スキル detection-sigma
📦

detection-sigma

中リスク 🌐 ネットワークアクセス⚙️ 外部コマンド

Sigma 検出ルールを構築

セキュリティチームには、SIEM プラットフォームをまたいで機能するポータブルな検出ロジックが必要です。このスキルは、Sigma ルールの作成、ATT&CK へのマッピング、ハンティングやコンプライアンスワークフロー向けの準備を支援します。

対応: Claude Codex Code(CC)
📊 75 十分
1

スキルの ZIP をダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロード に移動

3

オンにして使い始める

エージェントが読めるリソース

AI エージェント、クローラー、スクリプトがページ全体ではなく整理されたコンテキストを必要とする場合は、これらのリンクを使ってください。

テストする

「detection-sigma」を使用しています。 エンコードされた PowerShell コマンドの検出作成リクエスト。

期待される結果:

Windows プロセス作成ログ、コマンドライン指標、ATT&CK execution タグ、誤検知メモ、テストガイダンスを含む構造化された Sigma ルール説明。

「detection-sigma」を使用しています。 Splunk チームと Sentinel チーム向けに検出戦略を変換するリクエスト。

期待される結果:

  • バックエンド固有の計画メモ
  • フィールドマッピングに関する考慮事項
  • デプロイ前の検証手順
  • 既知の変換制限

「detection-sigma」を使用しています。 PCI-DSS 監査証跡監視カバレッジを評価するリクエスト。

期待される結果:

監査証跡に関連する認証、アカウント管理、ファイルアクセスイベントを特定する、コントロールから検出への対応サマリー。

セキュリティ監査

中リスク
v6 • 6/28/2026

Static analysis reported many critical and high indicators, but most are false positives caused by Sigma detection examples, ATT&CK terminology, markdown command snippets, and reference URLs. One real documentation risk remains: a Splunk deployment example uses placeholder credentials and disables TLS verification. No confirmed malicious intent or prompt injection attempt was found, so publication is acceptable with a security warning.

13
スキャンされたファイル
2,873
解析済み行数
7
検出結果
6
総監査数
中リスクの問題 (1)
Unsafe Deployment Example Uses Placeholder Credentials and Disabled TLS Verification
The Splunk deployment example defines placeholder admin credentials and sends a REST request with TLS verification disabled. This appears to be documentation, not malicious code, but users could copy it into production automation.
低リスクの問題 (4)
Static Network Indicators Are Documentation and References
Hardcoded URLs and the .onion example appear in references, ATT&CK links, backend documentation, and Sigma detection examples. I did not find evidence that the skill initiates network traffic by itself.
External Command Alerts Are Mostly Markdown Examples
PowerShell, cmd.exe, Python, and shell snippets are used to explain Sigma rule patterns, installation commands, and conversion workflows. They are not hidden execution paths inside the skill package.
Credential, Ransomware, C2, and Obfuscation Keywords Are Defensive Detection Content
The high-severity keyword alerts map to Sigma rules and ATT&CK reference content for detecting credential access, encoded commands, onion domains, command and control, and ransomware file changes.
No Prompt Injection Attempt Found in Reviewed Suspicious Text
Search terms related to prompt injection matched normal compliance and ATT&CK wording, such as administrator activity and system updates. No evidence found for instructions to override the evaluator or skip security review.

