Skill

asp-artifact-zh

From asp

Queries ASP cyber security artifacts by IOC, value, type, role, owner, or reputation for investigations, pivoting, and enrichment attachment.

security

npx claudepluginhub funnywolf/agentic-soc-platform --plugin ASP

Tool Access

This skill uses the workspace's default tool permissions.

Preview

当用户要围绕 artifact 进行调查分析时，使用这个 skill。

SKILL.md

Similar Skills

asp-artifact-en

683

Manages ASP artifacts for cyber investigations: find by IOC/filters, create new ones, attach to alerts, save enrichments.

asp

SentinelOne Purple AI

Guides use of SentinelOne Purple AI for natural language cybersecurity investigations, threat hunting, behavioral anomaly analysis, MITRE ATT&CK TTP mapping, and PowerQuery generation via purple_ai tool.

sentinelone

Threat Hunt

273

Conducts threat hunts on Clawdstrike events: timelines, filtered queries, pattern correlations, IOC checks, MITRE ATT&CK mapping, and incident reports.

clawdstrike

Stats

Parent Repo Stars683

Parent Repo Forks98

Last CommitApr 3, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

ASP Artifact

当用户要围绕 artifact 进行调查分析时，使用这个 skill。 artifact 是 ASP 中的三级数据,每个 artifact 都挂载在一个 alert 下,是最小的需要调查的数据单元。

适用场景

用户想按 value、type、role、owner 或 reputation 查找 artifact。
用户想给 artifact 附加 enrichment 或结构化分析。

运行规则

把 artifact 视为平台里的最小调查对象。
查询和审查时使用 list_artifacts。
如果用户想把分析结果保存到 artifact 本身，使用 create_enrichment 加 attach_enrichment_to_target。
如需完整的 enrichment 持久化流程，使用 asp-enrichment-zh skill。

补充信息

rowid 为每条 artifact 记录的UUID,用于数据关联. artifact_id 是每条 artifact 记录人类可读的唯一ID

决策流程

如果用户要查找或审查 artifact，调用 list_artifacts。
如果用户要为 artifact 附加情报、分析笔记或结构化分析，使用 asp-enrichment-zh skill。
如果用户正从 artifact 出发进行调查，把 artifact 作为最小调查对象，只在必要时建议下一个最有价值的跳转点。

SOP

列出 Artifact

从请求中提取最窄且最有用的过滤条件。
调用 list_artifacts。
解析返回的 JSON 字符串。
以紧凑的 artifact 视图呈现；如果用户大概率下一步要附加或复用该 artifact，则显式展示 artifact row ID。

首选回复结构：

Artifact ID	Value	Type	Role	Owner	Reputation	Summary

然后在需要时补一句简短解释。

澄清规则

只有当用户要 enrich 现有 artifact 却未提供时，才询问 artifact_id。

输出规则

保持简洁。
除非用户明确要求，否则不要输出原始 JSON。
优先使用 pivot 语义，而不是存储语义。
当匹配的 artifact 很多时，展示最有价值的一小部分，并简要说明整体模式。

失败处理

如果没有匹配的 artifact，直接说明，并建议最有用的收敛方式。
如果目标 artifact 不存在，直接说明。