detecting-wmi-persistence
作成者 mukul975detecting-wmi-persistence skill は、脅威ハンターや DFIR アナリストが、Sysmon の Event ID 19、20、21 を使って Windows テレメトリ内の WMI イベントサブスクリプション永続化を検知するのに役立ちます。悪意ある EventFilter、EventConsumer、FilterToConsumerBinding の活動を特定し、検出結果を検証し、攻撃者の永続化と正当な管理自動化を切り分ける用途に使えます。
この skill は 78/100 で、掲載候補として十分価値があります。WMI 永続化のハンティング手順を具体的に示し、正しく起動するための文脈もあり、補助的なスクリプトや参照資料も揃っています。導入判断には堅実ですが、Windows/Sysmon 環境向けである点と、完全なエンドツーエンド自動化というより検知寄りである点は押さえておくべきです。
- トリガーが明確で具体的: Sysmon Event ID 19、20、21 を使った WMI イベントサブスクリプション永続化のハンティング。
- 前提条件、疑わしい consumer の種類、PowerShell/WMI の列挙例まで含めて運用手順が具体的に書かれている。
- 補助資料が実用的: Python の agent スクリプトと、Sysmon/WMI のフィールドやコマンドに関する API リファレンスがある。
- 要件はかなり具体的で、Sysmon の WMI ログ、SIEM への取り込み、Windows エンドポイントでの PowerShell/WMI アクセスが必要。
- インストール用コマンドがなく、コアとなる検知パス以外のワークフロー信号密度も中程度にとどまるため、導入のしやすさはやや限定的。
detecting-wmi-persistence スキルの概要
detecting-wmi-persistence スキルは、Windows のテレメトリ、特に Sysmon の Event ID 19、20、21 を使って WMI イベントサブスクリプションの永続化を追うのに役立ちます。怪しい WMI アクティビティが、正規の管理自動化なのか、それとも攻撃者の永続化なのかを見極めたい脅威ハンター、DFIR アナリスト、ブルーチームに最適です。
detecting-wmi-persistence は何のためのスキルか
この detecting-wmi-persistence スキルは、MITRE ATT&CK T1546.003 に紐づく悪性の EventFilter、EventConsumer、FilterToConsumerBinding の活動を見つけることに特化しています。すでにテレメトリやアラートがあり、シグナルから証拠までを素早くたどりたい場面で最も力を発揮します。
汎用プロンプトと何が違うのか
「永続化を確認して」といった広い指示と違い、detecting-wmi-persistence は具体的なデータモデルを持っています。Sysmon ログ、WMI 名前空間のクエリ、疑わしい consumer の種類、クリーンアップ手順まで含まれるため、再現性のある調査に向いており、SIEM やエンドポイントのワークフローにも落とし込みやすくなります。
最適な利用者と環境
Sysmon を導入済みで、Windows Event Forwarding か SIEM への取り込みがあり、root\subscription を問い合わせる権限があるなら detecting-wmi-persistence を使う価値があります。軽量なデスクトップ単体の調査よりも、ハント設計、インシデント対応、Purple Team の検証に向いています。
detecting-wmi-persistence スキルの使い方
detecting-wmi-persistence スキルをインストールする
以下でインストールします。
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-wmi-persistence
その後は、まず skills/detecting-wmi-persistence/SKILL.md を開き、続けて references/api-reference.md と scripts/agent.py を読むと、イベントのマッピングと検知ロジックを理解しやすくなります。
適切な入力から始める
detecting-wmi-persistence の使い方は、次のいずれかを渡すと最も効果的です。Sysmon イベントの抜粋、怪しいホスト名、時間帯、あるいは特定の WMI consumer / filter 名です。「WMI の永続化を調べて」のような曖昧な依頼より、「ホスト X の 02:00〜06:00 UTC の Sysmon Event ID 19-21 を調査して」のほうが、ずっと素早く進められます。
脅威ハンティング向けの推奨ワークフロー
脅威ハンティングで detecting-wmi-persistence を使うなら、まず Sysmon Event ID 19、20、21 から始めます。次に、consumer が CommandLineEventConsumer か ActiveScriptEventConsumer かを確認し、root\subscription で binding を検証します。候補の filter 名や consumer 名がある場合は、それを使って対象を絞ってから全件列挙に進むと効率的です。
リポジトリで最初に読むべきファイル
まず references/api-reference.md を読み、Event ID、PowerShell による列挙方法、怪しい consumer クラスを把握してください。scripts/agent.py は、スキルが収集をどう自動化しているか、何を怪しいとみなしているか、Windows へのアクセスやテレメトリの有無についてどんな前提を置いているかを理解したいときに役立ちます。
detecting-wmi-persistence スキル FAQ
detecting-wmi-persistence は Sysmon 利用者だけのものですか?
基本的にはその通りです。このスキルは Sysmon Event ID 19、20、21 を前提にしているため、Sysmon の WMI ログが有効でないなら、detecting-wmi-persistence の効果はかなり下がります。WMI クエリの考え方自体は使えますが、最も強い検知経路は失われます。
使うのに WMI の専門知識は必要ですか?
いいえ。ログやホストの文脈を渡せる初心者にも detecting-wmi-persistence ガイドは有用です。ニッチな永続化確認を、構造化されたハントに変えてくれるからです。ただし、サブスクリプションを検証できるだけの Windows アクセス、またはそれを持つ担当者との連携は必要です。
どんなときにこのスキルを使うべきではありませんか?
detecting-wmi-persistence を、一般的なマルウェアの一次切り分けや、完全なエンドポイント・フォレンジック分析の代わりに使わないでください。問題が WMI 永続化より広い範囲に及ぶなら、先により汎用的なハント系または IR 系スキルを使うほうがよい場合があります。
通常のプロンプトと比べるとどう違いますか?
通常のプロンプトでは、モデルが記憶からワークフローを推測することになりがちです。detecting-wmi-persistence スキルは、Event ID、想定されるアーティファクトのクラス、リポジトリに基づく検証手順まで含む、より締まった導線を与えてくれます。その結果、手戻りが減り、調査の筋道も立てやすくなります。
detecting-wmi-persistence スキルを改善するには
事前に質の高いテレメトリを渡す
detecting-wmi-persistence を最も改善する方法は、入力の質を上げることです。生の Sysmon XML、転送済みイベントの抜粋、ホストの役割、時間範囲を渡してください。たとえば「Host WS-17、Sysmon 19-21 イベント、CommandLineEventConsumer が怪しい、ユーザーコンテキスト不明」といった情報は、「WMI が何かおかしい気がする」よりはるかに有効です。
正規の自動化と怪しい永続化を切り分ける
よくある失敗は、正当な管理用 WMI の利用まで過剰に疑ってしまうことです。自分の環境で何が正常かを detecting-wmi-persistence に伝えると精度が上がります。既知の展開ツール、定期管理エージェント、承認済みスクリプトなどの情報です。そうした文脈があると、ハントの焦点を異常な filter、consumer、binding に絞り込みやすくなります。
対象を絞った追加質問で反復する
最初の結果を見たら、detecting-wmi-persistence スキルに filter、consumer、binding のどれか 1 つに絞って掘り下げるよう依頼してください。検証用チェックリスト、クリーンアップを意識したクエリ計画、SIEM クエリへの変換を求めるのも有効です。こうした反復のほうが、1 回で大ざっぱな結論を求めるより、実際の対応につながる出力になりやすいです。