リスク要因

🌐 ネットワークアクセス (38)
⚙️ 外部コマンド (474)
assets/rule-templates/credential-access.yml:71 references/backend-support.md:7 references/backend-support.md:12-14 references/backend-support.md:14-17 references/backend-support.md:17-19 references/backend-support.md:19-22 references/backend-support.md:22-24 references/backend-support.md:24-28 references/backend-support.md:28-32 references/backend-support.md:32 references/backend-support.md:32-33 references/backend-support.md:33 references/backend-support.md:33-34 references/backend-support.md:34 references/backend-support.md:34-38 references/backend-support.md:38 references/backend-support.md:38-43 references/backend-support.md:43-45 references/backend-support.md:45-48 references/backend-support.md:48-50 references/backend-support.md:50-53 references/backend-support.md:53-64 references/backend-support.md:64-72 references/backend-support.md:72 references/backend-support.md:72-73 references/backend-support.md:73 references/backend-support.md:73-74 references/backend-support.md:74 references/backend-support.md:74-78 references/backend-support.md:78 references/backend-support.md:78-83 references/backend-support.md:83-85 references/backend-support.md:85-88 references/backend-support.md:88-90 references/backend-support.md:90-93 references/backend-support.md:93-98 references/backend-support.md:98-106 references/backend-support.md:106 references/backend-support.md:106-107 references/backend-support.md:107 references/backend-support.md:107-108 references/backend-support.md:108 references/backend-support.md:108-112 references/backend-support.md:112 references/backend-support.md:112-117 references/backend-support.md:117-119 references/backend-support.md:119-122 references/backend-support.md:122-124 references/backend-support.md:124-127 references/backend-support.md:127-131 references/backend-support.md:131-140 references/backend-support.md:140-145 references/backend-support.md:145-147 references/backend-support.md:147-150 references/backend-support.md:150-154 references/backend-support.md:154-162 references/backend-support.md:162-167 references/backend-support.md:167-169 references/backend-support.md:169-189 references/backend-support.md:189-191 references/backend-support.md:191-195 references/backend-support.md:195-210 references/backend-support.md:210-218 references/backend-support.md:218-221 references/backend-support.md:221 references/backend-support.md:221-247 references/backend-support.md:247-255 references/backend-support.md:255-261 references/backend-support.md:261-278 references/backend-support.md:278-282 references/backend-support.md:282-297 references/backend-support.md:297-301 references/backend-support.md:301-310 references/backend-support.md:310-316 references/backend-support.md:316-324 references/backend-support.md:324-328 references/backend-support.md:328-340 references/backend-support.md:340-344 references/backend-support.md:344-350 references/backend-support.md:350-356 references/backend-support.md:356-359 references/backend-support.md:359-362 references/backend-support.md:362-364 references/backend-support.md:23 references/backend-support.md:58 references/backend-support.md:96 references/backend-support.md:130 references/backend-support.md:151 references/backend-support.md:269 references/backend-support.md:306 references/backend-support.md:320 references/backend-support.md:334 references/backend-support.md:348 references/compliance-mappings.md:11 references/compliance-mappings.md:18-26 references/compliance-mappings.md:26-30 references/compliance-mappings.md:30-37 references/compliance-mappings.md:37-45 references/compliance-mappings.md:45-49 references/compliance-mappings.md:49-56 references/compliance-mappings.md:56-64 references/compliance-mappings.md:64-68 references/compliance-mappings.md:68-75 references/compliance-mappings.md:75-85 references/compliance-mappings.md:85-89 references/compliance-mappings.md:89-96 references/compliance-mappings.md:96-105 references/compliance-mappings.md:105-113 references/compliance-mappings.md:113-124 