sivolko/Security-Skills
GitHub: sivolko/Security-Skills
面向 Claude 系列工具的安全运营技能集合,提供 SOC 分诊、威胁狩猎、安全架构和漏洞管理四个方向的可加载知识模块。
Stars: 0 | Forks: 0
# 安全技能
用于安全运营和架构工作的 Claude Skills。包含五个技能,每个都是一个独立的 `SKILL.md`(外加包含深度资料的 `references/`),专为基于 Claude 的工具(claude.ai、Claude Code、Claude Cowork 或任何兼容 Skills 的 agent)加载而设计。
## 结构
```
Security-Skills/
├── cybersecurity-fundamentals/ entry point + router — CIA triad, risk framing, NIST CSF 2.0 / ISO 27001 / SOC 2
├── soc-analyst/ Tier 1-3 alert triage, investigation, escalation, detection engineering
│ └── references/
│ ├── triage-playbook.md per-alert-type playbooks (TP/FP indicators, containment, escalation)
│ ├── mitre-attack-mapping.md ATT&CK tactic/technique quick reference for SOC telemetry
│ └── kql-quick-reference.md KQL/Sentinel operators, tables, detection query patterns
├── threat-hunter/ proactive, hypothesis-driven hunting
│ └── references/
│ ├── peak-framework.md Prepare/Execute/Act with Knowledge, phase-by-phase
│ ├── hypothesis-library.md starter ATT&CK-mapped hypotheses (identity/cloud/endpoint/network)
│ └── diamond-model-kill-chain.md Diamond Model, Cyber Kill Chain, Pyramid of Pain
├── security-architect/ architecture review and secure design
│ └── references/
│ ├── threat-modeling-frameworks.md STRIDE / PASTA / LINDDUN / MAESTRO, worked examples
│ ├── sabsa-togaf-integration.md SABSA attribute matrix + TOGAF ADM mapping
│ └── architecture-review-checklist.md review-ready checklist by layer
└── vulnerability-management/ scanning strategy, risk-based prioritization, patching SLAs
└── references/
├── qualys-reference.md VMDR modules, TruRisk scoring, QQL query examples
├── tenable-reference.md product map, VPR/ACR/AES scoring, Nessus plugin families
└── prioritization-and-sla-playbook.md CVSS+EPSS+KEV logic, SLA tiers, remediate/mitigate/accept
```
## 安装说明
每个顶层文件夹都是一个独立的 Claude Skill:
- **claude.ai**:通过 Skill 设置上传该文件夹的 `SKILL.md`(及其 `references/` 文件夹),或者使用 `skill-creator` 技能的 `package_skill.py` 将其打包为 `.skill` 文件。
- **Claude Code / Cowork**:将该文件夹放入您的 skills 目录中(例如 `~/.claude/skills/` 或项目的 skills 路径下)。
- **API**:将 `SKILL.md` 的内容包含在上下文中,或者将其作为模型可读取的文件进行引用。
## 设计说明
- 每个 `SKILL.md` 都保持精简(约 150-300 行),并在 frontmatter 中提供清晰的触发描述;深度的参考资料存放在 `references/` 中,并且仅在实际需要使用该技能时才会被引入(渐进式披露)。
- `security-architect/` 将架构审查首先视为一个**系统设计问题** —— 需求 → 高层设计(组件、数据流、信任边界) → 威胁建模 → 控制/扩展性 → 权衡 —— 并在基础之上叠加 SABSA 的业务属性思维与 TOGAF ADM 治理,而不是在最后才生硬地加入安全设计。
- `cybersecurity-fundamentals/` 充当路由器:一般的安全问题会汇聚到这里,并根据请求的性质被导向至 `soc-analyst`、`threat-hunter`、`security-architect` 或 `vulnerability-management`,无论其属于响应型(触发了告警)、主动型(主动寻找入侵迹象)、设计期(构建/审查系统),还是暴露驱动型(需要对 CVE/扫描列表进行优先级排序)。
- `vulnerability-management/` 涵盖了从扫描到验证修复的完整生命周期,并提供了针对 Qualys VMDR 和 Tenable(Nessus / Tenable Vulnerability Management / Tenable Security Center / Tenable One)的特定工具参考资料,因为这两个平台涵盖了现实世界中的绝大多数请求。
- 贯穿全文所引用的框架:MITRE ATT&CK、Cyber Kill Chain、Diamond Model、Pyramid of Pain、PEAK、ABLE、TaHiTI、STRIDE、PASTA、LINDDUN、OCTAVE、SABSA、TOGAF ADM、NIST CSF 2.0,以及专门针对涉及 LLM agent 或 MCP 工具使用的系统的 MAESTRO(CSA 的 7 层 agentic AI 威胁建模框架)。
## 维护这些技能
如需扩展或调整触发机制,请使用 Anthropic 的 `skill-creator` 技能 —— 它涵盖了起草、测试提示词评估以及描述优化,从而确保技能能够根据人们实际使用的表达方式被准确触发。
标签:AI提示词工程, GPT, LLM Agent, SOC分析, 安全架构, 安全运营, 扫描框架, 漏洞管理, 逆向工具, 防御加固