detection-sigma
Sigma 検出ルールを構築
セキュリティチームには、SIEM プラットフォームをまたいで機能するポータブルな検出ロジックが必要です。このスキルは、Sigma ルールの作成、ATT&CK へのマッピング、ハンティングやコンプライアンスワークフロー向けの準備を支援します。
スキルの ZIP をダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロード に移動
オンにして使い始める
エージェントが読めるリソース
AI エージェント、クローラー、スクリプトがページ全体ではなく整理されたコンテキストを必要とする場合は、これらのリンクを使ってください。
テストする
「detection-sigma」を使用しています。 エンコードされた PowerShell コマンドの検出作成リクエスト。
期待される結果:
Windows プロセス作成ログ、コマンドライン指標、ATT&CK execution タグ、誤検知メモ、テストガイダンスを含む構造化された Sigma ルール説明。
「detection-sigma」を使用しています。 Splunk チームと Sentinel チーム向けに検出戦略を変換するリクエスト。
期待される結果:
- バックエンド固有の計画メモ
- フィールドマッピングに関する考慮事項
- デプロイ前の検証手順
- 既知の変換制限
「detection-sigma」を使用しています。 PCI-DSS 監査証跡監視カバレッジを評価するリクエスト。
期待される結果:
監査証跡に関連する認証、アカウント管理、ファイルアクセスイベントを特定する、コントロールから検出への対応サマリー。
セキュリティ監査
中リスクStatic analysis reported many critical and high indicators, but most are false positives caused by Sigma detection examples, ATT&CK terminology, markdown command snippets, and reference URLs. One real documentation risk remains: a Splunk deployment example uses placeholder credentials and disables TLS verification. No confirmed malicious intent or prompt injection attempt was found, so publication is acceptable with a security warning.
中リスクの問題 (1)
低リスクの問題 (4)
リスク要因
🌐 ネットワークアクセス (38)
⚙️ 外部コマンド (474)
検出されたパターン
品質スコア
作成できるもの
ポータブルな検出を作成
レビュー、バージョン管理、複数の SIEM プラットフォーム向けの変換が可能な Sigma ルールを構築します。
脅威ハンティングを計画
ATT&CK 技術を、必要なログソース、フィールド、誤検知メモを含むハンティングロジックに変換します。
コンプライアンスカバレッジをマッピング
監査ログ要件を Sigma スタイルの監視ルールと証跡収集ワークフローに結び付けます。
これらのプロンプトを試す
不審な PowerShell 実行を検出する Sigma ルールを作成してください。ログソース、検出ロジック、誤検知、レベル、ATT&CK タグを含めてください。
ノイズの多い条件について、この Sigma ルールをレビューしてください。検出目的を維持しながら、フィルター、フィールド変更、テストケースを提案してください。
ATT&CK technique T1021 について、Sigma 検出アイデア、必要なログ、重要なフィールド、除外すべき可能性の高い正常な活動を提案してください。
Windows エンドポイント全体における認証情報アクセスの Sigma 検出カバレッジ計画を構築してください。ルールファミリー、ログソース、ATT&CK マッピング、検証手順、デプロイ時の注意事項を含めてください。
ベストプラクティス
- 本番環境へデプロイする前に、各ルールを既知の正常サンプルと既知の悪性サンプルに対してテストしてください。
- 所有者、変更履歴、ATT&CK タグ、コンプライアンスマッピングとともに、ルールをバージョン管理に保持してください。
- デプロイ例を使用する前に、プレースホルダーの認証情報、URL、フィールド名を置き換えてください。
回避
- ローカルのログ可用性とフィールドマッピングを検証せずに、生成されたルールをデプロイしないでください。
- 共有されるルール例に、実際のシークレット、顧客データ、機密性の高い指標を含めないでください。
- TLS 検証を無効化したり、プレースホルダー認証情報を使用したりするデプロイスニペットをコピーしないでください。
よくある質問
Sigma とは何ですか?
このスキルで SIEM にルールをデプロイできますか?
どの SIEM プラットフォームが対象ですか?
コンプライアンスコンテンツは含まれていますか?
同梱ルールは本番環境でそのまま使えますか?
なぜセキュリティ警告があるのですか?
開発者情報
作成者
AgentSecOpsライセンス
MIT
リポジトリ
https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/incident-response/detection-sigma参照
main