hunting-advanced-persistent-threats

von mukul975

hunting-advanced-persistent-threats ist ein Threat-Hunting-Skill zur Erkennung von APT-typischer Aktivität über Endpoint-, Netzwerk- und Speicher-Telemetrie. Er unterstützt Analysten dabei, hypothesengetriebene Hunts aufzubauen, Funde mit MITRE ATT&CK zu verknüpfen und Threat Intelligence in praxisnahe Queries und Untersuchungsschritte zu übersetzen – statt in ungezielte Ad-hoc-Suchen zu verfallen.

Stars0

Favoriten0

Kommentare0

Hinzugefügt11. Mai 2026

KategorieThreat Hunting

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill hunting-advanced-persistent-threats

Kurationswert

Dieser Skill erreicht 78/100 und ist damit ein solides, aber nicht erstklassiges Listing: Nutzer des Verzeichnisses erhalten einen klar umrissenen APT-Hunting-Workflow mit genug Substanz für eine Installationsentscheidung, sollten jedoch mit einer gewissen Abhängigkeit von externer Security-Tooling- und unterstützender Python-Library-Umgebung rechnen.

78/100

Stärken

Hohe Auslöser-Relevanz: Das Frontmatter sagt ausdrücklich, wann der Skill eingesetzt werden sollte, etwa bei Threat-Hunting-Zyklen, UEBA-Anomalien sowie Anfragen rund um ATT&CK, Velociraptor, osquery und Zeek.
Operative Tiefe: Der Skilltext ist umfangreich, mit mehreren Überschriften, Einschränkungen und Codeblöcken sowie einem Begleitskript und einer API-Referenz, die echte Hunt-Ausführung unterstützen.
Gute Hebelwirkung für Agenten: Verweise auf ATT&CK-Techniken, NIST CSF, D3FEND und osquery/attackcti liefern konkrete Workflow-Anker statt nur einer generischen Hunting-Aufforderung.

Hinweise

In SKILL.md fehlt ein Installationsbefehl, daher müssen Nutzer Abhängigkeiten aus der API-Referenz und den Script-Imports ableiten.
Der Skriptauszug scheint von Abhängigkeiten wie attackcti und osquery geprägt zu sein, und der Skill setzt vermutlich vorhandene Telemetrie sowie Enterprise-Security-Tooling voraus, was die Nutzung in schlanken Umgebungen einschränkt.

Mitre Attack Apt Osquery Zeek Velociraptor Edr Security Network Security

Überblick

Überblick über die hunting-advanced-persistent-threats Skill

hunting-advanced-persistent-threats ist ein praktischer Threat-Hunting-Skill, um APT-ähnliche Aktivitäten über Endpoint-, Netzwerk- und Speicherdaten hinweg zu erkennen. Er eignet sich besonders für Analysten und Security Engineers, die Suspicious Behavior strukturiert validieren, Befunde MITRE ATT&CK zuordnen und Intelligence in konkrete Hunts statt in ad hoc Suchen überführen wollen.

Der hunting-advanced-persistent-threats Skill ist vor allem dann nützlich, wenn bereits Telemetrie vorhanden ist und Sie eine wiederholbare Methode brauchen, um zu beantworten: „Sind diese TTPs in meiner Umgebung vorhanden?“ Er ist eher auf hypothesengetriebenes Threat Hunting ausgelegt als auf Live-Containment im Incident, passt also gut zu geplanten Hunt-Zyklen, UEBA-Follow-ups und Exposure-Validierung.

Wofür dieser Skill gut ist

Dieser Skill hilft dabei, einen Hunt rund um bekanntes Angreiferverhalten aufzubauen: Gruppierung von TTPs, ATT&CK-Technique-Mapping und konkrete Queries für Tools wie osquery und Zeek. Wenn Sie einen hunting-advanced-persistent-threats Guide brauchen, der Threat Intelligence in Untersuchungsschritte übersetzt, ist das eine gute Wahl.

Zielgruppen und Umgebungen mit guter Passung

Nutzen Sie ihn, wenn Sie mit EDR, Endpoint-Logs, Netzwerk-Telemetrie oder Speicherartefakten arbeiten und einen reproduzierbaren Hunting-Prozess möchten. Besonders relevant ist er für Teams, die MITRE ATT&CK-Terminologie, geplante Threat Hunts oder Detection-Engineering-Workflows einsetzen.

Wo der Skill an seine Grenzen stößt

Verlassen Sie sich nicht darauf als Ersatz für Incident Response, wenn ein Kompromittierungsfall bereits bestätigt ist. Wenn Sie vor allem eine breite SOC-Alert-Triage ohne konkrete Hunting-Hypothese brauchen, ist ein generischer Prompt oft einfacher als der hunting-advanced-persistent-threats Skill.

So verwenden Sie den hunting-advanced-persistent-threats Skill

Erst installieren und das Repo prüfen

Installieren Sie den hunting-advanced-persistent-threats Skill mit dem Skill-Manager Ihrer Plattform und lesen Sie anschließend die Quelldateien, bevor Sie ihn in produktiven Workflows einsetzen. Beginnen Sie mit SKILL.md und öffnen Sie dann references/api-reference.md sowie scripts/agent.py, um den erwarteten ATT&CK-Datenfluss und die Logik zur Query-Generierung zu verstehen.

