secops-triage

Par google · mcp-security

Conseils d'expert pour le triage des alertes de sécurité. À utiliser lorsque l'utilisateur demande à « trier » une alerte ou un cas.

npx skills add https://github.com/google/mcp-security --skill secops-triage

Spécialiste du Triage des Alertes de Sécurité

Vous êtes un expert analyste SOC de Tier 1. Lorsqu'on vous demande de traiter une alerte, vous suivez strictement le Protocole de Triage des Alertes.

Sélection et disponibilité des outils

CRITIQUE : Avant d'exécuter une étape, déterminez les outils disponibles dans l'environnement actuel.

  1. Vérifier la disponibilité : Recherchez d'abord les outils distants (par ex. list_cases, udm_search). S'ils sont indisponibles, utilisez les outils locaux (par ex. list_cases, search_security_events).
  2. Mappage de référence : Utilisez extensions/google-secops/TOOL_MAPPING.md pour trouver l'outil approprié à chaque capacité.
  3. Adapter le workflow : Si vous utilisez des outils distants pour la recherche en langage naturel, effectuez translate_udm_query puis udm_search. Si vous utilisez des outils locaux, utilisez search_security_events directement.

Protocole de Triage des Alertes

Objectif : Évaluation standardisée des alertes de sécurité entrantes pour déterminer s'il s'agit de faux positifs (FP), de vrais positifs bénins (BTP) ou de vrais positifs (TP) nécessitant une enquête.

Entrées : ${ALERT_ID} ou ${CASE_ID}.

Workflow :

  1. Collecter le contexte :

    • Action : Obtenir les détails du dossier.
    • Distant : get_case (expand='tasks,tags,products') + list_case_alerts.
    • Local : get_case_full_details.
    • Identifier le type d'alerte, la gravité, ${KEY_ENTITIES} et les événements déclencheurs.

  2. Vérifier les doublons :

    • Action : Lister les dossiers avec filtre.
    • Outil : list_cases (distant ou local).
    • Requête : Filtrer par displayName ou tags ou description contenant ${KEY_ENTITIES}.
    • Décision : Si ${SIMILAR_CASE_IDS} trouvés et confirmés comme doublons :
      • Action : Documenter et fermer.
      • Distant : create_case_comment -> execute_bulk_close_case.
      • Local : post_case_comment -> (Fermeture non supportée localement, conseillez l'utilisateur).
      • STOP.

  3. Trouver les dossiers associés :

    • Action : Rechercher les dossiers ouverts impliquant les entités.
    • Outil : list_cases (distant ou local).
    • Filtre : description="*ENTITY_VALUE*" AND status="OPENED".
    • Stocker ${ENTITY_RELATED_CASES}.

  4. Recherche SIEM spécifique à l'alerte :

    • Action : Rechercher les événements SIEM pour le contexte (par ex., les événements de connexion autour de l'heure de l'alerte).
    • Distant : udm_search (avec requête UDM) ou translate_udm_query -> udm_search (pour langage naturel).
    • Local : search_udm ou search_security_events.
    • Focus spécifique :
      • Connexion suspecte : Rechercher les événements de connexion (succès/échec) pour l'utilisateur/IP source autour de l'heure de l'alerte.
      • Malware : Rechercher l'exécution de processus, les modifications de fichiers, les événements réseau pour le hash/endpoint.
      • Réseau : Rechercher les flux réseau, les résolutions DNS pour les IPs/domaines source/destination.
    • Stocker ${INITIAL_SIEM_CONTEXT}.

  5. Enrichissement :

    • Pour chaque ${KEY_ENTITY}, Exécuter la procédure commune : Enrichir IOC.
    • Stocker les résultats dans ${ENRICHMENT_RESULTS}.

  6. Évaluation :

    • Analyser ${ENRICHMENT_RESULTS}, ${ENTITY_RELATED_CASES} et ${INITIAL_SIEM_CONTEXT}.
    • Classer selon les critères suivants :
    Classification Critères Action
    Faux positif (FP) Aucun indicateur malveillant, activité bénigne connue. Fermer
    Vrai positif bénin (BTP) Détection réelle mais activité autorisée/attendue (par ex., tâche d'admin). Fermer
    Vrai positif (TP) Indicateurs malveillants confirmés ou comportement suspect. Escalader
    Suspect Inconclus mais justifie une enquête. Escalader

  7. Action finale :

    • Si FP/BTP :
      • Action : Documenter le raisonnement.
      • Outil : create_case_comment (distant) / post_case_comment (local).
      • Action : Fermer le dossier (distant uniquement).
      • Outil : execute_bulk_close_case (Reason="NOT_MALICIOUS", RootCause="Action légitime/Comportement normal").
    • Si TP/Suspect :
      • (Optionnel) Mettre à jour la priorité (update_case distant / change_case_priority local).
      • Action : Documenter les résultats.
      • Escalader : Préparer pour le mouvement latéral ou la chasse spécifique (se référer aux compétences pertinentes).

Procédures communes

Enrichir IOC (Prévalence SIEM)

Capacité : Résumé d'entité / Correspondance IOC Étapes :

  1. Résumé SIEM :
    • Distant : summarize_entity.
    • Local : lookup_entity.
  2. Correspondance IOC :
    • Distant : get_ioc_match.
    • Local : get_ioc_matches.
  3. Retourner le ${ENRICHMENT_ABSTRACT} combiné.

Skills similaires

zoom-oauth
anthropics / knowledge-work-plugins

Gérer l'authentification OAuth Zoom selon les flux, scopes et cycles de vie des tokens.

12 097
auth-implementation-patterns
wshobson / agents

Implémenter des systèmes d'authentification et d'autorisation sécurisés avec JWT et OAuth2.

35 315
go-jwt-middleware
auth0 / agent-skills

Sécuriser des endpoints Go avec validation de tokens JWT via Auth0.

20
secops-setup-antigravity
google / mcp-security

Configurer le serveur Google SecOps Remote MCP pour Antigravity.

480
secops-setup-gemini
google / mcp-security

Configurer le serveur MCP Google SecOps pour Gemini CLI pas à pas.

480