arttapon1/defensive-soc-skills

GitHub: arttapon1/defensive-soc-skills

一套面向蓝队 SOC 的 Claude Code 技能包,覆盖事件调查报告、SIEM 检测规则编写和 SOAR 自动化响应的完整防御流水线。

Stars: 5 | Forks: 1

# Claude Code 防御性 SOC 技能 一套包含三个**原创** Claude Code / Agent 技能,专为蓝队 / SOC 工作设计。 它们构成了一个流水线:**调查 → 检测 → 响应**。 | 技能 | 作用 | 交接 | |---|---|---| | **ir-report-builder** | 分析所有日志 → 生成攻击时间线、IR 计划 (NIST 800-61 / PICERL)、详细的技术报告 + 高管摘要 | IOC + 技术 → 检测 | | **siem-detection-engineer** | 从数据 / 攻击行为出发 → 编写 Sigma 规则,随后转换为 SPL / KQL / EQL / QRadar / Wazuh + MITRE ATT&CK 映射 + 误报评估 | 检测 → 响应 | | **soar-playbook-builder** | 构建调用设备 API (Firewall/WAF/IPS/DLP) 的 SOAR playbook 以实现自动化阻断 + 威胁情报富化 (VirusTotal/AbuseIPDB/OTX/Group-IB),并配备安全护栏与回滚机制 | 操作 → 事件记录 | ## 流水线概览 ``` flowchart LR L(["Raw logs / alerts"]):::io --> IR IR["🔍 ir-report-builder
investigate + report"]:::skill DE["🛰️ siem-detection-engineer
detect"]:::skill SO["⚡ soar-playbook-builder
respond"]:::skill IR -->|"IOCs + ATT&CK techniques"| DE DE -->|"detections worth auto-responding"| SO SO -.->|"actions taken → incident record"| IR classDef skill fill:#0d3b66,stroke:#0a2e50,color:#fff; classDef io fill:#e8eef5,stroke:#9db2c9,color:#111; ``` ## 各技能工作原理 ### 🔍 ir-report-builder — 调查与报告 遵循 NIST SP 800-61 和 SANS PICERL,将观察到的行为映射到 MITRE ATT&CK。 ``` flowchart TD A["Intake & scope
+ confirm authorization"] --> B["Normalize evidence
log_timeline.py + SHA-256"] B --> C["Reconstruct timeline
initial access → impact"] C --> D["Analyze
IOCs · ATT&CK · root cause"] D --> E["Build IR plan
contain / eradicate / recover"] E --> F["Technical report"] E --> G["Executive summary"] F --> H{{"Quality gate
cite evidence · confidence · gaps"}} G --> H H -->|"IOCs + techniques"| N["▶ siem-detection-engineer"] ``` 1. **接收与界定范围** — 确认事件类型、受影响资产、检测时间、 可用数据源以及授权情况。 2. **标准化证据** — `log_timeline.py` 将每种日志格式 (syslog, JSON, CSV, CEF, access, FortiGate KV, CloudTrail) 解析为统一时区的时间线,并 记录每个源文件的 SHA-256 哈希以维护证据保管链。 3. **重建时间线** — 对事件排序,并标记初始访问、横向移动、 权限提升、影响以及最后观察到的活动。 4. **分析** — 提取 IOC,将每个步骤映射到 ATT&CK 技术,确定根本 原因,并评估影响范围。 5. **构建 IR 计划** — 制定具体的遏制 / 消除 / 恢复操作,并 指定负责人和优先级(已完成与建议操作)。 6. **撰写两份交付物** — 一份详尽且引用证据的详细技术报告,以及一份 以业务影响为开头的一页纸高管摘要。 7. **质量关卡** — 每项主张均引用证据行;推理结果标注有 置信度;可见性差距被明确列出。 → *交接:* IOC 和技术将传递给 **siem-detection-engineer**。 ### 🛰️ siem-detection-engineer — 检测 Sigma 是事实来源;平台查询语句均基于此生成。 ``` flowchart TD A["Understand the data
map fields to SIEM schema"] --> B["Form hypothesis
tie to ATT&CK technique"] B --> C["Author Sigma rule"] C --> D["Convert
sigma_to_queries.py → SPL / KQL / EQL"] D --> E["Rate & tune
severity · FP rate · allowlists"] E --> F["Test
positive + negative events"] F --> G["Rule package
