スキル analysis-tshark
📦

analysis-tshark

高リスク ⚙️ 外部コマンド🌐 ネットワークアクセス📁 ファイルシステムへのアクセス🔑 環境変数⚡ スクリプトを含む

TSharkでネットワークキャプチャを分析

ネットワーク調査には、高速なパケットフィルタリング、プロトコル検査、慎重な証拠取り扱いが必要です。このスキルは、キャプチャ分析、フォレンジック抽出、インシデント対応レポート作成のための、許可されたTSharkワークフローを案内します。

対応: Claude Codex Code(CC)
⚠️ 38 貧弱
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-analysis-tshark.md 署名済みmanifest GET /api/skills/agentsecops-analysis-tshark/manifest 署名済みlockfile GET /api/skills/agentsecops-analysis-tshark/lockfile

テストする

「analysis-tshark」を使用しています。 許可済みキャプチャを分析して、不審なアウトバウンド活動を確認してください。

期待される結果:

  • プロトコル統計、DNSレビュー、HTTPホスト抽出、大容量アップロード検出のための優先順位付きチェックリスト。
  • 証拠取り扱いとプライバシー上の制限に関する注記付きの推奨TSharkフィルタ。
  • インジケーター、タイムスタンプ、アナリストの観察事項のための短いインシデント要約形式。

「analysis-tshark」を使用しています。 認証情報漏えいが疑われる場合のパケットキャプチャワークフローを準備してください。

期待される結果:

  • キャプチャまたは抽出の各手順の前に承認を確認する、範囲確認を最優先にしたワークフロー。
  • 認証情報の取り扱い、安全な保存、保存期間管理に関する平易な警告。
  • 確認済みの証拠と仮説を分けるレポート作成アウトライン。

セキュリティ監査

高リスク
v6 • 6/28/2026

Static findings are mostly documentation and template examples, but the core skill intentionally provides privileged packet capture, credential extraction, and TLS decryption workflows. No prompt injection or covert exfiltration was found, so this is not blocked as malicious. The dual-use credential and network interception capabilities make it unsuitable for publication without strong gating and authorization controls.

5
スキャンされたファイル
2,158
解析された行数
13
検出結果
6
総監査数

高リスクの問題 (3)

SKILL.md:36-41SKILL.md:564-569
Privileged Live Packet Capture
The skill instructs users to run TShark with sudo on live interfaces and to grant packet capture capabilities. This can intercept traffic outside an authorized scope and expose private communications.
SKILL.md:276-286SKILL.md:289-319
Credential and Hash Extraction Workflows
The skill provides TShark filters for HTTP Basic Auth, FTP passwords, NTLM responses, Kerberos names, POP3 credentials, and IMAP login data. These are legitimate for forensics but can directly enable credential harvesting.
SKILL.md:603-611
TLS Decryption Material Handling
The troubleshooting guidance uses SSL key log files and server private keys to decrypt TLS traffic. Misuse could expose protected communications from packet captures.
中リスクの問題 (3)
SKILL.md:322-337SKILL.md:340-347
Sensitive File and Object Extraction
The skill shows how to export HTTP, SMB, DICOM, and email objects from packet captures and reconstruct files. This can recover sensitive documents or medical and email content from network traffic.
SKILL.md:543-555
Automated Alert Pipeline Can Distribute Sensitive Traffic Data
The automation example pipes captured network fields into logs and email alerts. If copied without redaction, sensitive hostnames, IP addresses, or request metadata could be distributed broadly.
assets/ci-config-template.yml:237-240
Pipe-to-Shell Installer in CI Template
The CI template installs tfsec by piping a remote script directly to bash. This is a risky supply-chain pattern if users copy the template into production workflows.
低リスクの問題 (2)
assets/rule-template.yaml:132-165references/EXAMPLE.md:132-138
Static Scanner Hits in Educational Templates
Several reported XSS, hardcoded secret, weak crypto, and command patterns appear in rule examples or documentation templates. They demonstrate vulnerable and fixed code rather than active skill behavior.
SKILL.md:24-30
No Prompt Injection Evidence Found
A targeted review did not find override phrases or instructions telling the evaluator to skip security analysis. This lowers the likelihood of hidden marketplace manipulation.

