googleSandy/secops-skills

GitHub: googleSandy/secops-skills

为 Google SecOps 提供结构化的 AI 代理技能,解决 SIEM 查询与 YARA-L 规则编写中的知识准确与更新问题。

Stars: 11 | Forks: 5

## Google SecOps Agent Skills [![License](https://img.shields.io/badge/License-Apache%202.0-blue.svg)](LICENSE) [![Updater](https://img.shields.io/badge/Automated_Updates-Active-success)](.github/workflows/update-references.yml) [![Agent Skills](https://img.shields.io/badge/Agent_Skills-Compatible-5865F2)](https://agentskills.io) [![SecOps](https://img.shields.io/badge/Google-SecOps-4285F4)](https://cloud.google.com/security/products/security-operations) 为 [Google Security Operations](https://cloud.google.com/security/products/security-operations) (SecOps / Chronicle) 提供的 Agent Skills —— 为 AI agent 提供准确、最新的知识,以便编写 SIEM 查询、构建检测规则,并指导检测工程工作流。 基于 [Agent Skills](https://agentskills.io) 开放规范构建 —— 可与任何支持该规范的 agent 配合使用。 ## 📚 Skills ### [`secops-siem-search`](skills/secops-siem-search/SKILL.md) 用于编写 SecOps SIEM 查询以进行调查和威胁狩猎的语法参考和字段指南。 涵盖范围:UDM 过滤查询 · 统计/聚合 · event-event joins · 原始日志搜索 · 参考列表查找 · 实体调查 · 富数据(地理位置、VirusTotal)· 实体上下文 (`graph.*`) · 数据可用性时间 ### [`secops-yara-l`](skills/secops-yara-l/SKILL.md) 用于编写 YARA-L 2.0 检测规则和搜索查询的语法参考和模式。规则在部署前应始终在您的环境中进行测试。 涵盖范围:单事件规则 · 多事件关联 · 滑动/滚动/跳跃窗口 · 复合规则 · 结果聚合 · 多阶段搜索查询 · Z 分数和 MAD 异常检测 · 实体图 joins · 指标行为分析 ### [`secops-detection-engineering`](skills/secops-detection-engineering/SKILL.md) 关于 SecOps 检测工程工作流的知识和指南 —— 从编写规则到将其投入生产环境。 涵盖范围:了解规则生命周期(测试 → 回溯狩猎 → 部署)· 选择运行频率 · 诊断检测延迟 · MTTD 优化 · 上下文感知分析 · 风险评分 · Safe Browsing 和威胁情报 IOC joins · 复合检测链 · 故障排除编译和 runtime 错误 ## 🚀 安装说明 克隆仓库,并将您的 agent 指向 `skills/` 目录: ``` git clone https://github.com/googleSandy/secops-skills.git ``` 每个 skill 都是 `skills/` 下一个独立的目录。如何加载它们取决于您的 agent: - **兼容 Agent Skills 的 agent** — 配置您的 agent 从 `secops-skills/skills/` 加载 skills,或者将单个 skill 目录复制到您 agent 的 skills 路径中(例如 `~/.agents/skills/`、`~/.claude/skills/`,或您的 agent 查找的任何位置) - **其他 agent** — 将 skill 目录放在您的项目旁边,并在您的 system prompt 或上下文中引用 `SKILL.md` 每个 skill 都是独立的 —— 根据您的需要安装一个、两个或全部三个。 ## 📁 结构 ``` secops-skills/ ├── llms.txt # Skill index for LLM discovery └── skills/ ├── secops-siem-search/ │ ├── SKILL.md # Skill entry point │ ├── evals/evals.json # Test cases for evaluation │ └── references/ # Auto-generated reference files (UDM, search) ├── secops-yara-l/ │ ├── SKILL.md │ ├── evals/evals.json │ └── references/ # Auto-generated reference files (YARA-L syntax) └── secops-detection-engineering/ ├── SKILL.md ├── evals/evals.json └── references/ # Auto-generated reference files (Workflows, rules) ``` ## 🔄 保持参考最新 参考文件是使用通用递归爬虫和用于结构化表的专用更新程序 (`scripts/update_references.py`) 从 Google Cloud 的在线文档中抓取的。 ### 自动化(GitHub Actions) 可以配置包含的工作流定期运行,以保持参考库的最新状态。 ## 📊 示例用例:UDM 搜索 image ### 以下是有关如何使用 UDM Search skill 查找成功登录并按州/省对其进行分组的示例: Prompt and Query Google SecOps UI Result ## 🧪 评估 每个 skill 都在 `evals/evals.json` 中包含了遵循 [AgentSkills 评估格式](https://agentskills.io/skill-creation/evaluating-skills) 的测试用例。比较使用 skill 与不使用 skill 的结果位于 `evals-workspace/` 中。 要运行评估,请遵循 [AgentSkills 评估指南](https://agentskills.io/skill-creation/evaluating-skills)。 ## ⚙️ 兼容性 - 需要 **Google SecOps (SecOps / Chronicle) SIEM** - `secops-yara-l` 和 `secops-detection-engineering` 需要 **Detection Engine** - YARA-L 版本:2.0 - 引用的 ATT&CK 版本:v14.1+ ## ⚖️ 许可证 Apache 2.0 — 详见 [LICENSE](LICENSE)。 源自 [chronicle/detection-rules](https://github.com/chronicle/detection-rules) 的规则示例同样遵循 Apache 2.0 协议。
标签:AI Agent, Google SecOps, SIEM, YARA-L, 安全运营, 扫描框架, 检测工程