Gprad-Work/claude-security-agents

# Claude 安全代理 一个用于安全工程领域的 Claude Code 代理与斜杠命令集合——覆盖规范阶段威胁建模、检测规则编写和事件响应分流。 专为 [Claude Code](https://claude.ai/code) 设计使用。将 `.claude/` 目录放入任何项目，代理和命令即可立即使用。 ## 包含内容 ### 斜杠命令 | 命令 | 功能 | |---|---| | `/security-review <路径>` | 对规范文档、产品需求文档、实体关系图或代码库进行完整的多代理安全审查。并行运行 2-10 个专业代理，综合评估结果，发布准入决策。 | | `/triage <警报>` | 事件响应分流。解析警报，查询 SIEM（若已配置 MCP），在约 45 秒内返回误报/真实阳性判定及证据。 | | `/rule-write <场景>` | 针对描述的威胁场景，编写可直接用于生产环境的 Sigma 检测规则，并自动进行同行评审。 | | `/rule-review <规则ID或路径>` | 对一条或多条 Sigma 规则进行同行评审——评估有效性评分、逻辑分析、误报覆盖率、MITRE 准确性。 | | `/coverage-scan` | 根据 MITRE ATT&CK 框架扫描检测规则库，识别覆盖缺口，并推荐应优先补充的缺失规则。 | ### 代理 **安全审查流程** - `SecurityTriage` — 阅读文档，构建威胁模型，决定调度哪些领域代理 - `SecurityLead` — 将各领域评估结果综合成一份统一的风险排序报告，并给出准入决策 - `AISecurity` — 提示注入、间接注入、代理攻击链、OWASP LLM Top 10 - `ProductAppSecurity` — OWASP Top 10、IDOR、注入、会话管理、业务逻辑 - `GRCSecurity` — GDPR、SOC2、HIPA、CCPA、数据保留、审计追踪 - `SecOps` — 日志覆盖、告警、事件响应准备、取证能力 - `DevSecOps` — CI/CD 安全、密钥管理、依赖扫描、供应链安全 - `CloudSecurity` — IAM、存储访问控制列表、托管服务安全态势、云配置错误 - `InfraSecurity` — TLS、静态数据加密、服务器加固、云存储 - `NetworkSecurity` — VPC 设计、防火墙规则、网络分段、出站过滤 - `PlatformSecurity` — OAuth/OIDC、Kubernetes RBAC、服务网格、API 网关 - `MobileSecurity` — iOS/Android、证书固定、本地存储、深度链接 **检测工程流程** - `DEDetectionRuleWriter` — 编写符合规范的 Sigma YAML 文件，包含 MITRE 标签和过滤器块 - `DEReviewRule` — 对规则进行同行评审：有效性评分 + 定性判断 - `DECoverageScanner` — 将规则库映射到 ATT&CK 战术，并对覆盖缺口进行优先级排序 **事件响应流程** - `IRAlertParser` — 解析警报输入，提取实体，界定调查时间范围 - `IRSIEMInvestigator` — 通过 MCP 查询 SIEM，基于实体进行溯源，构建事件时间线 - `IRAnalyst` — 生成误报/真实阳性/不确定判定，并给出 MITRE 杀伤链和遏制措施 **SDD（规范驱动开发）** - `SDDCreator` — 依据 SDD 方法论，生成产品需求文档、实体关系图、RFC 和技术规范 - `PRDReviewer` — 从四个维度评审产品需求文档：产品经理、安全、架构、SRE - `ERDReviewer` — 从四个维度评审实体关系图：架构、安全、SRE、成本 ## 设置 ### 1. 安装 克隆此仓库或将 `.claude/` 目录复制到项目根目录： ``` git clone git@github.com:/claude-security-agents.git cp -r claude-security-agents/.claude /your-project/ ``` ### 2. 验证 在项目中打开 Claude Code。输入 `/` — 你应该能在命令列表中看到 `security-review`、`triage`、`rule-write`、`rule-review` 和 `coverage-scan`。 ### 3. 根据技术栈配置 部分代理需要引用你的技术栈信息。