SignorMercurio/security-incident-response-skill

# 安全事件响应 一个用于安全事件响应的 Claude Code 技能。在受感染主机上运行只读取证命令，通过 SIREN MCP 服务器重建攻击链，并生成映射到 MITRE ATT&CK 的事件报告。 报告和支持材料默认以简体中文生成（该技能面向中文 SOC 团队）；本 README 使用英文以方便发现。 ## 功能特性 - **两种调查模式** — 告警驱动（UID + 事件 ID）或自由形式（仅主机异常） - **12 种攻击类型剧本** + **6 种实战技巧指南** + **MITRE ATT&CK 映射** - **并行命令编排** — 独立远程命令在单轮中并行下发，以缩短调查时间 - **严格只读** — 仅允许 `cat / grep / find / ls / ps / netstat / lsof` 等只读命令，保护证据完整性 - **两种输出工件** — 命令执行日志与事件响应报告，均采用统一的命名规范 `IR-{YYYYMMDD}-{hostname}-{event_type}[-{event_id}]-{report|commands}.md`，便于在历史报告目录中识别 ## 先决条件 - **Claude Code** — 最新稳定版本 - **SIREN MCP 服务器** — 该技能依赖 `mcp__siren__ls`、`mcp__siren__run` 和 `mcp__siren__get_alarm_detail` 工具进行远程命令执行与告警详情获取。在使用本技能前，请在 Claude Code 中将 SIREN 配置为一个 MCP 服务器。 ## 安装 ### 选项 1 — `npx skills`（推荐） 使用社区 CLI [vercel-labs/skills](https://github.com/vercel-labs/skills)： ``` npx skills add SignorMercurio/security-incident-response-skill ``` ### 选项 2 — `npx openskills` 使用 [openskills](https://github.com/numman-ali/openskills)，在用户作用域安装： ``` npx openskills install SignorMercurio/security-incident-response-skill --global ``` ### 选项 3 — `git clone` ``` git clone https://github.com/SignorMercurio/security-incident-response-skill.git \ ~/.claude/skills/security-incident-response ``` ### 选项 4 — `rsync`（适用于内部服务器或隔离环境） ``` rsync -avz --exclude '.git' ./security-incident-response-skill/ \ :~/.claude/skills/security-incident-response/ ``` 安装完成后，在 Claude Code 中运行 `/skills` 以确认技能已加载。匹配上下文时技能会自动激活，也可手动显式调用。 ## 使用方法 ### 告警驱动模式 提供以下信息： - 阿里云租户 **UID** - 告警 **事件 ID** - SIREN **客户端 ID**（若省略，技能将列出可用客户端供选择） 技能将拉取告警详情并从头到尾运行匹配的剧本。 ### 自由形式模式 若无告警 ID，请提供客户端 ID 以及异常简要描述（例如“进程 X CPU 占用 100%”或“/tmp/x.sh 存在可疑文件”）。技能将从广度优先排查开始逐步收敛。 ## 布局结构 ``` . ├── SKILL.md # Skill definition and workflow ├── assets/ │ ├── report_template.md # Incident report template │ └── commands_log_template.md # Command execution log template └── references/ ├── invest_*.md # 12 attack-type playbooks (loaded on demand) ├── tech_*.md # 6 tradecraft guides (loaded on demand) └── attack_framework.md # ATT&CK tactic/technique reference ``` `references/` 目录下的文件按需加载 —— 技能仅读取当前告警或场景相关的剧本与技巧指南，避免在首轮对话中淹没上下文窗口。 ## 输出示例 - `IR-20260417-web01-webshell-123456-report.md` — 告警驱动模式，事件 ID `123456` - `IR-20260417-db-prod-rce-commands.md` — 自由形式模式 完整事件类型 slug 表（`webshell` / `miner` / `revshell` / `brute` / `abnlogin` / `privesc` / `exfil` / `ransom` / `sqli` / `rce` / `backdoor` / `unknown`）在 `SKILL.md` §7.1 中有详细说明。 ## 贡献 剧本与实战技巧指南位于 `references/`，模板位于 `assets/`。所有内容均为纯 Markdown，欢迎提交新增攻击类型或优化命令片段的 Pull Request。

标签：Alarm-driven Investigation, AMSI绕过, Claude Code技能, Cloudflare, DNS 解析, Free-form Investigation, Incident Report, MCP服务器, MITRE ATT&CK, PB级数据处理, Playbook, Read-only Forensics, SIREN, 中文SOC, 入侵调查, 只读取证, 后渗透, 威胁检测, 子域名变形, 安全事件响应, 安全运维, 并行命令编排, 库, 应急响应, 攻击链重建, 无线安全, 自动化调查, 防御加固