conducting-malware-incident-response

von mukul975

conducting-malware-incident-response unterstützt IR-Teams dabei, verdächtige Malware zu priorisieren, Infektionen zu bestätigen, die Ausbreitung einzugrenzen, Endpunkte zu isolieren und Bereinigung sowie Wiederherstellung zu unterstützen. Es ist für conducting-malware-incident-response in Incident-Response-Workflows konzipiert und verbindet evidenzbasierte Schritte, telemetriegestützte Entscheidungen und praxisnahe Anleitungen zur Eindämmung.

Stars0

Favoriten0

Kommentare0

Hinzugefügt9. Mai 2026

KategorieIncident Response

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill conducting-malware-incident-response

Kurationswert

Diese Skill-Bewertung liegt bei 85/100 und ist damit ein solider Kandidat für das Verzeichnis: genug echter Incident-Response-Workflow-Inhalt, damit Nutzer ihn mit gutem Gefühl installieren können. Das Repository zeigt einen klar auslösbaren Malware-Response-Use-Case, konkrete Automatisierung in einem Begleitskript und eine ausreichende operative Struktur, die mehr Orientierung bietet als ein generischer Prompt. Dennoch ist es eher auf Triage und Containment als auf einen vollständig end-to-end abgedeckten Ablauf ausgerichtet.

85/100

Stärken

Explizite Aktivierungsbedingungen für Malware-Infektionen, verdächtiges Verhalten, C2-Beaconing und bösartige Sandbox-Bewertungen machen den Trigger für Agenten leicht erkennbar.
Das Begleitskript und die API-Referenz liefern echte Workflow-Vorteile: Samples hashen, VirusTotal/MalwareBazaar/ThreatFox abfragen, Endpunkte isolieren und IR-Berichte erzeugen.
Der Skill-Text enthält Lifecycle-Hinweise plus eine klare Nichtverwendung-Grenze, was die operative Klarheit für Incident Response gegenüber Malware-Research verbessert.

Hinweise

Die sichtbaren Hinweise sprechen für eine Abhängigkeit von externen Tools und Zugangsdaten (EDR, VirusTotal, CrowdStrike, Splunk), daher kann die Einsetzbarkeit stark von der Umgebung abhängen.
Die Repo-Vorschau zeigt weder einen einfachen Installationsbefehl noch einen vollständigen End-to-End-Durchlauf, sodass vor der Nutzung möglicherweise Integrationsaufwand nötig ist.

Malware Forensics Threat Intelligence Siem Edr

Überblick

Überblick über die Skill „conducting-malware-incident-response“

Was dieser Skill tut

Der Skill conducting-malware-incident-response hilft dir, auf einen aktiven oder vermuteten Malware-Vorfall auf Endpoints zu reagieren: eine Infektion bestätigen, die wahrscheinliche Familie eingrenzen, betroffene Systeme erfassen, die Ausbreitung eindämmen und Bereinigung sowie Wiederherstellung unterstützen. Er eignet sich besonders für Incident-Response-Workflows, bei denen Geschwindigkeit, Nachvollziehbarkeit und praktische Eindämmung wichtiger sind als tiefgehendes Reverse Engineering.

Für wen er geeignet ist

Nutze den Skill conducting-malware-incident-response, wenn du als IR-Analyst, SOC-Responder, Endpoint-Admin oder Security Engineer einen infizierten Host, eine verdächtige Datei oder eine Kampagne mit Risiko für laterale Bewegung bearbeitest. Er passt zu Teams, die bereits Zugriff auf EDR, AV, Threat Intelligence oder SIEM haben und einen strukturierten Reaktionspfad brauchen.

Was ihn auszeichnet

Dieser Skill conducting-malware-incident-response für Incident Response ist operativer als ein generischer Malware-Prompt: Das Repo enthält ein echtes Triage- und Containment-Skript, Referenzmaterial zur API und klare externe Datenquellen wie VirusTotal, MalwareBazaar, ThreatFox und CrowdStrike. Dadurch ist er besonders nützlich, wenn du evidenzbasierte Entscheidungen treffen musst und nicht nur eine narrative Zusammenfassung des Malware-Verhaltens.

