スキル ir-velociraptor

📦

ir-velociraptor

Name: ir-velociraptor
Author: AgentSecOps

高リスク 🌐 ネットワークアクセス⚙️ 外部コマンド📁 ファイルシステムへのアクセス🔑 環境変数⚡ スクリプトを含む

Velociraptorでエンドポイントを調査する

インシデント対応担当者は、進行中の調査においてエンドポイントを迅速に可視化する必要があります。このスキルは、認可されたフォレンジック作業向けに、Velociraptor VQLパターン、コレクターのガイダンス、ハントテンプレートを提供します。

対応: Claude Codex Code(CC)

⚠️ 38 貧弱

スキルZIPをダウンロード

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-ir-velociraptor.md 署名済みmanifest GET /api/skills/agentsecops-ir-velociraptor/manifest 署名済みlockfile GET /api/skills/agentsecops-ir-velociraptor/lockfile

テストする

「ir-velociraptor」を使用しています。 Request: plan initial collection for three suspected compromised laptops.

期待される結果:

認証ログ、プロセス履歴、ネットワーク接続、永続化ポイント、タイムラインデータ、証拠保管、承認メモを網羅した、範囲を定めた収集チェックリスト。

「ir-velociraptor」を使用しています。 Request: hunt for suspicious encoded PowerShell activity.

期待される結果:

対象ラベル、コマンドラインインジケーター、リソース制限、トリアージ優先度、想定される誤検知、確認ワークフローを含むVQLハントの概要。

「ir-velociraptor」を使用しています。 Request: summarize Velociraptor evidence for an executive incident update.

期待される結果:

影響を受けたホスト、観測された挙動、信頼度、未解決の質問、推奨される封じ込め措置を説明する平易な言葉のレポート。

セキュリティ監査

高リスク

v6 • 6/28/2026

Static findings are mostly explained by the skill being a Velociraptor DFIR guide, not by hidden malicious code. However, the content includes templates for broad endpoint collection, credential-adjacent artifact discovery, privileged service deployment, webhook notification, and shell-based installation patterns, so publication should require human review and strong warnings.

スキャンされたファイル

4,889

解析された行数

検出結果

総監査数

高リスクの問題 (3)

assets/offline-collector-config.yaml:20-79 references/mitre-attack-mapping.md:315-331 references/mitre-attack-mapping.md:335-350 SKILL.md:227-235

Sensitive Endpoint and Credential-Adjacent Collection

The skill provides offline collector and MITRE mapping examples that can gather endpoint process, network, persistence, event log, file timeline, SAM hive, and browser credential-store evidence. This is expected for authorized DFIR, but it is high risk because misuse can expose sensitive host and user data.

references/deployment-guide.md:141-182 references/deployment-guide.md:275-289 references/deployment-guide.md:292-299 references/deployment-guide.md:405-415

Privileged Deployment and Persistence-Like Service Instructions

Deployment guidance includes sudo commands, systemd service creation and enablement, Windows service installation, firewall changes, and NFS storage configuration. These are normal for Velociraptor administration but can create persistent privileged endpoint or server components if used outside approved scope.

assets/ci-config-template.yml:237-240

Pipe-to-Shell Install Pattern in CI Template

The CI template installs tfsec with curl piped directly to bash. This pattern executes remote content without pinning or verification and was correctly flagged as dangerous, even though it appears in a template rather than active runtime code.

中リスクの問題 (3)

SKILL.md:52-65 assets/hunt-template.yaml:186-210 assets/hunt-template.yaml:39-60

Broad Hunt and Command Execution Templates

The hunt template and quick-start examples include Velociraptor commands that create hunts, monitor results, and export endpoint data. These are legitimate DFIR workflows, but mistakes in target labels, parameters, or authorization can collect data at enterprise scale.

assets/hunt-template.yaml:137-139 assets/artifact-template.yaml:124-132 references/deployment-guide.md:345-359

Webhook, URL, and Example Network Endpoints

Several network findings are placeholders or documentation links, including a Slack webhook placeholder and example URLs. These are mostly safe as examples, but users could accidentally commit real webhook URLs or route investigation data to external services.

assets/ci-config-template.yml:30-34 assets/ci-config-template.yml:161-164 assets/ci-config-template.yml:317-323

CI Token and Filesystem Access in Workflow Template

The CI workflow uses the GitHub token for security scanning and reads a generated report before posting a pull request comment. This is a common workflow pattern, but it requires least-privilege permissions and careful handling of report content.

低リスクの問題 (3)

assets/artifact-template.yaml:45-48 assets/rule-template.yaml:235-286 SKILL.md:227-231

Weak Cryptography Alerts Are Mostly Documentation False Positives

Many weak cryptography alerts are caused by security-rule examples, artifact metadata, or text about hashing. The reviewed artifact template uses SHA256, and the security rule template explains weak crypto detection rather than using weak algorithms in the skill.

SKILL.md:153-169 references/vql-patterns.md:180-197 references/vql-patterns.md:412-420

Reconnaissance Keywords Are Expected For Forensic Queries

System, network, registry, and USB enumeration queries are core Velociraptor forensic techniques. They are not hidden reconnaissance behavior in the skill itself, but they should run only within an authorized investigation.

references/EXAMPLE.md:133-140 references/EXAMPLE.md:415-425

Educational Vulnerability Examples Trigger Script and Secret Rules

The example reference includes intentionally vulnerable XSS snippets and secure API-key handling examples. These are educational examples, not active application code executed by the skill.

