Scan to contactREADME
🚀 检测工程的Claude技能
本目录包含Claude 技能,这些技能为检测工程、威胁情报分析和安全内容开发提供专业知识。
🚀 快速开始
Claude技能旨在为检测工程、威胁情报分析和安全内容开发提供专业支持。这些技能可根据你的任务自动加载,帮助你更高效地完成工作。
✨ 主要特性
- 专业知识封装:技能是专业知识的集合,为Claude提供特定任务的方法和最佳实践。
- 自动加载:Claude会根据你的任务自动加载相关技能。
- SIEM无关性:这些技能设计为与SIEM无关,可通过设置环境变量自定义输出格式。
📦 安装指南
暂未提供相关安装步骤。
💻 使用示例
暂未提供相关代码示例。
📚 详细文档
什么是技能?
技能是专业知识的集合,它教会Claude如何出色地完成特定任务。与提供数据访问的MCP(模型上下文协议)不同,技能提供 方法和最佳实践。
- MCP = 访问你的数据(Splunk、检测数据库、MITRE ATT&CK)
- 技能 = 专业知识(CTI分析、检测工程、查询优化)
Claude会根据你的任务自动加载相关技能。
可用技能
| 技能 | 优先级 | 使用场景 | |-------|----------|-------------| | cti - 检测工程师 | 核心 | 威胁分析、MITRE映射、检测设计 | | 检测YAML工程师 | 核心 | 创建/验证检测规则文件 | | 威胁报告解析器 | 核心 | 分析威胁报告并提取TTPs | | 检测审核员 | 核心 | 部署前的质量保证审核 | | 检测测试工程师 | 核心 | 为检测创建测试场景 | | 原子红队测试 | 测试 | 运行原子测试进行验证 | | 攻击范围构建器 | 测试 | 构建测试环境 | | 自定义原子部署 | 测试 | 创建自定义攻击模拟 | | 攻击导航器生成器 | 可视化 | ATT&CK导航器图层和覆盖图 | | 分析故事构建器 | 组织 | 将检测分组为故事/用例 | | 供应链分析师 | 专业 | 供应链攻击分析 | | SPL优化器 | 专业 | Splunk SPL查询优化 | | 数据源映射器 | 参考 | 将检测映射到数据源 | | PR扩展工作流 | 工作流 | 扩展PR覆盖范围 |
SIEM平台支持
这些技能设计为 与SIEM无关。你可以在 agents/.env 中设置 $SIEM_PLATFORM 来自定义输出:
| 值 | 输出格式 | 验证 | 适用场景 |
|-------|--------------|------------|----------|
| splunk | 带有CIM数据模型的SPL | contentctl validate | Splunk用户、security_content贡献者 |
| sentinel | 微软Sentinel KQL | Azure CLI | 微软/Azure用户 |
| elastic | Elastic Security EQL/ES|QL | detection - rules CLI | Elastic用户 |
| sigma | 与平台无关的Sigma YAML | pySigma转换 | 多SIEM环境,追求最大可移植性 |
不使用攻击范围?
攻击范围仅在使用 splunk 平台进行自动化原子测试时需要。对于其他SIEM:
- Sentinel:使用带有Defender for Endpoint的Azure VM
- Elastic:使用基于Docker的Elastic Stack和Elastic Agent
- 手动测试:任何安装了Sysmon + Invoke - AtomicRedTeam的VM
- 无需实验室:设置
DRY_RUN=true进行规则编写,无需实时验证
请参阅 [docs/E2E - TESTING - GUIDE.md](../../docs/E2E - TESTING - GUIDE.md) 以获取每个SIEM的完整实验室设置说明。
环境变量
技能参考这些环境变量以实现可移植性:
| 变量 | 描述 | 示例 | 是否必需 |
|----------|-------------|---------|----------|
| SIEM_PLATFORM | 目标SIEM平台 | splunk | 是 |
| SECURITY_CONTENT_PATH | 检测内容存储库 | ./security_content | 是 |
| VALIDATION_TOOL | 验证命令覆盖 | contentctl validate | 否(有默认值) |
| ATTACK_RANGE_PATH | 攻击范围安装路径 | ./attack_range | 仅适用于Splunk |
| ATTACK_DATA_PATH | 攻击数据存储库 | ./attack_data | 仅适用于Splunk |
与MCP集成
技能与MCP服务器结合使用时效果最佳:
| MCP服务器 | 提供内容 | 适用场景 |
|------------|-----------------|-------------|
| security - detections | 检测数据库、覆盖分析、差距识别 | 所有SIEM |
| splunk - mcp | 实时Splunk查询、检测验证 | 仅适用于Splunk |
| mitre - attack | 技术查找、组TTPs、导航器图层 | 所有SIEM |
非Splunk用户:你不需要
splunk - mcp。security - detectionsMCP会索引所有格式(Sigma、Splunk、Elastic、KQL)的规则,无论你使用哪种SIEM进行实时验证。
创建新技能
- 在
.claude/skills/your - skill - name/下创建一个目录。 - 添加一个带有YAML前置元数据(
name、description)的SKILL.md文件。 - 在顶部包含配置要求。
- 记录方法和示例。
- 保持技能专注于一个专业领域。
🔧 技术细节
暂未提供相关技术细节。
📄 许可证
暂未提供相关许可证信息。