So verwendest du den Skill „conducting-malware-incident-response“

Den Skill installieren

Nutze für die Installation von conducting-malware-incident-response folgenden Flow:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill conducting-malware-incident-response

Prüfe nach der Installation, ob der Skill-Pfad unter skills/conducting-malware-incident-response vorhanden ist, und lies zuerst SKILL.md, um zu verstehen, wann der Skill aktiv werden soll und wann nicht.

Was du zuerst lesen solltest

Für die praktische Nutzung von conducting-malware-incident-response beginne mit SKILL.md, prüfe dann references/api-reference.md für den Agent-Workflow und scripts/agent.py für die aufrufbare Implementierung. Wenn du Ausgaben an deine Umgebung anpassen musst, sieh dir vor dem Einsatz des Modells auf deinen Vorfall das CLI-Beispiel und die Funktionsnamen an.

So promptest du sinnvoll

Gib dem Skill konkrete Vorfalldaten: Anzahl der Endpoints, Symptome, Sample-Hash, EDR-Alert-Text, vermutete Familie und Einschränkungen bei der Eindämmung. Ein gutes Prompt wäre zum Beispiel: „Nutze den Skill conducting-malware-incident-response, um einen Windows-Endpoint mit einem verdächtigen PowerShell-Dropper zu triagieren; VirusTotal-Hash ist vorhanden, CrowdStrike-Zugriff ist aktiviert, und ich brauche Eindämmung, IOC-Extraktion und die nächsten Schritte zur Remediation.“ Vermeide vage Prompts wie „handle malware“; sie führen meist zu schwächerer Eingrenzung und weniger umsetzbaren Containment-Empfehlungen.

Der beste Workflow

Beginne mit der Bestätigung der Erkennung, dann frage nach Familienzuordnung, Hypothesen zum Infektionsvektor, Ausbreitungsbewertung und Containment-Schritten. Wenn du Telemetrie hast, füge Hashes, Dateinamen, Process Trees, Netzwerkindikatoren und betroffene Hostnamen hinzu, damit der Skill wahrscheinliches Malware-Verhalten von allgemeiner Härtungsempfehlung trennen kann. Wenn du einen Bericht möchtest, bitte um eine knappe Vorfallszusammenfassung plus eine Remediation-Checkliste, die auf deine Tools abgestimmt ist.

FAQ zum Skill „conducting-malware-incident-response“

Ist das nur für Live-Vorfälle?

Ja, der Skill ist in erster Linie für Response und Remediation gedacht. Wenn dein Ziel Offline-Malware-Forschung, das Entpacken von Samples oder Reverse Engineering ist, passt dieser Leitfaden zu conducting-malware-incident-response nicht gut; dafür ist ein dedizierter Analyse-Skill oder ein Labor-Workflow die bessere Wahl.

Brauche ich API-Keys oder Security-Tools?

Der Skill ist am nützlichsten, wenn er mit Telemetriequellen und externen Reputationsdiensten kombiniert wird. Das Referenzmaterial im Repo zeigt Integrationsmuster für VirusTotal, MalwareBazaar, ThreatFox und CrowdStrike. Zugriff auf mindestens einige dieser Tools verbessert daher die Qualität der Ergebnisse, auch wenn der Skill weiterhin helfen kann, eine manuelle Reaktion zu strukturieren.

Ist er anfängerfreundlich?

Ja, wenn du bereits weißt, dass der Vorfall mit Malware zusammenhängt, und den Fall in klarer Sprache beschreiben kannst. Weniger anfängerfreundlich ist er, wenn du keine Artefakt-Daten liefern kannst, denn der Skill conducting-malware-incident-response braucht den Vorfallskontext, um Containment- und Enrichment-Schritte sinnvoll festzulegen.

Worin unterscheidet er sich von einem normalen Prompt?

Ein normaler Prompt liefert dir oft allgemeine Aufräumtipps. Dieser Skill ist besser, wenn du einen wiederholbaren Workflow für Triage, Attribution, Ausbreitungsbewertung und Eindämmung willst, inklusive Verweisen auf reale APIs und einen skriptgestützten Prozess, der Rätselraten reduziert.

