implementing-siem-use-case-tuning

通过分析告警量、创建白名单、调整阈值以及衡量 Splunk 和 Elastic 中的检测有效性指标,调整 SIEM 检测规则以减少误报

9 stars

Best use case

implementing-siem-use-case-tuning is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过分析告警量、创建白名单、调整阈值以及衡量 Splunk 和 Elastic 中的检测有效性指标,调整 SIEM 检测规则以减少误报

Teams using implementing-siem-use-case-tuning should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-siem-use-case-tuning/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-siem-use-case-tuning/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-siem-use-case-tuning/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-siem-use-case-tuning Compares

Feature / Agentimplementing-siem-use-case-tuningStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过分析告警量、创建白名单、调整阈值以及衡量 Splunk 和 Elastic 中的检测有效性指标,调整 SIEM 检测规则以减少误报

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 实施 SIEM 用例调优

## 概述

SIEM 用例调优通过系统性地分析检测规则的误报率、根据环境基线调整阈值、创建上下文感知白名单以及通过精确率/召回率指标衡量检测有效性来减少告警疲劳(alert fatigue)。本技能涵盖 Splunk 关联搜索和 Elastic 检测规则的调优工作流,包括统计基线化、排除列表管理以及告警转化为事件的跟踪。

## 前置条件

- 已启用 ES 的 Splunk Enterprise/Cloud 或已启用检测规则的 Elastic SIEM
- 历史告警数据(至少 30 天)用于基线分析
- Python 3.8+ 及 `requests` 库
- SIEM 管理员凭据或 API 令牌

## 步骤

1. 从 SIEM 导出每条检测规则的当前告警量
2. 使用分析师处置数据计算每条规则的误报率
3. 按量和误报率识别产生最多噪声的规则
4. 为阈值建立环境基线(如登录次数、进程生成次数)
5. 为已知正常实体(服务账户、扫描器)创建白名单条目
6. 使用统计分析调整规则阈值(均值 + N 个标准差)
7. 通过调优前后的精确率和告警转化事件比率衡量调优效果

## 预期输出

JSON 报告,包含每条规则的调优建议,含当前误报率、建议的阈值调整、白名单条目和预计告警减少百分比。

Related Skills

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

performing-log-source-onboarding-in-siem

9
from killvxk/cybersecurity-skills-zh

在 SIEM 平台中执行结构化日志源接入,通过配置采集器、解析器、归一化和验证, 实现完整的安全可视化覆盖。

performing-false-positive-reduction-in-siem

9
from killvxk/cybersecurity-skills-zh

通过规则调优、阈值调整、关联细化和威胁情报丰富化,系统性地减少 SIEM 中的误报,以应对告警疲劳。

performing-alert-triage-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

在 Elastic Security SIEM 中执行系统化的告警分诊,快速分类、优先排序和调查安全告警,以支持 SOC 运营。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-zero-trust-in-cloud

9
from killvxk/cybersecurity-skills-zh

本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。

implementing-zero-trust-for-saas-applications

9
from killvxk/cybersecurity-skills-zh

使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。

implementing-zero-trust-dns-with-nextdns

9
from killvxk/cybersecurity-skills-zh

将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。

implementing-zero-standing-privilege-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。