって _time 属性と共に追加されます。 |
_info / _detail | 補足情報を含むオブジェクト。 |
_process | Process オブジェクトへの参照。 |
_ver | バージョン文字列。 |
_list | 値の配列。 |
回答の原則
- 答える前に読んでください。すべての主張は、読んだファイルに遡ることができる必要があります。
- 質問ルーティング表とカテゴリ表を使用して、クラスまたはオブジェクトページを読む前にスコープを絞ってください。
- スキーマ設計の根拠と曖昧なマッピングについては
FAQを参照してください。 - オブザーバブル、アラート、プロセス系統、拡張機能などの詳細トピックについては
記事を参照してください。 - フレームワーク自体に関する概念的な質問については
導入セクションを読んでください。
ライセンス: Apache-2.0(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- tenzir
- リポジトリ
- tenzir/skills
- ライセンス
- Apache-2.0
- 最終更新
- 2026/5/11
Source: https://github.com/tenzir/skills / ライセンス: Apache-2.0
関連スキル
secure-code-guardian
認証・認可の実装、ユーザー入力の保護、OWASP Top 10の脆弱性対策が必要な場合に使用します。bcrypt/argon2によるパスワードハッシング、パラメータ化ステートメントによるSQLインジェクション対策、CORS/CSPヘッダーの設定、Zodによる入力検証、JWTトークンの構築などのカスタムセキュリティ実装に対応します。認証、認可、入力検証、暗号化、OWASP Top 10対策、セッション管理、セキュリティ強化全般で活用できます。ただし、構築済みのOAuth/SSO統合や単独のセキュリティ監査が必要な場合は、より特化したスキルの検討をお勧めします。
claude-authenticity
APIエンドポイントが本物のClaudeによって支えられているか(ラッパーやプロキシ、偽装ではないか)を、claude-verifyプロジェクトを模した9つの重み付きルールベースチェックで検証できます。また、Claudeの正体を上書きしているプロバイダーから注入されたシステムプロンプトも抽出します。完全に自己完結しており、httpx以外の追加パッケージは不要です。Claude APIキーまたはエンドポイントを検証したい場合、サードパーティのClaudeサービスが本物か確認したい場合、APIプロバイダーのClaude正当性を監査したい場合、複数モデルを並行してテストしたい場合、またはプロバイダーが注入したシステムプロンプトを特定したい場合に使用できます。
anth-security-basics
Anthropic Claude APIのセキュリティベストプラクティスを適用し、キー管理、入力値の検証、プロンプトインジェクション対策を実施します。APIキーの保護、Claudeに送信する前のユーザー入力検証、コンテンツセーフティガードレールの実装が必要な場合に活用できます。「anthropic security」「claude api key security」「secure anthropic」「prompt injection defense」といったフレーズでトリガーされます。
x-ray
x-ray.mdプレ監査レポートを生成します。概要、強化された脅威モデル(プロトコルタイプのプロファイリング、Gitの重み付け攻撃面分析、時間軸リスク分析、コンポーザビリティ依存関係マッピング)、不変条件、統合、ドキュメント品質、テスト分析、開発者・Gitの履歴をカバーしています。「x-ray」「audit readiness」「readiness report」「pre-audit report」「prep this protocol」「protocol prep」「summarize this protocol」のキーワードで実行されます。
semgrep
Semgrepスタティック分析スキャンを実行し、カスタム検出ルールを作成します。Semgrepでのコードスキャン、セキュリティ脆弱性の検出、カスタムYAMLルールの作成、または特定のバグパターンの検出が必要な場合に使用します。重要:ユーザーが「バグをスキャンしたい」「コード品質を確認したい」「脆弱性を見つけたい」「スタティック分析」「セキュリティlint」「コード監査」または「コーディング標準を適用したい」と尋ねた場合も、Semgrepという名称を明記していなくても、このスキルを使用してください。Semgrepは30以上の言語に対応したパターンベースのコードスキャンに最適なツールです。
ghost-bits-cast-attack
Java「ゴーストビッツ」/キャストアタック プレイブック(Black Hat Asia 2026)。16ビット文字が8ビットバイトに暗黙的に縮小されるJavaサービスへの攻撃時に使用します。WAF/IDSを回避して、SQLインジェクション、デシリアライゼーション型RCE、ファイルアップロード(Webシェル)、パストトラバーサル、CRLF インジェクション、リクエストスマグリング、SMTPインジェクションを実行できます。Tomcat、Spring、Jetty、Undertow、Vert.x、Jackson、Fastjson、Apache Commons BCEL、Apache HttpClient、Angus Mail、JDK HttpServer、Lettuce、Jodd、XMLWriterに影響し、WAFバイパスにより多くの「パッチ済み」CVEを再度有効化します。