npm - @vantagesec/socc - Versions diffs - 0.1.13 → 0.1.15 - Mend

@vantagesec/socc 0.1.13 → 0.1.15

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (127) hide show

package/socc-canonical/.agents/soc-copilot/skills/web-search/SKILL.md DELETED Viewed

@@ -1,322 +0,0 @@
----
-name: web-search
-description: USE FOR web search. Returns ranked results with snippets, URLs, thumbnails. Supports freshness filters, SafeSearch, Goggles for custom ranking, pagination. Primary search endpoint.
----
-# Web Search
-> **Requires API Key**: Get one at https://api.search.brave.com
->
-> **Plan**: Included in the **Search** plan. See https://api-dashboard.search.brave.com/app/subscriptions/subscribe
-## Quick Start (cURL)
-### Basic Search
-```bash
-curl -s "https://api.search.brave.com/res/v1/web/search?q=python+web+frameworks" \
-  -H "Accept: application/json" \
-  -H "X-Subscription-Token: ${BRAVE_SEARCH_API_KEY}"
-```
-### With Parameters
-```bash
-curl -s "https://api.search.brave.com/res/v1/web/search" \
-  -H "Accept: application/json" \
-  -H "X-Subscription-Token: ${BRAVE_SEARCH_API_KEY}" \
-  -G \
-  --data-urlencode "q=rust programming tutorials" \
-  --data-urlencode "country=US" \
-  --data-urlencode "search_lang=en" \
-  --data-urlencode "count=10" \
-  --data-urlencode "safesearch=moderate" \
-  --data-urlencode "freshness=pm"
-```
-## Endpoint
-```http
-GET https://api.search.brave.com/res/v1/web/search
-POST https://api.search.brave.com/res/v1/web/search
-```
-**Note**: Both GET and POST methods are supported. POST is useful for long queries or complex Goggles.
-**Authentication**: `X-Subscription-Token: <API_KEY>` header
-**Optional Headers**:
-- `Accept-Encoding: gzip` — Enable gzip compression
-## When to Use Web Search
-| Feature | Web Search (this) | LLM Context (`llm-context`) | Answers (`answers`) |
-|--|--|--|--|
-| Output | Structured results (links, snippets, metadata) | Pre-extracted page content for LLMs | End-to-end AI answers with citations |
-| Result types | Web, news, videos, discussions, FAQ, infobox, locations, rich | Extracted text chunks, tables, code | Synthesized answer + source list |
-| Unique features | Goggles, structured data (`schemas`), rich callbacks | Token budget control, threshold modes | Multi-iteration search, streaming, OpenAI SDK compatible |
-| Speed | Fast (~0.5-1s) | Fast (<1s) | Slower (~30-180s) |
-| Best for | Search UIs, data extraction, custom ranking | RAG pipelines, AI agents, grounding | Chat interfaces, thorough research |
-## Parameters
-| Parameter | Type | Required | Default | Description |
-|--|--|--|--|--|
-| `q` | string | **Yes** | - | Search query (1-400 chars, max 50 words) |
-| `country` | string | No | `US` | Search country (2-letter country code or `ALL`) |
-| `search_lang` | string | No | `en` | Language preference (2+ char language code) |
-| `ui_lang` | string | No | `en-US` | UI language (e.g., "en-US") |
-| `count` | int | No | `20` | Max results per page (1-20) |
-| `offset` | int | No | `0` | Page offset for pagination (0-9) |
-| `safesearch` | string | No | `moderate` | Adult content filter (`off`/`moderate`/`strict`) |
-| `freshness` | string | No | - | Time filter (`pd`/`pw`/`pm`/`py` or date range) |
-| `text_decorations` | bool | No | `true` | Include highlight markers |
-| `spellcheck` | bool | No | `true` | Auto-correct query |
-| `result_filter` | string | No | - | Filter result types (comma-separated) |
-| `goggles` | string | No | - | Custom ranking filter (URL or inline) |
-| `extra_snippets` | bool | No | - | Get up to 5 extra snippets per result |
-| `operators` | bool | No | `true` | Apply search operators |
-| `units` | string | No | - | Measurement units (`metric`/`imperial`) |
-| `enable_rich_callback` | bool | No | `false` | Enable rich 3rd party data callback |
-| `include_fetch_metadata` | bool | No | `false` | Include `fetched_content_timestamp` on results |
-### Freshness Values
-| Value | Description |
-|--|--|
-| `pd` | Past day (24 hours) |
-| `pw` | Past week (7 days) |
-| `pm` | Past month (31 days) |
-| `py` | Past year (365 days) |
-| `YYYY-MM-DDtoYYYY-MM-DD` | Custom date range |
-### Result Filter Values
-Filter types: `discussions`, `faq`, `infobox`, `news`, `query`, `videos`, `web`, `locations`
-```bash
-# Only web and video results
-curl "...&result_filter=web,videos"
-```
-### Location Headers (Optional)
-For location-aware results, add these headers. **Lat/Long is sufficient** when coordinates are known — the other headers are only needed as a fallback when coordinates are unavailable.