So verbesserst du den Skill „conducting-malware-incident-response“

Bessere Vorfallsartefakte bereitstellen

Die besten Ergebnisse entstehen mit Hashes, Befehlszeilen von Prozessen, Dateipfaden, Zeitstempeln, Benutzernamen, Hostnamen und Netzwerkindikatoren. Wenn du nur „verdächtige Malware“ hast, muss das Modell zu viel inferieren; wenn du jedoch den Alert-Text und Sample-Metadaten lieferst, kann es die Familie genauer eingrenzen und spezifischere Containment-Maßnahmen vorschlagen.

Deine Reaktionsgrenzen klar benennen

Sag dem Skill, was er tun darf und was nicht: Hosts isolieren, Konten deaktivieren, Hashes blockieren, VT abfragen oder nur Maßnahmen für eine change-kontrollierte Umgebung empfehlen. Das ist wichtig, weil sich die Nutzung von conducting-malware-incident-response je nach Bedarf an schneller Eindämmung, Beweissicherung oder einem wenig invasiven Reaktionsplan verändert.

Die gewünschte Ausgabe einfordern

Nach dem ersten Durchlauf solltest du gezielt in einem von drei hilfreichen Formaten nachfassen: Executive Incident Summary, Analyst-Checkliste oder Remediation-Plan nach Host-Gruppe. Wenn die erste Antwort zu breit ist, bitte um Fokus auf „Infektionsvektor“, „Ausbreitungsbewertung“ oder „nur die Bereinigungsschritte“, statt den gesamten Vorfall erneut zusammenfassen zu lassen.

Auf typische Fehlermuster achten

Das häufigste Problem ist übermäßige Sicherheit bei unvollständiger Telemetrie, vor allem wenn die Familienzuordnung auf nur einem Indikator beruht. Ein weiteres Fehlermuster ist, den Skill für Malware-Forschung statt für Incident Response einzusetzen. Für bessere Ergebnisse mit dem Leitfaden conducting-malware-incident-response solltest du die Anfrage darauf konzentrieren, was passiert ist, was betroffen ist, was eingedämmt werden muss und welche Belege vorliegen.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

analyzing-usb-device-connection-history

von mukul975

analyzing-usb-device-connection-history hilft dabei, den Verbindungsverlauf von USB-Geräten unter Windows mit Registry-Hives, Event Logs und setupapi.dev.log zu untersuchen – für Digital Forensics, Insider-Threat-Untersuchungen und Incident Response. Es unterstützt die Rekonstruktion von Zeitachsen, die Zuordnung von Geräten und die Analyse von Wechselmedien-Beweisen.

Digital Forensics

Favoriten 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

von mukul975

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Malware Analysis

Favoriten 0GitHub 6.2k

extracting-browser-history-artifacts

von mukul975

extracting-browser-history-artifacts ist ein Digital-Forensics-Skill zum Extrahieren von Browserverlauf, Cookies, Cache, Downloads und Lesezeichen aus Chrome, Firefox und Edge. Nutzen Sie ihn, um Browser-Profildateien mit einem wiederholbaren, fallorientierten Workflow in zeitleistenfähige Beweise zu überführen.

Digital Forensics

Favoriten 0GitHub 0

detecting-ransomware-encryption-behavior

von mukul975

detecting-ransomware-encryption-behavior hilft Verteidigern, ransomwareähnliche Verschlüsselung mithilfe von Entropieanalyse, File-I/O-Überwachung und Verhaltensheuristiken zu erkennen. Der Skill eignet sich für Incident Response, SOC-Tuning und Red-Team-Validierung, wenn massenhafte Dateiveränderungen, plötzliche Umbenennungswellen und verdächtige Prozessaktivitäten schnell erkannt werden müssen.

Incident Response

Favoriten 0GitHub 0

detecting-privilege-escalation-attempts

von mukul975

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

Threat Hunting

Favoriten 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

von mukul975

Die Skill „detecting-evasion-techniques-in-endpoint-logs“ hilft dabei, Verteidigungsumgehung in Windows-Endpunktprotokollen aufzuspüren, darunter das Löschen von Logs, Timestomping, Prozessinjektion und das Deaktivieren von Sicherheitstools. Sie eignet sich für Threat Hunting, Detection Engineering und Incident-Triage mit Sysmon-, Windows-Security- oder EDR-Telemetrie.

