googleSandy/secops-skills
GitHub: googleSandy/secops-skills
为 Google SecOps 提供结构化的 AI 代理技能,解决 SIEM 查询与 YARA-L 规则编写中的知识准确与更新问题。
Stars: 11 | Forks: 5
##
Google SecOps Agent Skills
[](LICENSE)
[](.github/workflows/update-references.yml)
[](https://agentskills.io)
[](https://cloud.google.com/security/products/security-operations)
为 [Google Security Operations](https://cloud.google.com/security/products/security-operations) (SecOps / Chronicle) 提供的 Agent Skills —— 为 AI agent 提供准确、最新的知识,以便编写 SIEM 查询、构建检测规则,并指导检测工程工作流。
基于 [Agent Skills](https://agentskills.io) 开放规范构建 —— 可与任何支持该规范的 agent 配合使用。
## 📚 Skills
### [`secops-siem-search`](skills/secops-siem-search/SKILL.md)
用于编写 SecOps SIEM 查询以进行调查和威胁狩猎的语法参考和字段指南。
涵盖范围:UDM 过滤查询 · 统计/聚合 · event-event joins · 原始日志搜索 · 参考列表查找 · 实体调查 · 富数据(地理位置、VirusTotal)· 实体上下文 (`graph.*`) · 数据可用性时间
### [`secops-yara-l`](skills/secops-yara-l/SKILL.md)
用于编写 YARA-L 2.0 检测规则和搜索查询的语法参考和模式。规则在部署前应始终在您的环境中进行测试。
涵盖范围:单事件规则 · 多事件关联 · 滑动/滚动/跳跃窗口 · 复合规则 · 结果聚合 · 多阶段搜索查询 · Z 分数和 MAD 异常检测 · 实体图 joins · 指标行为分析
### [`secops-detection-engineering`](skills/secops-detection-engineering/SKILL.md)
关于 SecOps 检测工程工作流的知识和指南 —— 从编写规则到将其投入生产环境。
涵盖范围:了解规则生命周期(测试 → 回溯狩猎 → 部署)· 选择运行频率 · 诊断检测延迟 · MTTD 优化 · 上下文感知分析 · 风险评分 · Safe Browsing 和威胁情报 IOC joins · 复合检测链 · 故障排除编译和 runtime 错误
## 🚀 安装说明
克隆仓库,并将您的 agent 指向 `skills/` 目录:
```
git clone https://github.com/googleSandy/secops-skills.git
```
每个 skill 都是 `skills/` 下一个独立的目录。如何加载它们取决于您的 agent:
- **兼容 Agent Skills 的 agent** — 配置您的 agent 从 `secops-skills/skills/` 加载 skills,或者将单个 skill 目录复制到您 agent 的 skills 路径中(例如 `~/.agents/skills/`、`~/.claude/skills/`,或您的 agent 查找的任何位置)
- **其他 agent** — 将 skill 目录放在您的项目旁边,并在您的 system prompt 或上下文中引用 `SKILL.md`
每个 skill 都是独立的 —— 根据您的需要安装一个、两个或全部三个。
## 📁 结构
```
secops-skills/
├── llms.txt # Skill index for LLM discovery
└── skills/
├── secops-siem-search/
│ ├── SKILL.md # Skill entry point
│ ├── evals/evals.json # Test cases for evaluation
│ └── references/ # Auto-generated reference files (UDM, search)
├── secops-yara-l/
│ ├── SKILL.md
│ ├── evals/evals.json
│ └── references/ # Auto-generated reference files (YARA-L syntax)
└── secops-detection-engineering/
├── SKILL.md
├── evals/evals.json
└── references/ # Auto-generated reference files (Workflows, rules)
```
## 🔄 保持参考最新
参考文件是使用通用递归爬虫和用于结构化表的专用更新程序 (`scripts/update_references.py`) 从 Google Cloud 的在线文档中抓取的。
### 自动化(GitHub Actions)
可以配置包含的工作流定期运行,以保持参考库的最新状态。
## 📊 示例用例:UDM 搜索
### 以下是有关如何使用 UDM Search skill 查找成功登录并按州/省对其进行分组的示例:
## 🧪 评估
每个 skill 都在 `evals/evals.json` 中包含了遵循 [AgentSkills 评估格式](https://agentskills.io/skill-creation/evaluating-skills) 的测试用例。比较使用 skill 与不使用 skill 的结果位于 `evals-workspace/` 中。
要运行评估,请遵循 [AgentSkills 评估指南](https://agentskills.io/skill-creation/evaluating-skills)。
## ⚙️ 兼容性
- 需要 **Google SecOps (SecOps / Chronicle) SIEM**
- `secops-yara-l` 和 `secops-detection-engineering` 需要 **Detection Engine**
- YARA-L 版本:2.0
- 引用的 ATT&CK 版本:v14.1+
## ⚖️ 许可证
Apache 2.0 — 详见 [LICENSE](LICENSE)。
源自 [chronicle/detection-rules](https://github.com/chronicle/detection-rules) 的规则示例同样遵循 Apache 2.0 协议。
