mayeack/threat_hunting_skills

# 威胁狩猎技能 Splunk 威胁狩猎和 Enterprise Security 代理技能，为多种 AI 编程代理进行了打包。提供了两种技能，并针对 Google Antigravity、Claude Code 和 OpenAI Codex 提供了平台优化的副本。 ## 技能 | 技能 | 功能 | |-------|--------------| | `peak-threat-hunting` | 通过 MCP server 在 Splunk 中运行 PEAK 框架威胁狩猎（假设 / 基线 / 模型辅助），并将发现结果转化为 correlation search、Notable Event 和 RBA 风险。提供了用于 SPL 模式、MITRE ATT&CK 映射和狩猎模板的参考文件。 | | `exposure-analytics-setup` | 将 Splunk ES 8 Exposure Analytics 接入实时的 ThreatGen 流中，以便自动填充 Asset / IP / User / MAC 清单，并通过 MCP 驱动进行预检和验证。 | ## 布局 ``` . ├── skills/ # Source skills (portable SKILL.md format) │ ├── peak-threat-hunting/ │ └── exposure-analytics-setup/ ├── claude-code/ # Optimized for Claude Code (.claude/skills/ + allowed-tools) ├── openai-codex/ # Optimized for OpenAI Codex (.agents/skills/ + root AGENTS.md) └── google-antigravity/ # Optimized for Google Antigravity (.agents/skills/ + AGENTS.md + .agent/rules/) ``` 每个平台文件夹都有自己的 `README.md`，其中包含安装路径以及 针对该代理定制内容的摘要。 ## 平台说明 - **Claude Code** — `.claude/skills//SKILL.md`；添加了 `allowed-tools` frontmatter，预先批准了 `Read` 和只读的 Splunk MCP server。 - **OpenAI Codex** — `.agents/skills//SKILL.md` 以及一个持久存在的根目录 `AGENTS.md`，用于提供项目指导和禁止规则。 - **Google Antigravity** — `.agents/skills//SKILL.md`，一个用于 persona/编排的 `.agents/AGENTS.md`，以及位于 `.agent/rules/` 中的常驻护栏。 ## 前置条件 - 一个已配置的 **Splunk MCP server**（这些技能假设 server id 为 `user-splunk-mcp-server`；请根据您的环境进行调整）。 - 对于 `exposure-analytics-setup`：需要带有 ThreatGen 流式传输至 `index=threat_gen` 的 Splunk ES 8。 ## 安全性 这两种技能**通过 MCP 对 Splunk 执行只读操作**。生成的 correlation-search、 Notable-Event 和 RBA SPL 将作为可复制的输出发出，供用户部署—— 这些技能永远不会通过 MCP server 运行 `sendalert notable` / `sendalert risk`。

标签：AI编程助手, MCP, 安全运营, 扫描框架, 数字取证, 自动化脚本