analyzing-powershell-script-block-logging

analyzing-powershell-script-block-logging スキルの概要

このスキルでできること

analyzing-powershell-script-block-logging スキルは、EVTX ファイルから Windows PowerShell Script Block Logging のイベント（Event ID 4104）を解析し、分割された script block を再構成し、-EncodedCommand、Invoke-Expression、download cradle、AMSI bypass の試行、その他の living-off-the-land 手法といった典型的な悪性パターンを検出するのに役立ちます。

どんな人に向いているか

SOC アナリスト、threat hunter、DFIR 実務者、そして Windows エンドポイントや server ログの Security Audit を行う人に特に適しています。単一の command line を見て推測するのではなく、telemetry から PowerShell の実行状況を再現性のある形で確認したいなら、このスキルは有用です。

何が違うのか

analyzing-powershell-script-block-logging スキルは、単なる汎用の「ログを確認する」プロンプトではありません。Event 4104 の構造、複数パートの再構成、そして repo の script と参考資料に基づく detection 指向のヒューリスティックを前提に作られています。そのため、広く浅い PowerShell 解析プロンプトよりも、incident triage に実用的です。

analyzing-powershell-script-block-logging スキルの使い方

インストールして主要ファイルを見つける

次のコマンドでインストールします。

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-powershell-script-block-logging

最短で理解したいなら、まず skills/analyzing-powershell-script-block-logging/SKILL.md を読み、次に references/api-reference.md、最後に scripts/agent.py を確認してください。この3つのファイルで、想定される log 構造、解析アプローチ、検出ロジックが分かります。

スキルに適切な入力を与える

このスキルは、EVTX の元データ、incident の文脈、時間範囲、そして判断したい内容を一緒に渡すと最も効果を発揮します。弱い依頼は「このログを分析して」です。より強いプロンプトは、たとえば次のようになります。「Microsoft-Windows-PowerShell%4Operational.evtx に対して analyzing-powershell-script-block-logging を使い、2024-01-15 10:00–11:00 UTC の範囲で、難読化、encoded payload、downloader 行動を含む Event ID 4104 を特定してください。」

repo に合ったワークフローで進める

まず Event 4104 が存在することを確認し、次に multi-part の ScriptBlockId グループを再構成し、その後で疑わしいパターンを確認して、結果を元の ScriptBlockText に結び付けます。Security Audit のために analyzing-powershell-script-block-logging のワークフローを使うなら、検出されたものだけでなく、検出されなかったもの、そして手動レビューが必要な command も含めて、coverage gap まで尋ねるのが有効です。

参考資料はこの順で読む

references/api-reference.md は、ScriptBlockText、ScriptBlockId、MessageNumber、MessageTotal などの field 名を理解するのに最適です。scripts/agent.py では、実際の pattern set、confidence ロジック、そしてこのスキルが高リスクとみなす PowerShell 行動の種類を確認できます。

analyzing-powershell-script-block-logging スキル FAQ

これは incident response 専用ですか？

いいえ。baseline hardening、detection engineering、control validation にも適しています。PowerShell telemetry がどのように detection を支えるのかを理解したいなら、進行中の incident がなくても analyzing-powershell-script-block-logging のガイドは役立ちます。

通常のプロンプトの代わりに使えますか？

使えますが、出力の一貫性は下がることが多いです。このスキルは、Event 4104 データの解析、分割 block の再構成、既知の疑わしい pattern との照合を行うための構造化された手順を提供します。これは、一般的なモデルに「悪性の PowerShell を探して」と頼むよりも信頼性が高いです。

主な制約は何ですか？

Script Block Logging が有効であること、そして EVTX ファイルに関連イベントが含まれていることに依存します。また、detection 指向であるため、正当だが珍しい administration script も拾われることがあり、最終判断にはアナリストの判断が必要です。

初心者でも使えますか？

はい。基本的な Windows logging の概念を理解していて、log file か具体的なシナリオを提示できるなら使えます。PowerShell Operational log の取得元が分からない場合や、Event 4104 が収集されているか確認できない場合は、やや使いにくいです。

analyzing-powershell-script-block-logging スキルを改善する方法

解析を変える文脈を渡す

品質を大きく上げるには、ホストの役割、ユーザーの文脈、正確な時間範囲を追加することです。「domain controller、admin account、14:20–14:40 UTC、post-phishing triage」のような情報は、EVTX の path だけよりもはるかに役立ちます。

検出結果と再構成の両方を求める

analyzing-powershell-script-block-logging の精度を上げるには、再構成した script、疑わしい indicator、各ヒットの短い理由を明示的に求めてください。そうすることで、出力が断片的なフラグの羅列ではなく、PowerShell の一連の動作としてつながります。

よくある失敗パターンに注意する

見落としとして多いのは、script block の切り詰め、順序どおりに再結合されない split payload、そして正当な automation を過度に悪性扱いしてしまうことです。最初の結果が薄く見える場合は、MessageNumber の順序を再確認し、重複する ScriptBlockId の値を比較し、「suspicious」と「confirmed」を分けるよう依頼してください。

目的を絞った follow-up プロンプトで反復する

強い2回目のプロンプトの例は、次のようなものです。「4104 イベントを悪性利用の可能性で再順位付けし、-EncodedCommand、FromBase64String、downloader 行動のどれが検出を駆動したのかを説明し、似て見える正当な admin script があれば示してください。」こうした反復の仕方は、analyzing-powershell-script-block-logging スキルを Security Audit の判断とアナリストの素早いレビューの両方に役立てやすくします。