Google SecOps Agent Skills
[](LICENSE)
[](.github/workflows/update-references.yml)
[](https://agentskills.io)
[](https://cloud.google.com/security/products/security-operations)
为 [Google Security Operations](https://cloud.google.com/security/products/security-operations) (SecOps / Chronicle) 提供的 Agent Skills —— 为 AI agent 提供准确、最新的知识,以便编写 SIEM 查询、构建检测规则,并指导检测工程工作流。
基于 [Agent Skills](https://agentskills.io) 开放规范构建 —— 可与任何支持该规范的 agent 配合使用。
## 📚 Skills
### [`secops-siem-search`](skills/secops-siem-search/SKILL.md)
用于编写 SecOps SIEM 查询以进行调查和威胁狩猎的语法参考和字段指南。
涵盖范围:UDM 过滤查询 · 统计/聚合 · event-event joins · 原始日志搜索 · 参考列表查找 · 实体调查 · 富数据(地理位置、VirusTotal)· 实体上下文 (`graph.*`) · 数据可用性时间
### [`secops-yara-l`](skills/secops-yara-l/SKILL.md)
用于编写 YARA-L 2.0 检测规则和搜索查询的语法参考和模式。规则在部署前应始终在您的环境中进行测试。
涵盖范围:单事件规则 · 多事件关联 · 滑动/滚动/跳跃窗口 · 复合规则 · 结果聚合 · 多阶段搜索查询 · Z 分数和 MAD 异常检测 · 实体图 joins · 指标行为分析
### [`secops-detection-engineering`](skills/secops-detection-engineering/SKILL.md)
关于 SecOps 检测工程工作流的知识和指南 —— 从编写规则到将其投入生产环境。
涵盖范围:了解规则生命周期(测试 → 回溯狩猎 → 部署)· 选择运行频率 · 诊断检测延迟 · MTTD 优化 · 上下文感知分析 · 风险评分 · Safe Browsing 和威胁情报 IOC joins · 复合检测链 · 故障排除编译和 runtime 错误
## 🚀 安装说明
克隆仓库,并将您的 agent 指向 `skills/` 目录:
```
git clone https://github.com/googleSandy/secops-skills.git
```
每个 skill 都是 `skills/` 下一个独立的目录。如何加载它们取决于您的 agent:
- **兼容 Agent Skills 的 agent** — 配置您的 agent 从 `secops-skills/skills/` 加载 skills,或者将单个 skill 目录复制到您 agent 的 skills 路径中(例如 `~/.agents/skills/`、`~/.claude/skills/`,或您的 agent 查找的任何位置)
- **其他 agent** — 将 skill 目录放在您的项目旁边,并在您的 system prompt 或上下文中引用 `SKILL.md`
每个 skill 都是独立的 —— 根据您的需要安装一个、两个或全部三个。
## 📁 结构
```
secops-skills/
├── llms.txt # Skill index for LLM discovery
└── skills/
├── secops-siem-search/
│ ├── SKILL.md # Skill entry point
│ ├── evals/evals.json # Test cases for evaluation
│ └── references/ # Auto-generated reference files (UDM, search)
├── secops-yara-l/
│ ├── SKILL.md
│ ├── evals/evals.json
│ └── references/ # Auto-generated reference files (YARA-L syntax)
└── secops-detection-engineering/
├── SKILL.md
├── evals/evals.json
└── references/ # Auto-generated reference files (Workflows, rules)
```
## 🔄 保持参考最新
参考文件是使用通用递归爬虫和用于结构化表的专用更新程序 (`scripts/update_references.py`) 从 Google Cloud 的在线文档中抓取的。
### 自动化(GitHub Actions)
可以配置包含的工作流定期运行,以保持参考库的最新状态。
## 📊 示例用例:UDM 搜索
### 以下是有关如何使用 UDM Search skill 查找成功登录并按州/省对其进行分组的示例:
## 🧪 评估
每个 skill 都在 `evals/evals.json` 中包含了遵循 [AgentSkills 评估格式](https://agentskills.io/skill-creation/evaluating-skills) 的测试用例。比较使用 skill 与不使用 skill 的结果位于 `evals-workspace/` 中。
要运行评估,请遵循 [AgentSkills 评估指南](https://agentskills.io/skill-creation/evaluating-skills)。
## ⚙️ 兼容性
- 需要 **Google SecOps (SecOps / Chronicle) SIEM**
- `secops-yara-l` 和 `secops-detection-engineering` 需要 **Detection Engine**
- YARA-L 版本:2.0
- 引用的 ATT&CK 版本:v14.1+
## ⚖️ 许可证
Apache 2.0 — 详见 [LICENSE](LICENSE)。
源自 [chronicle/detection-rules](https://github.com/chronicle/detection-rules) 的规则示例同样遵循 Apache 2.0 协议。标签:AI Agent, Google SecOps, SIEM, YARA-L, 安全运营, 扫描框架, 检测工程