-| Header | Type | Description |
-|--|--|--|
-| `X-Loc-Lat` | float | User latitude (-90.0 to 90.0) |
-| `X-Loc-Long` | float | User longitude (-180.0 to 180.0) |
-| `X-Loc-Timezone` | string | IANA timezone (e.g., "America/San_Francisco") |
-| `X-Loc-City` | string | City name |
-| `X-Loc-State` | string | State/region code (ISO 3166-2) |
-| `X-Loc-State-Name` | string | State/region full name (e.g., "California") |
-| `X-Loc-Country` | string | 2-letter country code |
-| `X-Loc-Postal-Code` | string | Postal code (e.g., "94105") |
-> **Priority**: `X-Loc-Lat` + `X-Loc-Long` take precedence. When provided, downstream services resolve the location directly from coordinates and the text-based headers (City, State, Country, Postal-Code) are not used for location resolution. Provide text-based headers **only** when you don't have coordinates. Sending both won't break anything — lat/long simply wins.
-## Response Format
-### Response Fields
-| Field | Type | Description |
-|--|--|--|
-| `type` | string | Always `"search"` |
-| `query.original` | string | The original search query |
-| `query.altered` | string? | Spellcheck-corrected query (if changed) |
-| `query.cleaned` | string? | Cleaned/normalized query |
-| `query.spellcheck_off` | bool? | Whether spellcheck was disabled |
-| `query.more_results_available` | bool | Whether more pages exist |
-| `query.show_strict_warning` | bool? | True if strict safesearch blocked adult results |
-| `query.search_operators` | object? | Applied search operators (`applied`, `cleaned_query`, `sites`) |
-| `web.type` | string | Always `"search"` |
-| `web.results[].title` | string | Page title |
-| `web.results[].url` | string | Page URL |
-| `web.results[].description` | string? | Snippet/description text |
-| `web.results[].age` | string? | Human-readable age (e.g., "2 days ago") |
-| `web.results[].language` | string? | Content language code |
-| `web.results[].meta_url` | object | URL components (`scheme`, `netloc`, `hostname`, `path`) |
-| `web.results[].thumbnail` | object? | Thumbnail (`src`, `original`) |
-| `web.results[].thumbnail.original` | string? | Original full-size image URL |
-| `web.results[].thumbnail.logo` | bool? | Whether the thumbnail is a logo |
-| `web.results[].profile` | object? | Publisher identity (`name`, `url`, `long_name`, `img`) |
-| `web.results[].page_age` | string? | ISO datetime of publication (e.g., `"2025-04-12T14:22:41"`) |
-| `web.results[].extra_snippets` | list[str]? | Up to 5 additional excerpts |
-| `web.results[].deep_results` | object? | Additional links (`buttons`, `links`) from the page |
-| `web.results[].schemas` | list? | Raw schema.org structured data |
-| `web.results[].product` | object? | Product info and reviews |
-| `web.results[].recipe` | object? | Recipe details (ingredients, time, ratings) |
-| `web.results[].article` | object? | Article metadata (author, publisher, date) |
-| `web.results[].book` | object? | Book info (author, ISBN, rating) |
-| `web.results[].software` | object? | Software product info |
-| `web.results[].rating` | object? | Aggregate ratings |
-| `web.results[].faq` | object? | FAQ found on the page |
-| `web.results[].movie` | object? | Movie info (directors, actors, genre) |
-| `web.results[].video` | object? | Video metadata (duration, views, creator) |
-| `web.results[].location` | object? | Location/restaurant details |
-| `web.results[].qa` | object? | Question/answer info |
-| `web.results[].creative_work` | object? | Creative work data |
-| `web.results[].music_recording` | object? | Music/song data |
-| `web.results[].organization` | object? | Organization info |
-| `web.results[].review` | object? | Review data |
-| `web.results[].content_type` | string? | Content type classification |
-| `web.results[].fetched_content_timestamp` | int? | Fetch timestamp (with `include_fetch_metadata=true`) |
