mohamed-ai-sec/soc-auto-report-skill

GitHub: mohamed-ai-sec/soc-auto-report-skill

一套面向 SOC 分析师的 AI 提示词技能框架,能将原始安全遥测数据自动转化为包含 ATT&CK 映射、检测查询和事后审查的结构化事件响应报告。

Stars: 0 | Forks: 0

## 名称: soc-auto-report description: "SOC 自动报告引擎。基于安全工件(如日志、SIEM 告警、EDR 遥测数据、云事件、Kubernetes 审计日志、源代码控制事件和电子邮件工件)触发,以生成事件报告、分类摘要、MITRE ATT&CK 映射、事后审查草案、检测查询、爆炸半径分析和恶意性评估。" # 🛡️ SOC 自动报告引擎 v3.1.0
![Version](https://img.shields.io/badge/version-3.1.0-blue?style=for-the-badge) ![ATT&CK](https://img.shields.io/badge/MITRE%20ATT%26CK-supported-red?style=for-the-badge) ![D3FEND](https://img.shields.io/badge/D3FEND-supported-orange?style=for-the-badge) ![License](https://img.shields.io/badge/license-MIT-green?style=for-the-badge) ![Claude Skills](https://img.shields.io/badge/Claude-Skills%20Ready-blueviolet?style=for-the-badge) ### 将原始安全工件转化为结构化、基于证据的事件报告。 ### 专为 SOC 分析师打造。旨在实现经得起推敲的报告和操作上的清晰度。 [快速开始](#-quick-start) · [工作原理](#-how-it-works) · [您将获得什么](#-what-you-get) · [支持的输入](#-supported-inputs) · [证据模型](#-evidence-model) · [常见问题](#-faq)
# 💡 为什么会有这个项目 SOC 分析师经常花费宝贵的调查时间,在工单、报告、升级和事后审查中手动重写相同的事件结构。 此 Skill 旨在将原始安全遥测数据转化为结构化的事件报告,同时保留: - 源保真度, - 证据透明度, - 时间线准确性, - 以及分析师的责任可追溯性。 目标不是取代分析师。 目标是减少重复的文档开销,并加速事件响应工作流。 # ⚡ 它的功能 粘贴安全工件并生成结构化的事件响应输出,其中可能包括: - 事件元数据 - 高管摘要 - 技术叙述 - 时间线重建 - IOC 提取 - MITRE ATT&CK 映射 - 威胁狩猎线索 - 检测工程建议 - KQL / SPL / Sigma / YARA 示例 - 事后审查草案 - 利益相关者沟通草稿 # 🚀 快速开始 ## ▶️ Claude.ai 项目 1. 打开 Claude.ai 2. 创建或打开一个项目 3. 将 `SKILL.md` 的内容粘贴到项目说明中 4. 开始一个新的聊天 5. 粘贴安全工件或告警 该 Skill 将使用提供的证据生成结构化报告。 ## ▶️ ZIP 上传方法 ``` soc-auto-report-skill/ ├── SKILL.md ├── README.md └── LICENSE ``` 将项目上传到兼容的工作流环境中并启用该 Skill。 ## ▶️ 任意 LLM / API 您也可以: 1. 复制 `SKILL.md` 的内容 2. 将其作为系统提示词或开发者指令 3. 粘贴安全工件 4. 生成结构化事件报告 # ⚙️ 工作原理 ``` INPUT — Security Artifact(s) │ ▼ PHASE 0 — Evidence Processing │ ├─ Format identification ├─ IOC extraction ├─ Timestamp normalization ├─ Entity extraction ├─ Severity estimation ├─ Confidence scoring ├─ MITRE ATT&CK mapping ├─ Timeline reconstruction └─ Blast-radius estimation │ ▼ PHASE 1 — Report Generation │ ├─ Incident metadata ├─ Executive summary ├─ Technical narrative ├─ Timeline ├─ IOC table ├─ Recommendations ├─ Hunting leads ├─ Detection queries ├─ PIR draft └─ Stakeholder communications │ ▼ PHASE 2 — Quality Validation │ ├─ Unsupported claim detection ├─ Evidence consistency checks ├─ Timestamp integrity checks ├─ Uncertainty visibility └─ Final report generation ``` # 📤 您将获得什么 | # | 部分 | 描述 | |---|---|---| | 1 | 事件元数据 | ID、严重性、状态、来源 | | 2 | 高管摘要 | 面向管理层的可读摘要 | | 3 | 技术叙述 | 基于证据的重建 | | 4 | 攻击时间线 | 按时间顺序的事件映射 | | 5 | IOC 表格 | 提取出的威胁指标 | | 6 | 行动与建议 | 遏制与补救措施 | | 7 | 取证收集计划 | 建议的证据收集方案 | | 8 | 威胁狩猎线索 | 后续调查路径 | | 9 | 检测查询套件 | KQL、SPL、Sigma、YARA 示例 | | 10 | 签核区 | 审查与升级说明 | | 11 | 事后审查 | PIR 草案与经验教训 | | 12 | 利益相关者沟通 | 面向高管和员工的摘要 | # 🎯 支持的输入 ## 安全遥测源 | 类别 | 示例 | |---|---| | Windows 事件 | 4624, 4625, 4688, 4698, 4768, 7045 | | SIEM 告警 | Microsoft Sentinel, Splunk ES, QRadar, Elastic | | EDR / XDR | CrowdStrike, Defender XDR, SentinelOne, Cortex | | 云 | CloudTrail, GuardDuty, Azure AD | | 身份 | Okta, Auth0, Active Directory | | 容器 | Kubernetes 审计日志, Docker 事件 | | SCM | GitHub 审计日志, GitLab 事件 | | 网络 | 防火墙, 代理, DNS, NDR | | 电子邮件 | 邮件头, 钓鱼工件, DMARC 失败 | | 脚本 | PowerShell, AMSI, WMI | ## 常见分析师提示词 ``` generate report triage this alert is this malicious? map to MITRE write Sigma rule create PIR generate KQL threat hunting leads write IR document incident ``` # 🔒 证据模型 此 Skill 将直接证据与分析师推断分离开来。 ## 证据标签 | 标签 | 含义 | |---|---| | `[CONFIRMED]` | 在输入中可直接观察到 | | `[OBSERVED]` | 在遥测中可见,但未确认有恶意 | | `[SUSPECTED]` | 具有支持逻辑的分析师推断 | | `[DERIVED]` | 基于证据的逻辑结论 | | `[UNKNOWN]` | 在可用数据中缺失 | | `[UNKNOWN GAP]` | 缺失的时间线或调查可见性 | # 🧭 操作原则 - 不捏造 IOC。 - 不捏造时间戳。 - 不伪造归因。 - 明确保留不确定性。 - 清晰标记假设。 - 区分证据与推断。 - 保持缺失证据的可见性。 - 避免无根据的严重性升级。 - 仅在可观察行为的支持下映射 MITRE ATT&CK。 # 🖥️ 示例 ## 输入 ``` EventID: 4768 TargetUserName: svc_backup IpAddress: 192.168.4.55 TicketEncryptionType: 0x17 Status: 0x0 Timestamp: 2025-05-09T02:14:33Z ``` ## 输出 ``` INCIDENT REPORT INC-2025-0509-001 Severity : HIGH Status : Needs Review Verdict : Suspected malicious activity EXECUTIVE SUMMARY A Kerberos authentication event involving service account svc_backup was observed from 192.168.4.55 at 2025-05-09T02:14:33Z. The use of encryption type 0x17 may indicate weak cipher usage commonly associated with Kerberoasting-related activity. Additional authentication and endpoint telemetry should be reviewed before final classification. IOC TABLE IOC Type Tag svc_backup Account [CONFIRMED] 192.168.4.55 IPv4 [CONFIRMED] 0x17 Encryption [OBSERVED] NOTES - Evidence is limited to the provided event. - Timeline gaps remain unresolved. - Additional telemetry is recommended. ``` # ❓ 常见问题 ## 在生成报告之前它会提问吗? 只有在输入过于稀疏无法支持有意义的分析时才会提问。 ## 它会捏造 IOC 吗? 不会。缺失的字段将保留为 `[UNKNOWN]`。 ## 它会自动使用外部威胁情报吗? 默认不会。 任何未来的富化都应与基于证据的发现明确区分开。 ## 它可以在 Claude.ai 之外使用吗? 可以。 您可以将 `SKILL.md` 调整用于: - Anthropic API - Claude Code - 内部 LLM 平台 - 其他兼容环境 ## 它支持混合格式的输入吗? 支持。 可以在同一工作流中一起分析多个相关的工件。 # 📁 仓库结构 ``` soc-auto-report-skill/ ├── SKILL.md ├── README.md └── LICENSE ``` # 🔗 参考 | 资源 | 用途 | |---|---| | https://attack.mitre.org | MITRE ATT&CK | | https://d3fend.mitre.org | MITRE D3FEND | | https://github.com/SigmaHQ/sigma | Sigma 规则 | | https://yara.readthedocs.io | YARA 文档 | | https://volatility3.readthedocs.io | Volatility3 | | https://oasis-open.github.io/cti-documentation/stix/intro | STIX 2.1 | # 👤 作者 **mohamed-ai-sec** SOC 自动化 · 检测工程 · AI 增强的安全运营 # 📄 许可证 基于 MIT 许可证发布。 可免费使用、改编和分享,请注明出处。
## 粘贴它。解析它。映射它。狩猎它。遏制它。 **SOC 自动报告引擎 v3.1.0**
标签:AI安全, AMSI绕过, Chat Copilot, Cloudflare, DNS 解析, EDR遥测, IP 地址批量处理, IR分诊, KQL查询, Kubernetes审计日志, MITRE ATT&CK, SIEM告警, SIGMA规则, SOAR, SPL查询, 事后审查, 人工智能安全, 合规性, 威胁检测, 子域名变形, 安全运营中心, 库, 应急响应, 恶意性评估, 无线安全, 爆炸半径分析, 网络安全, 网络安全审计, 网络映射, 自动化报告, 隐私保护