references/compliance-mappings.md:124-135 references/compliance-mappings.md:135-146 references/compliance-mappings.md:146-157 references/compliance-mappings.md:157-164 references/compliance-mappings.md:164-173 references/compliance-mappings.md:173-179 references/compliance-mappings.md:179-190 references/compliance-mappings.md:190-203 references/compliance-mappings.md:203-212 references/compliance-mappings.md:212-222 references/compliance-mappings.md:222-228 references/compliance-mappings.md:228-239 references/compliance-mappings.md:239-246 references/compliance-mappings.md:246-256 references/compliance-mappings.md:256-262 references/compliance-mappings.md:262-273 references/compliance-mappings.md:273-313 references/compliance-mappings.md:313-316 references/compliance-mappings.md:316-319 references/compliance-mappings.md:319-324 references/compliance-mappings.md:324-330 references/compliance-mappings.md:330-342 references/compliance-mappings.md:342-346 references/compliance-mappings.md:346-348 references/compliance-mappings.md:348-354 references/field-modifiers.md:5 references/field-modifiers.md:7 references/field-modifiers.md:16-20 references/field-modifiers.md:20-23 references/field-modifiers.md:23-24 references/field-modifiers.md:24-25 references/field-modifiers.md:25-34 references/field-modifiers.md:34-38 references/field-modifiers.md:38-41 references/field-modifiers.md:41-42 references/field-modifiers.md:42-45 references/field-modifiers.md:45-54 references/field-modifiers.md:54-58 references/field-modifiers.md:58-61 references/field-modifiers.md:61-62 references/field-modifiers.md:62-71 references/field-modifiers.md:71-78 references/field-modifiers.md:78-91 references/field-modifiers.md:91-95 references/field-modifiers.md:95-98 references/field-modifiers.md:98-99 references/field-modifiers.md:99-108 references/field-modifiers.md:108-112 references/field-modifiers.md:112-121 references/field-modifiers.md:121-125 references/field-modifiers.md:125-129 references/field-modifiers.md:129-138 references/field-modifiers.md:138-142 references/field-modifiers.md:142-147 references/field-modifiers.md:147-148 references/field-modifiers.md:148-149 references/field-modifiers.md:149-158 references/field-modifiers.md:158-162 references/field-modifiers.md:162-164 references/field-modifiers.md:164-173 references/field-modifiers.md:173-177 references/field-modifiers.md:177-186 references/field-modifiers.md:186-191 references/field-modifiers.md:191-202 references/field-modifiers.md:202-207 references/field-modifiers.md:207-218 references/field-modifiers.md:218-220 references/field-modifiers.md:220-230 references/field-modifiers.md:230-235 references/field-modifiers.md:235-239 references/field-modifiers.md:239-245 references/field-modifiers.md:245-255 references/field-modifiers.md:255-259 references/field-modifiers.md:259-267 references/field-modifiers.md:267-271 references/field-modifiers.md:271-279 references/field-modifiers.md:279-283 references/field-modifiers.md:283-290 references/field-modifiers.md:290-316 references/field-modifiers.md:316-318 references/field-modifiers.md:318-321 references/field-modifiers.md:321-323 references/field-modifiers.md:323-327 references/field-modifiers.md:327-330 references/field-modifiers.md:330-333 references/field-modifiers.md:333-336 references/field-modifiers.md:336-340 references/field-modifiers.md:340-347 references/field-modifiers.md:347-349 references/field-modifiers.md:349-352 references/field-modifiers.md:352-356 references/field-modifiers.md:356-364 references/field-modifiers.md:364-370 references/field-modifiers.md:370-374 references/field-modifiers.md:374 references/field-modifiers.md:374-376 references/field-modifiers.md:376-384 references/field-modifiers.md:384-390 references/field-modifiers.md:390-393 references/field-modifiers.md:393 references/field-modifiers.md:393-405 references/field-modifiers.md:405-411 references/field-modifiers.md:411-415 references/field-modifiers.md:415-418 references/field-modifiers.md:418 