-| `web.mutated_by_goggles` | bool | Whether results were re-ranked by Goggles |
-| `web.family_friendly` | bool | Whether results are family-friendly |
-| `mixed` | object? | Preferred display order (see Mixed Response below) |
-| `discussions.results[]` | array? | Forum discussion clusters |
-| `discussions.results[].data.forum_name` | string? | Forum/community name |
-| `discussions.results[].data.num_answers` | int? | Number of answers/replies |
-| `discussions.results[].data.question` | string? | Discussion question |
-| `discussions.results[].data.top_comment` | string? | Top-voted comment excerpt |
-| `faq.results[]` | array? | FAQ entries |
-| `news.results[]` | array? | News articles |
-| `videos.results[]` | array? | Video results |
-| `infobox.results[]` | array? | Knowledge graph entries |
-| `locations.results[]` | array? | Local POI results |
-| `rich.hint.vertical` | string? | Rich result type |
-| `rich.hint.callback_key` | string? | Callback key for rich data |
-### JSON Example
-```json
-{
-  "type": "search",
-  "query": {
-    "original": "python frameworks",
-    "altered": "python web frameworks",
-    "spellcheck_off": false,
-    "more_results_available": true
-  },
-  "web": {
-    "type": "search",
-    "results": [
-      {
-        "title": "Top Python Web Frameworks",
-        "url": "https://example.com/python-frameworks",
-        "description": "A comprehensive guide to Python web frameworks...",
-        "age": "2 days ago",
-        "language": "en",
-        "meta_url": {
-          "scheme": "https",
-          "netloc": "example.com",
-          "hostname": "example.com",
-          "path": "/python-frameworks"
-        },
-        "thumbnail": {
-          "src": "https://...",
-          "original": "https://original-image-url.com/img.jpg"
-        },
-        "extra_snippets": ["Additional excerpt 1...", "Additional excerpt 2..."]
-      }
-    ],
-    "family_friendly": true
-  },
-  "mixed": {
-    "type": "mixed",
-    "main": [
-      {"type": "web", "index": 0, "all": false},
-      {"type": "web", "index": 1, "all": false},
-      {"type": "videos", "all": true}
-    ],
-    "top": [],
-    "side": []
-  },
-  "videos": { "...": "..." },
-  "news": { "...": "..." },
-  "rich": {
-    "type": "rich",
-    "hint": {
-      "vertical": "weather",
-      "callback_key": "<callback_key_hex>"
-    }
-  }
-}
-```
-### Mixed Response
-The `mixed` object defines the preferred display order of results across types. It contains three arrays:
-| Array | Purpose |
-|--|--|
-| `main` | Primary result list (ordered sequence of results to display) |
-| `top` | Results to display above main results |
-| `side` | Results to display alongside main results (e.g., infobox) |
-Each entry is a `ResultReference` with `type` (e.g., `"web"`, `"videos"`), `index` (into the corresponding result array), and `all` (`true` to include all results of that type at this position).
-## Search Operators
-| Operator | Syntax | Description |
-|--|--|--|
-| Site | `site:example.com` | Limit results to a specific domain |
-| File extension | `ext:pdf` | Results with a specific file extension |
-| File type | `filetype:pdf` | Results created in a specific file type |
-| In title | `intitle:python` | Pages with term in the title |
-| In body | `inbody:tutorial` | Pages with term in the body |
-| In page | `inpage:guide` | Pages with term in title or body |
-| Language | `lang:es` | Pages in a specific language (ISO 639-1) |
-| Location | `loc:us` | Pages from a specific country (ISO 3166-1 alpha-2) |
-| Include | `+term` | Force inclusion of a term |
-| Exclude | `-term` | Exclude pages containing the term |
-| Exact match | `"exact phrase"` | Match the exact phrase in order |
-| AND | `term1 AND term2` | Both terms required (uppercase) |
-| OR / NOT | `term1 OR term2`, `NOT term` | Logical operators (uppercase) |
-Set `operators=false` to disable operator parsing.