Sigma + queries + ATT&CK + tests"] G -->|"detections worth auto-responding"| N["▶ soar-playbook-builder"] ``` 1. **理解数据** — 使用 `resources/log-source-mapping.md` 将日志源及其字段对齐到目标 SIEM schema(这是导致规则失效的首要原因)。 2. **构建假设** — *“通过观察 \<日志源\> 中的 \<信号\> 来检测 \<技术\>”*,并与 ATT&CK 技术 ID 绑定。 3. **编写 Sigma 规则** — 包含精确的选择/过滤逻辑以及客观真实的 `falsepositives` 部分。 4. **转换** — `sigma_to_queries.py` 生成用于人工审查的 第一版 SPL / KQL / EQL。 5. **评级与调优** — 分配严重程度和预期误报率;定义 allowlist、阈值和聚合窗口。 6. **测试** — 提供一个正例(应触发)和一个负例(不应触发)测试事件。 7. **文档化以备交接** — 一个规则包:Sigma + 转换后的查询 + ATT&CK 映射 + FP 说明 + 测试用例 + 部署/回滚备注。 → *交接:* 值得自动响应的检测结果将传递给 **soar-playbook-builder**。 ### ⚡ soar-playbook-builder — 响应 安全优先的自动化:行动前先富化,控制影响范围,确保一切皆可回滚。 ``` flowchart TD A["Trigger
detection + indicators"] --> B["Enrich
enrich_ioc.py: VT / AbuseIPDB / OTX / Group-IB"] B --> C{"Decision
score + confidence"} C -->|"malicious + high"| D["Contain
respond_block.py — dry-run first"] C -->|"suspicious"| E["Escalate
create ticket"] C -->|"benign"| F["Close as false positive"] D --> G[["Guardrails
allowlist · approval gate · TTL · rollback · audit"]] G -->|"actions taken → incident record"| N["▶ ir-report-builder"] ``` 1. **定义触发器** — 启动 playbook 的检测/警报及其指标。 2. **富化** — `enrich_ioc.py` 查询 VirusTotal / AbuseIPDB / OTX / Group-IB 并 计算综合风险评分和置信度。 3. **决策** — 明确的、有序的规则(例如:恶意 + 高置信度 → 阻断; 可疑 → 上报;其他 → 作为 FP 关闭)。 4. **响应** — `respond_block.py` 调用设备 API (Cloudflare / Palo Alto / FortiGate / CrowdStrike),**默认为 dry-run**,并带有 TTL/过期时间以及回滚操作。 5. **安全护栏** — 永不阻断的 allowlist、最大操作数的断路器、生产环境的审批关卡, 以及完整的审计日志。 6. **生成 playbook** — 一份与供应商无关的 `playbook-template.yml` (触发器 → 富化 → 决策 → 操作 → 护栏 → 回滚)。 7. **测试计划** — 一次 dry-run 演练,展示*将会*触发的精确 API 调用。 → *交接:* 所采取的操作将反馈给 **ir-report-builder** 以更新事件记录。 ## ⚠️ 授权与安全 仅供**授权的防御性使用** — 适用于您拥有或受雇保护的系统。 - 维护证据完整性;请在日志副本上进行操作。 - SOAR 响应脚本**默认为 dry-run**,并强制执行永不阻断的 allowlist。 自动化阻断生产流量可能会导致业务中断 — 在开启 `--commit` 之前请务必审查。 ## 本项目的原创性说明 本仓库中的所有技能、脚本和模板均是为该套件从零开始编写的。不包含任何第三方的技能内容。 外部*工具和服务* (VirusTotal、MITRE ATT&CK、Sigma、供应商 API) 仅被引用/集成,并未在此重新分发, 且受其各自条款的约束。 ## 包含且可用的辅助脚本 (仅使用标准库,无需 pip 安装) | 脚本 | 用途 | 已验证 | |---|---|---| | `ir-report-builder/scripts/log_timeline.py` | 将 syslog (RFC3164/5424) / JSON / CSV / CEF / access / FortiGate KV / AWS CloudTrail 标准化为一个排序的时间线 + SHA-256 证据保管链 | ✅ | | `siem-detection-engineer/scripts/sigma_to_queries.py` | 第一版 Sigma → SPL/KQL/EQL 转换 | ✅ | | `soar-playbook-builder/scripts/enrich_ioc.py` | 多来源 IOC 信誉查询 (VT/AbuseIPDB/OTX/Group-IB) | ✅ | | `soar-playbook-builder/scripts/respond_block.py` | 通过 Cloudflare / Palo Alto / FortiGate / CrowdStrike 进行阻断/解除阻断,具备 dry-run + allowlist 保护 | ✅ | ## 安装 ``` git clone https://github.com/arttapon1/defensive-soc-skills.git cd defensive-soc-skills ./install.sh # copies the 3 skills into ~/.claude/skills/ ``` 或手动安装: ``` cp -R skills/* ~/.claude/skills/ ``` 启动一个新的 Claude Code 会话,然后只需描述任务 — 例如 *“分析这些 日志并撰写一份 IR 报告”*、*“为该事件编写一条检测规则”*、*“构建一个 playbook 以在防火墙上阻断此 IP”* — 匹配的技能将自动激活。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。你写的代码,归你所有。
标签:AI智能体, Claude Code, SOAR, 安全运营中心, 库, 应急响应, 网络映射, 逆向工具