references/field-modifiers.md:418 references/field-modifiers.md:19 references/field-modifiers.md:23 references/field-modifiers.md:23 references/field-modifiers.md:24 references/field-modifiers.md:25 references/field-modifiers.md:37 references/field-modifiers.md:41 references/field-modifiers.md:42 references/field-modifiers.md:45 references/field-modifiers.md:57 references/field-modifiers.md:61 references/field-modifiers.md:61 references/field-modifiers.md:62 references/field-modifiers.md:75 references/field-modifiers.md:94 references/field-modifiers.md:98 references/field-modifiers.md:99 references/field-modifiers.md:111 references/field-modifiers.md:176 references/field-modifiers.md:176 references/field-modifiers.md:176 references/field-modifiers.md:234 references/field-modifiers.md:243 references/field-modifiers.md:249 references/field-modifiers.md:250 references/field-modifiers.md:264 references/field-modifiers.md:317 references/field-modifiers.md:322 references/field-modifiers.md:331 references/field-modifiers.md:338 references/field-modifiers.md:348 references/field-modifiers.md:354 references/field-modifiers.md:377 references/field-modifiers.md:379 references/field-modifiers.md:265 references/log-source-guide.md:12 references/log-source-guide.md:13 references/log-source-guide.md:14 references/log-source-guide.md:15 references/log-source-guide.md:16 references/log-source-guide.md:17 references/log-source-guide.md:18 references/log-source-guide.md:21-29 references/log-source-guide.md:29-38 references/log-source-guide.md:38-39 references/log-source-guide.md:39-40 references/log-source-guide.md:40-41 references/log-source-guide.md:41-42 references/log-source-guide.md:42-43 references/log-source-guide.md:43-44 references/log-source-guide.md:44-47 references/log-source-guide.md:47-55 references/log-source-guide.md:55-64 references/log-source-guide.md:64-65 references/log-source-guide.md:65-66 references/log-source-guide.md:66-69 references/log-source-guide.md:69-77 references/log-source-guide.md:77-86 references/log-source-guide.md:86-87 references/log-source-guide.md:87-88 references/log-source-guide.md:88-91 references/log-source-guide.md:91-98 references/log-source-guide.md:98-107 references/log-source-guide.md:107-108 references/log-source-guide.md:108-109 references/log-source-guide.md:109-112 references/log-source-guide.md:112-120 references/log-source-guide.md:120-129 references/log-source-guide.md:129-130 references/log-source-guide.md:130-131 references/log-source-guide.md:131-134 references/log-source-guide.md:134-141 references/log-source-guide.md:141-150 references/log-source-guide.md:150-151 references/log-source-guide.md:151-152 references/log-source-guide.md:152-153 references/log-source-guide.md:153-162 references/log-source-guide.md:162-163 references/log-source-guide.md:163-164 references/log-source-guide.md:164-165 references/log-source-guide.md:165-166 references/log-source-guide.md:166-169 references/log-source-guide.md:169-176 references/log-source-guide.md:176-182 references/log-source-guide.md:182-183 references/log-source-guide.md:183-184 references/log-source-guide.md:184-185 references/log-source-guide.md:185-186 references/log-source-guide.md:186-187 references/log-source-guide.md:187-188 references/log-source-guide.md:188-189 references/log-source-guide.md:189-190 references/log-source-guide.md:190-191 references/log-source-guide.md:191-197 references/log-source-guide.md:197-201 references/log-source-guide.md:201-204 references/log-source-guide.md:204-205 references/log-source-guide.md:205-206 references/log-source-guide.md:206-207 references/log-source-guide.md:207-208 references/log-source-guide.md:208-215 references/log-source-guide.md:215-216 references/log-source-guide.md:216-217 references/log-source-guide.md:217-218 references/log-source-guide.md:218-219 references/log-source-guide.md:219-222 references/log-source-guide.md:222 references/log-source-guide.md:222-223 references/log-source-guide.md:223 references/log-source-guide.md:223-224 