-## Goggles (Custom Ranking) — Unique to Brave
-Goggles let you **re-rank search results** — boost trusted sources, suppress SEO spam, or build focused search scopes.
-| Method | Example |
-|--|--|
-| **Hosted** | `--data-urlencode "goggles=https://raw.githubusercontent.com/brave/goggles-quickstart/main/goggles/rust_programming.goggle"` |
-| **Inline** | `--data-urlencode 'goggles=$discard\n$site=example.com'` |
-> **Hosted** goggles must be on GitHub/GitLab, include `! name:`, `! description:`, `! author:` headers, and be registered at https://search.brave.com/goggles/create. **Inline** rules need no registration.
-**Syntax**: `$boost=N` / `$downrank=N` (1–10), `$discard`, `$site=example.com`. Combine with commas: `$site=example.com,boost=3`. Separate rules with `\n` (`%0A`).
-**Allow list**: `$discard\n$site=docs.python.org\n$site=developer.mozilla.org` — **Block list**: `$discard,site=pinterest.com\n$discard,site=quora.com`
-**Resources**: [Discover](https://search.brave.com/goggles/discover) · [Syntax](https://search.brave.com/help/goggles) · [Quickstart](https://github.com/brave/goggles-quickstart)
-## Rich Data Enrichments
-For queries about weather, stocks, sports, currency, etc., use the rich callback workflow:
-```bash
-# 1. Search with rich callback enabled
-curl -s "https://api.search.brave.com/res/v1/web/search?q=weather+san+francisco&enable_rich_callback=true" \
-  -H "X-Subscription-Token: ${BRAVE_SEARCH_API_KEY}"
-# Response includes: "rich": {"hint": {"callback_key": "abc123...", "vertical": "weather"}}
-# 2. Get rich data with the callback key
-curl -s "https://api.search.brave.com/res/v1/web/rich?callback_key=abc123..." \
-  -H "X-Subscription-Token: ${BRAVE_SEARCH_API_KEY}"
-```
-**Supported Rich Types**: Calculator, Definitions, Unit Conversion, Unix Timestamp, Package Tracker, Stock, Currency, Cryptocurrency, Weather, American Football, Baseball, Basketball, Cricket, Football/Soccer, Ice Hockey, Web3, Translator
-### Rich Callback Endpoint
-```http
-GET https://api.search.brave.com/res/v1/web/rich
-```
-| Parameter | Type | Required | Description |
-|--|--|--|--|
-| `callback_key` | string | Yes | Callback key from the web search `rich.hint.callback_key` field |
-## Use Cases
-- **General-purpose search integration**: Richest result set (web, news, videos, discussions, FAQ, infobox, locations) in one call. For RAG/LLM grounding, prefer `llm-context`.
-- **Structured data extraction**: Products, recipes, ratings, articles via `schemas` and typed fields on results.
-- **Custom search with Goggles**: Unique to Brave. Boost/discard sites with inline rules or hosted Goggles for fully customized ranking.
-## Notes
-- **Pagination**: Use `offset` (0-9) with `count` to page through results
-- **Count**: Max 20 for web search; actual results may be less than requested

package/socc-canonical/.agents/soc-copilot/skills.md DELETED Viewed

@@ -1,21 +0,0 @@
-# skills
-## Active playbooks
-- `soc-generalist`: default workflow for day-to-day SOC conversation, investigative questions, IOC/CVE/hash lookups, detection reasoning, and natural-language guidance
-- `payload-triage`: default workflow for generic payloads, logs, and suspicious artifacts
-- `phishing-analysis`: specialized workflow for email and social engineering artifacts
-- `malware-behavior`: specialized workflow for process execution, persistence, and malware behavior clues
-- `suspicious-url`: specialized workflow for URLs, domains, redirects, and web indicators
-## Selection guidance
-- Use `soc-generalist` when the analyst is asking an open-ended operational question, wants help investigating, or references CVE, hash, IOC, ATT&CK, hunting, detection, behavior, correlation, or prioritization without a clearly structured artifact.
-- Use `suspicious-url` when the primary artifact is a URL, domain, or redirect chain.
-- Use `phishing-analysis` when the input contains sender, recipient, message body, subject, headers, or attachment context.
-- Use `malware-behavior` when the input contains command lines, process trees, registry changes, persistence, or execution chains.