リスク要因

🌐 ネットワークアクセス (4)

assets/hunt-template.yaml:137-139 assets/artifact-template.yaml:124-132 references/deployment-guide.md:345-359 references/deployment-guide.md:405-415

⚙️ 外部コマンド (4)

SKILL.md:52-65 assets/hunt-template.yaml:186-210 assets/ci-config-template.yml:237-240 references/deployment-guide.md:275-289

📁 ファイルシステムへのアクセス (3)

assets/offline-collector-config.yaml:54-63 assets/artifact-template.yaml:72-88 assets/ci-config-template.yml:317-323

🔑 環境変数 (3)

assets/ci-config-template.yml:161-164 assets/rule-template.yaml:146-164 references/EXAMPLE.md:415-425

⚡ スクリプトを含む (2)

references/EXAMPLE.md:133-140 assets/ci-config-template.yml:317-323

検出されたパターン

Remote Installer Piped to ShellOffline Collector for Broad Endpoint EvidenceCredential Store and SAM Hive Discovery PatternsPrivileged Service InstallationExternal Notification Webhook Placeholder

監査者: codex 監査履歴を表示 →

品質スコア

アーキテクチャ

100

保守性

コンテンツ

コミュニティ

セキュリティ

仕様準拠

作れるもの

進行中のインシデントをトリアージする

影響を受けたエンドポイント向けに範囲を定めたVelociraptor収集計画を作成し、その後、プロセス、ネットワーク、イベントログ、ファイルタイムラインの証拠を確認します。

脅威ハントを開発する

不審なPowerShell、永続化、ラテラルムーブメント、認証情報アクセスのインジケーター、通常と異なるネットワークアクティビティのためのVQLハントを作成します。

フォレンジック収集を準備する

承認済み調査向けに、リソース制限、証拠保全記録、証拠保護コントロールを備えたオフラインコレクターを設計します。

これらのプロンプトを試す

基本的な収集を計画する

不審なログインアクティビティの後、1台のWindowsエンドポイント向けにVelociraptor収集計画を作成してください。範囲、アーティファクト、安全上の制限、期待される出力を含めてください。

焦点を絞ったVQLハントを書く

本番環境のWindowsクライアント全体で不審なPowerShell実行を検出するVQLハントを作成してください。パラメーター、トリアージ項目、誤検知の確認手順を含めてください。

オフラインコレクターを構築する

ランサムウェア調査向けにオフラインのVelociraptorコレクターを設計してください。収集対象を承認済みアーティファクトに限定し、リソース制御を設定し、証拠保全の取り扱いを含めてください。

調査結果をATT&CKにマッピングする

これらのVelociraptor調査結果を確認し、MITRE ATT&CKの戦術にマッピングしてください。確認済みの証拠、仮定、推奨される追加収集を分けてください。

ベストプラクティス

ハントは承認済みのクライアントラベルでのみ実行し、収集前に調査範囲を文書化します。
機微データの収集を最小限に抑え、転送中および保管中の証拠アーカイブを暗号化します。
本番エンドポイント全体で実行する前に、ラボまたはノートブックでVQLをテストします。

回避

リソース制限と変更承認なしに、企業全体を対象とした広範なハントを実行しないでください。
事案で必要とされない限り、認証情報ストア、ブラウザデータ、レジストリハイブを収集しないでください。
webhook URL、APIキー、秘密鍵を共有アーティファクトやレポートに貼り付けないでください。

よくある質問

このスキルはVelociraptorを単独で実行しますか？

いいえ。ガイダンスとテンプレートを提供します。ユーザーは引き続き、自身のVelociraptorデプロイメント、権限、レビュー手順を用意する必要があります。

これは本番環境の調査に適していますか？

はい。Velociraptorの専門知識を持つ認可されたチームに適しています。本番利用には、範囲設定、アクセス制御、ログ記録、リソース制限が必要です。

カスタムVQLアーティファクトの作成に役立ちますか？

はい。一般的なフォレンジック収集パターン向けのアーティファクト構造のガイダンスと例を含みます。

MITRE ATT&CKマッピングは含まれていますか？

はい。参考資料では、一般的なVelociraptorハントをATT&CKの戦術および技術にマッピングしています。

例ではどのようなデータを収集できますか？

例では、プロセス、ネットワーク接続、イベントログ、レジストリキー、ファイルタイムライン、サービス、ブラウザアーティファクト、その他のエンドポイント証拠を扱います。

主なセキュリティ上の懸念は何ですか？

テンプレートは機微なエンドポイント収集を支援できます。承認済みのインシデント対応手順の下でのみ使用してください。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/incident-response/ir-velociraptor

参照

main

ファイル構成

📁 assets/

📄 artifact-template.yaml

📄 ci-config-template.yml

📄 hunt-template.yaml

📄 offline-collector-config.yaml

📄 rule-template.yaml

📁 references/

📄 artifact-development.md

📄 deployment-guide.md

📄 EXAMPLE.md

📄 mitre-attack-mapping.md

📄 vql-patterns.md

📄 WORKFLOW_CHECKLIST.md

📄 SKILL.md