スキル forensics-osquery

📦

forensics-osquery

Name: forensics-osquery
Author: AgentSecOps

中リスク ⚙️ 外部コマンド📁 ファイルシステムへのアクセス🌐 ネットワークアクセス

osqueryでエンドポイントを調査

インシデント対応担当者は、多数のホストツールを切り替えることなく、迅速にエンドポイントの証拠を必要とします。このスキルは、Claude、Codex、Claude Codeに対して、osqueryベースのトリアージ、ハンティング、監視ワークフローを案内します。

対応: Claude Codex Code(CC)

⚠️ 50 貧弱

スキルZIPをダウンロード

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-forensics-osquery.md 署名済みmanifest GET /api/skills/agentsecops-forensics-osquery/manifest 署名済みlockfile GET /api/skills/agentsecops-forensics-osquery/lockfile

テストする

「forensics-osquery」を使用しています。侵害が疑われるワークステーションを調査する。

期待される結果:

プロセス、ユーザー、ネットワーク接続、永続化、最近のファイルアクティビティを網羅するトリアージチェックリスト。
調査すべきosquery領域と、異常な結果の解釈方法に関する提案。
タイムスタンプとアナリストの操作を保全するための証拠取り扱いメモ。

「forensics-osquery」を使用しています。疑わしいPowerShellアクティビティのハンティングを作成する。

期待される結果:

Windowsプロセステレメトリと疑わしいコマンドライン指標に紐づいたハンティング計画。
レビュー時に除外すべき想定される正常な発生元。
親プロセス、ネットワーク接続、永続化アーティファクトに対するフォローアップのピボット。

「forensics-osquery」を使用しています。エンドポイントフリートのカバレッジ向けにosqueryd監視を準備する。

期待される結果:

構成、パック、ログ記録、サービス管理のためのデプロイチェックリスト。
クエリコスト、データの機密性、ロールベースアクセスに関する推奨レビュー項目。
ラボテストから限定的な本番デプロイまでのロールアウト手順。

セキュリティ監査

中リスク

v6 • 6/28/2026

Static analysis found many command, credential, filesystem, and network indicators, but review shows they are mostly osquery detection queries and defensive documentation. The skill is not malicious, but it can guide privileged endpoint collection that exposes sensitive files, process details, registry data, and network activity, so users need clear operational controls.

スキャンされたファイル

2,870

解析された行数

検出結果

総監査数

中リスクの問題 (2)

SKILL.md:292-294 assets/forensic-packs/credential-access.conf:18-24 assets/forensic-packs/credential-access.conf:40-46 assets/forensic-packs/credential-access.conf:85-99

Privileged Forensic Queries Can Expose Sensitive Data

TRUE_POSITIVE: The skill explicitly documents that osquery can access sensitive system information, including password hashes, private keys, and process memory. The credential-access pack also queries password files, credential-related filenames, browser credential access indicators, SSH key locations, and registry credential storage. This is appropriate for incident response, but results require strict authorization, storage protection, and sharing controls.

references/osqueryd-deployment.md:27-37 references/osqueryd-deployment.md:424-445 assets/osquery.conf:14-18 assets/osquery.conf:64-69

Deployment Guidance Enables Privileged Persistent Monitoring

TRUE_POSITIVE: The deployment reference includes sudo package installation, systemd enablement, and launchd loading for osqueryd. These commands are normal for endpoint monitoring, but they install or enable a persistent privileged service that can collect broad host telemetry.

低リスクの問題 (3)

references/mitre-attack-queries.md:51-66 references/mitre-attack-queries.md:69-81 references/mitre-attack-queries.md:404-415 assets/forensic-packs/persistence-hunt.conf:66-69

External Command Alerts Are Mostly Defensive Query Literals

FALSE_POSITIVE: Many PowerShell, cmd.exe, sudo, nmap, and shell strings are inside osquery SQL queries or reference examples that detect suspicious activity. They are not executed by the skill files themselves, although users may run osquery commands from the documentation.

SKILL.md:206-217 SKILL.md:226-230 SKILL.md:342-347

Weak Cryptography Alerts Refer To Forensic Hash Fields

FALSE_POSITIVE: MD5 appears as a file hash field used for forensic lookup and evidence correlation, often next to SHA256. The skill does not recommend MD5 for cryptographic integrity or password storage.

SKILL.md:290-300 references/osqueryd-deployment.md:467-476

No Prompt Injection Attempt Found

FALSE_POSITIVE: No evidence found for embedded instructions that tell the evaluator to ignore analysis, override policy, skip review, or change risk levels. References to administrator privileges are ordinary operational requirements for osquery.