-- Use `payload-triage` when the input is clearly a payload, alert, or structured log/event body.
-## Structure
-Each skill lives in its own folder under `skills/<skill-name>/SKILL.md`, following the same modular pattern used by the shared workspace skills. Shared guidance stays under `references/` to keep each skill concise.

package/socc-canonical/.agents/workflows/SOP.md DELETED Viewed

@@ -1,137 +0,0 @@
----
-description: Procedimento obrigatório para classificar, validar e redigir alertas
----
-# SOP de Análise e Redação de Alertas
-## 1. Objetivo
-Este arquivo define a sequência obrigatória de trabalho. O agente deve seguir as etapas abaixo na ordem apresentada.
-## 2. Fluxo obrigatório
-### Etapa 1 - Entender a regra
-1. Leia `all_rules_content.md` para entender a lógica da regra que gerou a ofensa.
-2. Identifique qual comportamento a regra tenta detectar e quais evidências mínimas deveriam existir.
-### Etapa 2 - Encontrar modelo aderente
-1. Procure um modelo equivalente em `Modelos\`.
-2. Se houver mais de um modelo parecido, escolha o mais próximo pelo tipo de ofensa, fonte de log e narrativa.
-3. Se não houver modelo aderente, siga o formato padrão deste SOP sem inventar uma estrutura nova.
-### Etapa 3 - Coletar contexto completo
-1. Analise o arquivo, export ou payload por inteiro.
-2. Não baseie a conclusão em trechos isolados quando houver mais contexto disponível.
-3. Se houver horários, normalize a leitura para São Paulo.
-4. Use apenas comandos compatíveis com Windows.
-5. Evite comandos que possam gerar eventos desnecessários no ambiente monitorado.
-### Etapa 4 - Validar IOCs e evidências externas
-1. Siga `rules/TOOLS.md` para consultar IPs públicos, domínios e hashes externos.
-2. Classifique IPs internos como internos antes de tentar reputação externa, salvo necessidade técnica do caso.
-3. Se houver apenas um IOC, use somente a consulta individual.
-4. Só use `batch.py` quando houver mais de um IOC e a consulta for realmente em lote.
-### Etapa 5 - Classificar o caso
-Escolha exatamente uma classificação:
-- `True Positive`: atividade maliciosa ou fortemente suspeita com evidência suficiente.
-- `Benign True Positive`: atividade confirmada como legítima, mas corretamente detectada pela regra.
-- `False Positive`: a regra disparou por lógica inadequada, dado incorreto ou contexto que descaracteriza o risco esperado.
-- `True Negative`: a evidência analisada não sustenta evento real de segurança.
-- `Log Transmission Failure`: o problema principal está na coleta, transmissão ou integridade do log.
-Regra de decisão:
-1. `True Positive` permite alerta completo.
-2. `Benign True Positive` exige nota de encerramento, sem alerta completo.
-3. `False Positive`, `True Negative` e `Log Transmission Failure` encerram a tarefa sem alerta completo.
-### Etapa 6 - Documentar o Racional Técnico
-1. Após finalizar o alerta ou a nota de encerramento, crie obrigatoriamente um arquivo em `Training\Pensamento_Ofensa_[ID].md`.
-2. A estrutura do arquivo deve seguir rigorosamente este modelo:
-   - **Título:** `# Fluxo de Pensamento e Execução - Ofensa [ID] ([Cliente])`
-   - **Metadados:** Data e Analista (Antigravity).
-   - **Seção 1:** `## 1. Identificação Inicial da Demanda` (O quê, Quando, Onde, Objetivo).
-   - **Seção 2:** `## 2. Análise do Evento Base` (Syslog/JSON/etc).
-   - **Seção 3:** `## 3. Investigação e Contextualização` (CSV/TI/etc).
-   - **Seção 4:** `## 4. Detalhamento de Raciocínio (Interno)` (Transcrição INTEGRAL dos thoughts. Documente todos os pensamentos).
-   - **Seção 5:** `## 5. Próximos Passos (Execução Atual)`.
-   - **Rodapé:** Divisor `---` e nota de auditoria da IA.
-## 3. Formato de saída
-### Exceção de cliente
-Para o cliente `Icatu`, quando a operação exigir encaminhamento ao time interno de Segurança do cliente, o agente deve gerar alerta de repasse técnico mesmo que a classificação final não seja `True Positive`.