Threat Hunting

Favoriten 0GitHub 0

analyzing-network-traffic-for-incidents

von mukul975

analyzing-network-traffic-for-incidents hilft Incident Respondern dabei, PCAPs, Flow-Logs und Paketmitschnitte zu analysieren, um C2, laterale Bewegung, Exfiltration und Exploit-Versuche zu bestätigen. Entwickelt für analyzing-network-traffic-for-incidents im Incident Response mit Wireshark, Zeek und NetFlow-ähnlicher Analyse.

Incident Response

Favoriten 0GitHub 0

detecting-credential-dumping-techniques

von mukul975

Der Skill detecting-credential-dumping-techniques hilft dir dabei, LSASS-Zugriffe, SAM-Exporte, den Diebstahl von NTDS.dit und den Missbrauch von comsvcs.dll MiniDump mithilfe von Sysmon Event ID 10, Windows-Sicherheitsprotokollen und SIEM-Korrelationsregeln zu erkennen. Er ist für Threat Hunting, Detection Engineering und Security-Audit-Workflows konzipiert.

Security Audit

Favoriten 0GitHub 0

correlating-security-events-in-qradar

von mukul975

correlating-security-events-in-qradar unterstützt SOC- und Detection-Teams dabei, IBM QRadar Offenses mit AQL, Offense-Kontext, Custom Rules und Referenzdaten zu korrelieren. Nutzen Sie diesen Leitfaden, um Vorfälle zu untersuchen, False Positives zu reduzieren und stärkere Korrelationslogik für Incident Response aufzubauen.

Incident Response

Favoriten 0GitHub 0

containing-active-breach

von mukul975

containing-active-breach ist ein Incident-Response-Skill für die Eindämmung aktiver Sicherheitsvorfälle. Er hilft dabei, Hosts zu isolieren, verdächtigen Traffic zu blockieren, kompromittierte Konten zu deaktivieren und laterale Bewegung mit einem strukturierten containing-active-breach-Leitfaden samt praktischen API- und Skriptverweisen zu verlangsamen.

Incident Response

Favoriten 0GitHub 0

configuring-suricata-for-network-monitoring

von mukul975

Die Skill „configuring-suricata-for-network-monitoring“ unterstützt beim Einrichten und Feinabstimmen von Suricata für IDS/IPS-Monitoring, EVE-JSON-Logging, Regelverwaltung und SIEM-taugliche Ausgaben. Sie eignet sich für den Workflow „configuring-suricata-for-network-monitoring“ im Rahmen eines Security-Audit, wenn praktische Einrichtung, Validierung und die Reduktion von False Positives gefragt sind.

Security Audit

Favoriten 0GitHub 0

detecting-process-injection-techniques

von mukul975

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

Security Audit

Favoriten 0GitHub 0

detecting-business-email-compromise

von mukul975

Das detecting-business-email-compromise Skill unterstützt Analysten, SOC-Teams und Incident Responder dabei, BEC-Versuche mithilfe von E-Mail-Header-Prüfungen, Hinweisen auf Social Engineering, Detection-Logik und reaktionsorientierten Workflows zu erkennen. Nutzen Sie es als praktischen detecting-business-email-compromise Leitfaden für Triage, Validierung und Eindämmung.

Incident Response

Favoriten 0GitHub 6.1k

detecting-email-forwarding-rules-attack

von mukul975

Das Skill „detecting-email-forwarding-rules-attack“ unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, bösartige Weiterleitungsregeln in Mailboxen zu finden, die für Persistenz und E-Mail-Abgriff missbraucht werden. Es führt Analysten durch Belege aus Microsoft 365 und Exchange, verdächtige Regelmuster sowie praxisnahe Triage für Weiterleitungs-, Umleitungs-, Lösch- und Verbergungsverhalten.

Security Audit

Favoriten 0GitHub 0

detecting-anomalous-authentication-patterns

von mukul975

detecting-anomalous-authentication-patterns hilft bei der Analyse von Authentifizierungs-Logs auf Impossible Travel, Brute Force, Password Spraying, Credential Stuffing und Aktivitäten kompromittierter Konten. Entwickelt für Security Audit-, SOC-, IAM- und Incident-Response-Workflows mit baselinebewusster Erkennung und belegter Sign-in-Analyse.

Security Audit

Favoriten 0GitHub 0