references/log-source-guide.md:224-227 references/log-source-guide.md:227-228 references/log-source-guide.md:228-231 references/log-source-guide.md:231-232 references/log-source-guide.md:232-239 references/log-source-guide.md:239 references/log-source-guide.md:239-240 references/log-source-guide.md:240 references/log-source-guide.md:240-241 references/log-source-guide.md:241 references/log-source-guide.md:241-244 references/log-source-guide.md:244 references/log-source-guide.md:244-245 references/log-source-guide.md:245 references/log-source-guide.md:245-246 references/log-source-guide.md:246 references/log-source-guide.md:27 references/mitre-attack-mapping.md:25-35 references/mitre-attack-mapping.md:35-38 references/mitre-attack-mapping.md:38-42 references/mitre-attack-mapping.md:42-49 references/mitre-attack-mapping.md:49-58 references/mitre-attack-mapping.md:58-69 references/mitre-attack-mapping.md:69-76 references/mitre-attack-mapping.md:76-85 references/mitre-attack-mapping.md:85-93 references/mitre-attack-mapping.md:93-102 references/mitre-attack-mapping.md:102-109 references/mitre-attack-mapping.md:109-116 references/mitre-attack-mapping.md:116-123 references/mitre-attack-mapping.md:123-132 references/mitre-attack-mapping.md:132-140 references/mitre-attack-mapping.md:140-147 references/mitre-attack-mapping.md:147-151 references/mitre-attack-mapping.md:151-160 references/mitre-attack-mapping.md:160-168 references/mitre-attack-mapping.md:168-175 references/mitre-attack-mapping.md:175-181 references/mitre-attack-mapping.md:181-190 references/mitre-attack-mapping.md:190-200 references/mitre-attack-mapping.md:200-207 references/mitre-attack-mapping.md:207-216 references/mitre-attack-mapping.md:216-227 references/mitre-attack-mapping.md:227-232 references/mitre-attack-mapping.md:232-239 references/mitre-attack-mapping.md:239-247 references/mitre-attack-mapping.md:247-256 references/mitre-attack-mapping.md:256-265 references/mitre-attack-mapping.md:265-276 references/mitre-attack-mapping.md:276-289 references/mitre-attack-mapping.md:289-298 references/mitre-attack-mapping.md:298-306 references/mitre-attack-mapping.md:306-315 references/mitre-attack-mapping.md:315-324 references/mitre-attack-mapping.md:324-330 references/mitre-attack-mapping.md:330-334 references/mitre-attack-mapping.md:334-337 references/mitre-attack-mapping.md:337-343 references/mitre-attack-mapping.md:343-349 references/mitre-attack-mapping.md:349-356 references/mitre-attack-mapping.md:18 references/mitre-attack-mapping.md:20 references/mitre-attack-mapping.md:28 references/mitre-attack-mapping.md:352 references/mitre-attack-mapping.md:46 references/mitre-attack-mapping.md:52 SKILL.md:42-44 SKILL.md:44-48 SKILL.md:48-75 SKILL.md:75-79 SKILL.md:79-88 SKILL.md:88-98 SKILL.md:98-126 SKILL.md:126-139 SKILL.md:139-148 SKILL.md:148-166 SKILL.md:166-171 SKILL.md:171-184 SKILL.md:184-200 SKILL.md:200-204 SKILL.md:204-216 SKILL.md:216-220 SKILL.md:220-261 SKILL.md:261-267 SKILL.md:267-268 SKILL.md:268-269 SKILL.md:269-270 SKILL.md:270-271 SKILL.md:271-272 SKILL.md:272-273 SKILL.md:273-276 SKILL.md:276-283 SKILL.md:283-301 SKILL.md:301-302 SKILL.md:302-303 SKILL.md:303-304 SKILL.md:304-308 SKILL.md:308-309 SKILL.md:309-310 SKILL.md:310-311 SKILL.md:311-312 SKILL.md:312-316 SKILL.md:316-317 SKILL.md:317-318 SKILL.md:318-319 SKILL.md:319-320 SKILL.md:320-322 SKILL.md:322-323 SKILL.md:323-324 SKILL.md:324-325 SKILL.md:325-333 SKILL.md:333-346 SKILL.md:346-352 SKILL.md:352-369 SKILL.md:369-375 SKILL.md:375-388 SKILL.md:388-396 SKILL.md:396-412 SKILL.md:412-417 SKILL.md:417-437 SKILL.md:437-438 SKILL.md:438-447 SKILL.md:447 SKILL.md:447-455 SKILL.md:455-464 SKILL.md:464-470 SKILL.md:470-473 SKILL.md:473-474 SKILL.md:474-475 SKILL.md:475-476 SKILL.md:476-477 SKILL.md:477-478 SKILL.md:478-479 SKILL.md:479-480 SKILL.md:480-481 SKILL.md:481-482 SKILL.md:482-483 SKILL.md:483-484 SKILL.md:49 SKILL.md:52 SKILL.md:66 SKILL.md:112 SKILL.md:256 SKILL.md:280 SKILL.md:282 SKILL.md:340 SKILL.md:467 SKILL.md:257 SKILL.md:341