使用前请更新这些配置： - **`/security-review`** — 开箱即用，适用于任何文档 - **`/coverage-scan`** — 在 `.claude/commands/coverage-scan.md` 文件中更新技术栈行，列出你的服务（例如 Okta, AWS, Kubernetes） - **`/rule-review`** — 在 `.claude/agents/detection-engineering/de-rule-reviewer.md` 文件中更新技术栈相关部分，填写你的日志源字段名 - **`/rule-write`** — 在 `.claude/agents/detection-engineering/de-rule-writer.md` 文件中更新 `author: <你的名字>` ### 4. SIEM MCP（可选 — 用于 `/triage`） `/triage` 即使没有 SIEM 也能工作，但当代理能够直接查询相关事件时，结果会更加丰富。将你的 SIEM MCP 服务器添加到 `.claude/settings.json`： ``` { "mcpServers": { "splunk": { "command": "uvx", "args": ["splunk-mcp-server"], "env": { "SPLUNK_TOKEN": "..." } } } } ``` 支持的 SIEM 及配置示例请参阅 [`docs/incident-response.md`](docs/incident-response.md)。 ## 模型分配 | 代理 | 模型 | 原因 | |---|---|---| | `SecurityLead` | Opus | 元推理、代理调度、综合判断 — 错误的调度会导致漏洞类别遗漏 | | `AISecurity` | Opus | 对抗性想象力 — 提示注入需要攻击者思维，而非模式匹配 | | 所有其他领域代理 | Sonnet | 结构化清单应用 — 答案空间有界，质量接近 Opus 但成本降低 5 倍 | | `DEReviewRule` | Opus | 运营判断 — 只有资深工程师知道一条规则是否会在凌晨 3 点被禁用 | | `DEDetectionRuleWriter` | Sonnet | 结构化 Sigma YAML 生成 — 固定模式，模式匹配 | | `DECoverageScanner` | Sonnet | ATT&CK 差距分析 — 系统性，非对抗性 | | `IRAnalyst` | Opus | 不确定情况下的误报/真实阳性判定 — 错误判定意味着真正的攻击被遗漏 | | `IRAlertParser` | Sonnet | 结构化提取 — 已知模式，可重复 | | `IRSIEMInvestigator` | Sonnet | SIEM 查询与溯源 — 系统性，非对抗性 | 完整理由请参阅 [`docs/model-selection.md`](docs/model-selection.md)。 ## 文档 - [`docs/security-review.md`](docs/security-review.md) — `/security-review` 的工作原理、接受的文档类型、示例输出 - [`docs/detection-engineering.md`](docs/detection-engineering.md) — 完整的规则编写 → 验证 → 审核 → 覆盖率评估流程 - [`docs/incident-response.md`](docs/incident-response.md) — `/triage` 的工作原理、SIEM MCP 设置、分流输出示例 - [`docs/model-selection.md`](docs/model-selection.md) — 为何将各代理分配给 Opus 或 Sonnet，成本分析 ## 要求 - [Claude Code](https://claude.ai/code) — Claude Code CLI 或桌面应用 - Anthropic API 访问权限（Claude Sonnet + Opus） - 如需使用带 SIEM 增强的 `/triage`：一个支持 MCP 的 SIEM（例如 Splunk, Elastic 等） - 用于检测工程：Python 3.x 及 `detection-rules/validators/` 脚本（详见 [`docs/detection-engineering.md`](docs/detection-engineering.md)）

标签：AI代理, AI安全, Chat Copilot, Claude Code, Cloudflare, DevSecOps, GPT, meg, MITRE ATT&CK, OWASP安全, Sigma规则, 上游代理, 事件分类工具, 产品安全, 产品应用安全, 人工智能安全, 信息安全, 合规性, 威胁建模, 安全审查, 安全工程, 安全运营, 扫描框架, 智能威胁分析, 检测规则管理, 治理风险合规, 漏洞管理, 目标导入, 网络安全, 自动化分类, 覆盖扫描, 规则编写, 逆向工具, 隐私保护