跳转到内容

asp-siem-rule

asp-siem-rule 用于编写并验证 ASP SIEM 检测规则,适合将威胁场景转化为 Splunk SPL 或 ELK ES|QL 查询。

调用方式

text
/asp-siem-rule

该 skill 会先理解目标和数据源,再用 asp siem query splasp siem query esql 验证查询。

常见调用样例

text
/asp-siem-rule 为多次失败登录后成功登录生成 SPL
text
/asp-siem-rule 用 ES|QL 查询最近一小时可疑 PowerShell 进程
text
/asp-siem-rule 验证这条 SPL 是否能返回样本事件

对应 CLI 命令:

powershell
asp siem query spl "index=main error" --from 2026-07-02T00:00:00Z --to 2026-07-02T01:00:00Z --output json
asp siem query esql "FROM logs-* | LIMIT 10" --from 2026-07-02T00:00:00Z --to 2026-07-02T01:00:00Z --output json