SignorMercurio/sleuth

# SLEUTH 一个用于安全事件响应的 Claude Code 技能。它通过 SIREN MCP 服务器在受感染主机上运行只读取证命令，重构攻击链，并生成映射到 MITRE ATT&CK 的事件报告。 这是系列命名安全工具中的一部分：**SIREN**（远程取证运行时）、**TALON**（威胁搜寻）、**SLEUTH**（本技能 — 事件调查员）、**DOSSIER**（报告平台）。 报告及辅助材料默认以简体中文生成（该技能面向中文 SOC 团队）；本 README 使用英文以提高可发现性。 ## 功能特性 - **两种调查模式** — 告警驱动（UID + 事件 ID）或自由格式（仅主机异常） - **12 种攻击类型剧本** + **6 份技术指南** + **MITRE ATT&CK 映射** - **并行命令编排** — 在单轮中调度独立的远程命令以缩短调查时间 - **严格只读** — 仅允许 `cat / grep / find / ls / ps / netstat / lsof` 及类似的只读命令；确保证据完整性 - **Markdown 事件报告** — 每起事件会从捆绑的 Dossier 风格模板生成一个命名的 `IR-....md` 文件 ## 前置条件 - **Claude Code** — 最新稳定版 - **SIREN MCP 服务器** — 该技能依赖于 `mcp__siren__ls`、`mcp__siren__run` 和 `mcp__siren__get_alarm_detail` 工具来执行远程命令和获取告警详情。在使用此技能前，请先在 Claude Code 中将 SIREN 配置为 MCP 服务器。 ## 安装 ### 选项 1 — `npx skills`（推荐） 使用社区 CLI [vercel-labs/skills](https://github.com/vercel-labs/skills)： ``` npx skills add SignorMercurio/sleuth ``` ### 选项 2 — `npx openskills` 使用 [openskills](https://github.com/numman-ali/openskills)，在用户范围内安装： ``` npx openskills install SignorMercurio/sleuth --global ``` ### 选项 3 — `git clone` ``` git clone https://github.com/SignorMercurio/sleuth.git \ ~/.claude/skills/sleuth ``` ### 选项 4 — `rsync`（用于内部服务器或离线环境） ``` rsync -avz --exclude '.git' ./sleuth/ \ :~/.claude/skills/sleuth/ ``` 安装后，在 Claude Code 内部运行 `/skills` 以确认技能已加载。当上下文匹配时，它会自动激活，也可以显式调用。 ## 使用方法 ### 告警驱动模式 提供： - 阿里云租户 **UID** - 告警 **事件 ID** - SIREN **客户端 ID**（如果省略，技能会列出可用的客户端供您选择） 该技能将拉取告警详情并运行匹配的端到端剧本。 ### 自告警模式 当没有告警 ID 时，提供客户端 ID 加上对异常的简短描述（例如“进程 X 占用 100% CPU”、“/tmp/x.sh 处有可疑文件”）。该技能将从广泛的分类开始，然后逐步缩小范围。 ## 目录结构 ``` . ├── SKILL.md # Skill definition and workflow ├── assets/ │ └── report.md # Markdown report template copied from dossier/report.md └── references/ ├── invest_*.md # 12 attack-type playbooks ├── tech_*.md # 6 tradecraft guides ├── attack_framework.md # ATT&CK tactic/technique reference ├── report_naming.md # IR-….md filename format and event_type slug table ├── cloud_log_queries.md # WAF / SAS / ActionTrail log routing ├── sas_sls_host_telemetry.md # SAS SLS host telemetry queries (env-specific gotchas) ├── oob_dnslog_investigation.md # dnslog.cn / interact.sh / OOB callbacks ├── recon_residual.md # Residual-risk follow-ups after the 6-axis sweep └── aspnet_webshell_upload_tracing.md # ASP.NET webshell upload tracing ``` `references/` 下的文件按需加载 — 技能仅读取与当前告警或场景相关的条目，避免在首轮就充斥上下文窗口。 ## 输出示例 该技能会在当前工作目录下写入一份 Markdown 报告： - `IR-20260417-web01-webshell-123456.md` — 告警驱动模式，事件 ID `123456` - `IR-20260417-db-prod-rce.md` — 自由格式模式 每个报告文件都复制自 `assets/report.md`，然后填充特定事件信息。 完整的事件类型 slug 表（`webshell` / `miner` / `revshell` / `brute` / `abnlogin` / `privesc` / `exfil` / `ransom` / `sqli` / `rce` / `backdoor` / `unknown`）记录在 `references/report_naming.md` 中。 ## 贡献 剧本和技术指南位于 `references/` 目录下，报告模板位于 `assets/report.md`。剧本、指南和报告模板均为纯 Markdown 格式 — 欢迎提交 PR 添加新的攻击类型或优化命令片段。模板的更改应在上游 `dossier` 项目中进行，然后同步到此技能中。

标签：Claude Code技能, Cloudflare, Markdown报告, MCP服务器, MITRE ATT&CK, SOC工具, 主机异常, 交易策略指南, 取证命令, 只读命令, 命令协调, 并行执行, 攻击类型剧本, 攻击链重建, 漏洞发现, 简体中文报告, 网络安全, 证据完整性, 远程取证, 防御加固, 隐私保护