検出されたパターン

Unsafe Deployment Example Uses Placeholder Credentials and Disabled TLS Verification
監査者: codex 監査履歴を表示 →

品質スコア

59
アーキテクチャ
100
保守性
87
コンテンツ
76
コミュニティ
55
セキュリティ
87
仕様準拠

作成できるもの

ポータブルな検出を作成

レビュー、バージョン管理、複数の SIEM プラットフォーム向けの変換が可能な Sigma ルールを構築します。

脅威ハンティングを計画

ATT&CK 技術を、必要なログソース、フィールド、誤検知メモを含むハンティングロジックに変換します。

コンプライアンスカバレッジをマッピング

監査ログ要件を Sigma スタイルの監視ルールと証跡収集ワークフローに結び付けます。

これらのプロンプトを試す

基本ルールを下書き
不審な PowerShell 実行を検出する Sigma ルールを作成してください。ログソース、検出ロジック、誤検知、レベル、ATT&CK タグを含めてください。
既存ルールをチューニング
ノイズの多い条件について、この Sigma ルールをレビューしてください。検出目的を維持しながら、フィルター、フィールド変更、テストケースを提案してください。
技術をマッピング
ATT&CK technique T1021 について、Sigma 検出アイデア、必要なログ、重要なフィールド、除外すべき可能性の高い正常な活動を提案してください。
検出カバレッジを設計
Windows エンドポイント全体における認証情報アクセスの Sigma 検出カバレッジ計画を構築してください。ルールファミリー、ログソース、ATT&CK マッピング、検証手順、デプロイ時の注意事項を含めてください。

ベストプラクティス

  • 本番環境へデプロイする前に、各ルールを既知の正常サンプルと既知の悪性サンプルに対してテストしてください。
  • 所有者、変更履歴、ATT&CK タグ、コンプライアンスマッピングとともに、ルールをバージョン管理に保持してください。
  • デプロイ例を使用する前に、プレースホルダーの認証情報、URL、フィールド名を置き換えてください。

回避

  • ローカルのログ可用性とフィールドマッピングを検証せずに、生成されたルールをデプロイしないでください。
  • 共有されるルール例に、実際のシークレット、顧客データ、機密性の高い指標を含めないでください。
  • TLS 検証を無効化したり、プレースホルダー認証情報を使用したりするデプロイスニペットをコピーしないでください。

よくある質問

Sigma とは何ですか?
Sigma は、ログベースのセキュリティ検出を記述するためのベンダー中立のルール形式です。
このスキルで SIEM にルールをデプロイできますか?
いいえ。ガイダンスとテンプレートを提供します。デプロイには、承認済みの SIEM ツールと認証情報が必要です。
どの SIEM プラットフォームが対象ですか?
リファレンスでは、Splunk、Elasticsearch、QRadar、Microsoft Sentinel、およびその他の pySigma 対応バックエンドについて説明しています。
コンプライアンスコンテンツは含まれていますか?
はい。PCI-DSS、NIST 800-53、ISO 27001、SOC 2 スタイルの監視カバレッジの例が含まれています。
同梱ルールは本番環境でそのまま使えますか?
いいえ。これらは開始用テンプレートであり、ローカルログ、命名規則、誤検知に合わせてチューニングする必要があります。
なぜセキュリティ警告があるのですか?
デプロイ例の 1 つでは、プレースホルダー認証情報と無効化された TLS 検証が使用されています。実際に使用する前に置き換えてください。