リスク要因

⚙️ 外部コマンド (4)

SKILL.md:45-75 references/osqueryd-deployment.md:27-37 references/osqueryd-deployment.md:424-445 assets/forensic-packs/credential-access.conf:91-94

📁 ファイルシステムへのアクセス (5)

assets/forensic-packs/credential-access.conf:18-24 assets/forensic-packs/credential-access.conf:40-46 assets/forensic-packs/lateral-movement.conf:53-60 assets/forensic-packs/ir-triage.conf:63-64 SKILL.md:292-300

🌐 ネットワークアクセス (4)

assets/osquery.conf:52-58 assets/forensic-packs/ir-triage.conf:38-45 assets/forensic-packs/lateral-movement.conf:6-13 references/mitre-attack-queries.md:504-511

検出されたパターン

Sensitive Credential Artifact QueriesNetwork And Lateral Movement Telemetry CollectionPrivileged Service Deployment Examples

監査者: codex 監査履歴を表示 →

品質スコア

アーキテクチャ

100

保守性

コンテンツ

コミュニティ

セキュリティ

100

仕様準拠

作れるもの

迅速なエンドポイントトリアージ

アラート後にプロセス、ログイン、ネットワーク、ファイルのメタデータを収集し、ホストの状態をすばやく把握します。

MITREベースの脅威ハンティング

疑わしいATT&CKテクニックを、観測可能なエンドポイントアーティファクトに対するosquery検索へ変換します。

フリート監視設計

永続化、認証情報アクセス、ラテラルムーブメントの指標を監視する、スケジュール済みosquerydパックを構築します。

これらのプロンプトを試す

エンドポイントトリアージを開始

forensics-osqueryスキルを使用して、初期エンドポイントトリアージを計画してください。プロセス、ログイン中のユーザー、ネットワーク接続、最近のファイル変更に焦点を当ててください。

永続化をハンティング

forensics-osqueryスキルを使用して、Linux、macOS、Windows向けの永続化ハンティングワークフローを作成してください。各結果が何を意味するかを含めてください。

テクニックをマッピング

forensics-osqueryスキルを使用して、MITRE ATT&CK technique T1003をエンドポイントアーティファクトとosqueryチェックに対応付けてください。分析手順と証拠の取り扱いを含めてください。

監視パックを設計

forensics-osqueryスキルを使用して、ラテラルムーブメントと認証情報アクセス向けのosqueryd監視パックを設計してください。スケジューリング、チューニング、誤検知レビューを含めてください。

ベストプラクティス

明示的な承認を得ているシステムでのみ、権限が必要なクエリを実行してください。
エクスポートした結果は、アクセスログと保持期限を備えた暗号化済みの場所に保存してください。
本番エンドポイント全体で有効化する前に、スケジュール済みクエリをラボでテストしてください。

回避

本番フリートで範囲制限なしに広範なファイルまたはプロセスクエリを実行しないでください。
シークレットや個人データを削除する前に、生のosquery結果を共有しないでください。
アナリストによる検証なしに、クエリの一致を侵害確定として扱わないでください。

よくある質問

このスキルはosqueryを自動的にインストールしますか？

いいえ。ガイダンスと例を提供します。ユーザーはosqueryを別途インストールして構成する必要があります。

Claude CodeやCodexで使用できますか？

はい。マーケットプレイスのメタデータでは、Claude、Codex、Claude Codeがサポート対象ツールとして記載されています。

リスクレベルが中程度なのはなぜですか？

このスキルは防御目的ですが、そのワークフローでは機密性の高いホスト、認証情報、プロセス、ネットワークの証拠を収集できます。

攻撃者ツールを実行しますか？

証拠は見つかりませんでした。攻撃者ツール名は、osquery検索内の検出文字列として表示されています。

どのプラットフォームが対象ですか？

ガイダンスはLinux、macOS、Windowsを対象としていますが、各プラットフォームでのosqueryテーブルサポートに依存します。

どの権限が必要ですか？

多くの基本的なクエリは通常ユーザーとして動作します。機密性の高いテーブルでは、多くの場合root権限または管理者権限が必要です。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/incident-response/forensics-osquery

参照

main

ファイル構成

📁 assets/

📁 forensic-packs/

📄 credential-access.conf

📄 ir-triage.conf

📄 lateral-movement.conf

📄 persistence-hunt.conf

📄 osquery.conf

📁 references/

📄 mitre-attack-queries.md

📄 osqueryd-deployment.md

📄 platform-differences.md

📄 table-guide.md

📄 SKILL.md