asp-siem-rule
asp-siem-rule 用于编写并验证 ASP SIEM 检测规则,适合将威胁场景转化为 Splunk SPL 或 ELK ES|QL 查询。
调用方式
text
/asp-siem-rule该 skill 会先理解目标和数据源,再用 asp siem query spl 或 asp siem query esql 验证查询。
常见调用样例
text
/asp-siem-rule 为多次失败登录后成功登录生成 SPLtext
/asp-siem-rule 用 ES|QL 查询最近一小时可疑 PowerShell 进程text
/asp-siem-rule 验证这条 SPL 是否能返回样本事件对应 CLI 命令:
powershell
asp siem query spl "index=main error" --from 2026-07-02T00:00:00Z --to 2026-07-02T01:00:00Z --output json
asp siem query esql "FROM logs-* | LIMIT 10" --from 2026-07-02T00:00:00Z --to 2026-07-02T01:00:00Z --output json