リスク要因

⚙️ 外部コマンド (4)
SKILL.md:36-41 SKILL.md:281-286 SKILL.md:543-555 assets/ci-config-template.yml:237-240
🌐 ネットワークアクセス (3)
SKILL.md:36-41 SKILL.md:206-207 SKILL.md:550-554
📁 ファイルシステムへのアクセス (3)
SKILL.md:322-337 SKILL.md:340-344 assets/ci-config-template.yml:323
🔑 環境変数 (3)
assets/ci-config-template.yml:164 assets/rule-template.yaml:147-148 SKILL.md:607-611
⚡ スクリプトを含む (1)
references/EXAMPLE.md:137-138

検出されたパターン

sudo TShark Capture CommandsCredential Extraction FiltersRemote Script Piped to BashTLS Key Material Configuration
監査者: codex 監査履歴を表示 →

品質スコア

55
アーキテクチャ
100
保守性
87
コンテンツ
72
コミュニティ
0
セキュリティ
87
仕様準拠

作れるもの

不審なトラフィックをトリアージ

ビーコニング、異常なDNSクエリ、大容量アップロード、不審なユーザーエージェントについてキャプチャをフィルタリングします。

フォレンジック証拠を再構築

調査中に、パケットキャプチャからタイムライン、会話、プロトコルフィールド、ファイルを抽出します。

ネットワーク制御を検証

承認済みのテストネットワーク上に、機密性の高いプロトコル、脆弱なTLS設定、平文の認証情報が現れるかどうかを確認します。

これらのプロンプトを試す

キャプチャを検査 
capture.pcapという名前の許可済みパケットキャプチャがあります。TSharkを使って、プロトコル、上位エンドポイント、異常なトラフィックを検査するのを手伝ってください。
表示フィルタを作成 
許可された調査で、DNS、HTTP、TLSハンドシェイク、失敗したTCP接続向けのTShark表示フィルタを作成してください。
インシデントインジケーターを抽出 
承認済みのインシデント対応ケースから得たパケットキャプチャを前提に、IP、ドメイン、ユーザーエージェント、不審な転送を抽出する手順を案内してください。
フォレンジックワークフローを設計 
証拠の保全、機密データ露出の最小化、アーティファクトの抽出、調査結果の文書化のための、弁証可能なTSharkワークフローを設計してください。

ベストプラクティス

  • トラフィックをキャプチャする前に、書面による承認、範囲、保存期間、プライバシー要件を確認します。
  • 狭いフィルタ、短いキャプチャ時間、暗号化された保存を使用して、機密データの露出を減らします。
  • 分析結果を共有する前に、認証情報、個人データ、私的なペイロードを編集・伏せ字処理します。

回避

  • 承認済み調査範囲外のネットワーク、インターフェース、デバイスでトラフィックをキャプチャすること。
  • 文書化されたフォレンジック上の必要性なしに、パケットキャプチャから認証情報を抽出または共有すること。
  • レビューやバージョン固定なしに、コピーしたシェルパイプラインやリモートインストーラーを実行すること。

よくある質問

このスキル自体がパケットをキャプチャしますか?
いいえ。ガイダンスとコマンド例を提供します。ユーザーは自身の許可された環境でTSharkを実行します。
リスク評価が高いのはなぜですか?
このワークフローには、特権的なパケットキャプチャ、認証情報抽出、ファイル抽出、TLS復号素材の取り扱いが含まれます。
既存のpcapファイルを分析できますか?
はい。パケットキャプチャの読み取り、プロトコルのフィルタリング、フィールドの抽出、調査結果の準備のためのワークフローが含まれています。
本番監視に適していますか?
文書化された承認、プライバシー管理、安全な保存、組織のセキュリティチームによるレビューがある場合に限ります。
TLSトラフィックを復号できますか?
鍵ログとサーバー鍵のためのTSharkオプションを説明しますが、ユーザーはそれらの秘密情報を慎重に保護する必要があります。
どのツールが必要ですか?
TSharkが必要です。一部のワークフローでは、Wireshark、tcpdump、Python、シェルユーティリティ、またはローカルメールツールにも言及します。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/offsec/analysis-tshark

参照

main

ファイル構成

📁 assets/

📄 ci-config-template.yml

📄 rule-template.yaml

📁 references/

📄 EXAMPLE.md

📄 WORKFLOW_CHECKLIST.md

📄 SKILL.md