-Nesse caso:
-1. mantenha a classificação técnica real do caso
-2. não trate o envio como encerramento automático
-3. deixe explícito que a continuidade da apuração cabe ao time do cliente
-4. use tom objetivo, sem afirmar confirmação de exfiltração ou comprometimento quando a evidência não sustentar isso
-### Quando a classificação for `Benign True Positive`
-Entregue uma nota de encerramento com:
-1. `Classificação Final: Benign True Positive`
-2. `Justificativa da benignidade de forma breve e direta, com no máximo 3 a 4 frases, em um parágrafo:`
-Não gere saudação, alerta completo, referência MITRE ou recomendação ao cliente.
-### Quando a classificação for `False Positive`, `True Negative` ou `Log Transmission Failure`
-Entregue apenas:
-1. `Classificação Final:`
-2. `Justificativa da benignidade de forma breve e direta, com no máximo 3 a 4 frases, em um parágrafo:`
-Não gere saudação, narrativa completa, referência MITRE ou recomendação ao cliente.
-### Quando a classificação for `True Positive`
-Se existir modelo aderente, siga o modelo.
-Se não existir modelo aderente, use a seguinte estrutura exata:
-- Introdução: `Prezados,` seguida de uma linha em branco.
-- Título: identificação clara do comportamento no primeiro parágrafo, como nos modelos existentes.
-- Narrativa do Evento: segundo parágrafo com o quê, quem, quando e onde.
-- Detalhes do Evento: campos técnicos (APENAS SE HOUVER) com uma linha em branco entre eles:
-  - `Usuário:`
-  - `IP de Origem:`
-  - `Destino:` ou `Arquivo/Porta:` conforme o caso
-  - `Diretório/Caminho:` quando aplicável
-  - `Log Source:`
-- `Análise do IP:` bloco dedicado quando houver IOC de rede relevante para a conclusão.
-- `Análise Técnica:` parágrafo técnico objetivo.
-- Anexos: `Em anexo o Payload.`
-- `Referência:` primeiro parágrafo da técnica do MITRE na íntegra em Português. NÃO INTERPRETE NEM ALTERE
-- `Referência MITRE:` link direto da técnica.
-- `Recomendação:` parágrafo final fluido, anônimo e reaproveitável, preferencialmente iniciado por `Recomendamos ...`.
-Não inclua nada após a recomendação.
-## 4. Regras de redação
-1. Não use asteriscos, negrito, itálico ou listas no corpo final do alerta.
-2. Não use subtítulos fora dos rótulos previstos neste arquivo ou no modelo escolhido.
-3. Os rótulos `Análise do IP:`, `Análise Técnica:` e `Referência MITRE:` devem ser preservados quando fizerem parte do modelo aderente ou da estrutura padrão deste SOP.
-4. O bloco final de recomendação deve ser mantido no alerta completo, preferencialmente iniciado por `Recomendamos ...`.
-5. Se algum campo estiver ausente, não inclua nada.
-6. Mantenha a recomendação genérica o suficiente para reuso.
-7. Não exponha nenhum dado do cliente na recomendação (nomes de serviços, máquinas, usuários ou programas).
-8. Todo alerta e toda nota de encerramento devem ser entregues com acentuação e cedilha corretas em português. Texto sem acentuação é erro de saída.
-9. Faça uma revisão final de idioma antes da entrega, verificando especialmente palavras como `não`, `análise`, `ação`, `segurança`, `técnica`, `usuário`, `informações` e `referência`.
-## 5. Aprendizado operacional
-Se durante a execução houver erro recorrente, ambiguidade relevante ou ajuste de processo que mereça ser lembrado depois, registre em `rules/MEMORY.md` com nota curta e objetiva.

package/socc-canonical/README.md DELETED Viewed

@@ -1,10 +0,0 @@
-# SOCC Canonical Assets
-This directory contains the canonical source files for the SOCC agent soul.
-- `.agents/soc-copilot/` holds the source identity and behavior contract
-- `.agents/rules/` holds always-on business rules and tooling conventions
-- `.agents/workflows/` holds declarative SOC operating procedures used as guidance
-- `.agents/generated/` holds generated artifacts produced by `bootstrap-socc-soul.mjs`
-Nothing here should be treated as runtime, harness, or command source code.