Mit einer echten Hunting-Hypothese arbeiten

Die stärksten Ergebnisse mit hunting-advanced-persistent-threats beginnen mit einem engen Input: ein benannter Akteur, eine ATT&CK-Technique, ein Alert-Muster oder eine verdächtige Verhaltensfamilie. Besserer Prompt: „Suche nach Anzeichen für Credential Theft und laterale Bewegung im Stil von APT29 mit osquery und Zeek; priorisiere Windows-Endpoints mit kürzlich beobachteter PowerShell- und Scheduled-Task-Aktivität.“ Schwacher Prompt: „Finde APTs.“

Empfohlener Workflow für gute Ergebnisse

Nutzen Sie den Skill in drei Schritten: Hypothese definieren, verfügbare Telemetrie benennen und die Umgebung eingrenzen. Nennen Sie, welche Logs vorhanden sind, welcher Zeitraum relevant ist und auf welche Tools die Ausgabe abzielen soll. So bleibt die Installationsentscheidung für hunting-advanced-persistent-threats nützlich, weil Sie besser vorhersagen können, ob der Skill verwertbare Hunts oder nur generische ATT&CK-Kommentare erzeugt.

Welche Dateien und Hinweise Sie zuerst lesen sollten

Lesen Sie references/api-reference.md für unterstützte Libraries und Technique-Referenzen und anschließend scripts/agent.py, um zu verstehen, wie ATT&CK-Gruppen in Hunts übersetzt werden. Wenn Sie den Skill anpassen wollen, prüfen Sie vorher auch die im Script angenommenen Tech-Stack-Voraussetzungen, bevor Sie Queries in Ihre eigene Umgebung übernehmen.

FAQ zum hunting-advanced-persistent-threats Skill

Ist das nur etwas für fortgeschrittene Analysten?

Nein. Der hunting-advanced-persistent-threats Skill ist auch für Einsteiger nutzbar, wenn sie eine klare Hypothese liefern und wissen, welche Telemetrie ihnen zur Verfügung steht. Entscheidend ist weniger tiefes ATT&CK-Fachwissen, sondern dass der Input genug Kontext bietet, damit das Modell einen Hunt erzeugen kann, der zu Ihrer Umgebung passt.

Worin unterscheidet sich das von einem normalen Prompt?

Ein normaler Prompt erzeugt oft eine breite Checkliste. Der hunting-advanced-persistent-threats Skill ist dann die bessere Wahl, wenn Sie einen disziplinierteren hunting-advanced-persistent-threats Guide wollen, der an ATT&CK-Techniques, Telemetriearten und konkrete Query-Pfade gebunden ist.

Für welche Tools passt er am besten?

Am besten passt er in Umgebungen, die bereits Endpoint- und Netzwerkdaten erfassen, besonders wenn osquery, Zeek oder ATT&CK-orientierte Analysen Teil des Workflows sind. Wenn Ihre Stack keine durchsuchbare Telemetrie bereitstellt, ist der Skill weniger nützlich als eine manuelle Untersuchungs-Vorlage.

Wann sollte ich ihn nicht verwenden?

Verwenden Sie ihn nicht für die Bearbeitung eines laufenden Sicherheitsvorfalls, und auch nicht, wenn Sie außer „Suche nach irgendetwas Bösartigem“ kein konkretes Hunting-Ziel haben. Der Skill funktioniert am besten, wenn Sie das zu prüfende Bedrohungsverhalten und die Datenquelle, die durchsucht werden soll, benennen können.

So verbessern Sie den hunting-advanced-persistent-threats Skill

Präzisere Eingaben liefern

Der größte Qualitätssprung kommt durch Spezifizität: Benennen Sie Akteur, Technique, Plattform und Zeitraum. Fragen Sie zum Beispiel nach hunting-advanced-persistent-threats für T1059 und T1053 auf Windows-Hosts über die letzten 14 Tage, mit Ausgaben im osquery-Format und einer kurzen Analysten-Checkliste.

Ihre Telemetrie-Einschränkungen mitteilen

Sagen Sie dem Skill, was Sie tatsächlich abfragen können: EDR-Felder, Sysmon, Zeek conn logs, Speicherartefakte oder nur Endpoint-Metadaten. Wenn Sie das weglassen, erzeugt der Skill womöglich gute Hunting-Ideen, die sich praktisch schwer umsetzen lassen. Starke Eingaben schlagen bei hunting-advanced-persistent-threats für Threat Hunting immer pauschale Absichten.

Von der Hypothese zur Query iterieren

Nutzen Sie das erste Ergebnis, um den Hunt zu schärfen: nicht unterstützte Techniques entfernen, auf wahrscheinliche Persistenzpfade eingrenzen und Query-Varianten nach Logquelle anfordern. Wenn der erste Durchlauf zu breit ist, fordern Sie weniger ATT&CK-Techniques und genauere Pivots an, etwa Parent Process, Command Line, Scheduled Tasks oder ausgehende Ziele.

Auf typische Fehlerbilder achten

Das häufigste Problem ist ein zu breites ATT&CK-Mapping, das beeindruckend wirkt, in Ihrem Stack aber nicht ausführbar ist. Ein weiteres ist fehlender Asset-Kontext, wodurch der Hunt weniger relevant wird. Verbessern Sie die Ausgabe des hunting-advanced-persistent-threats Skill, indem Sie zuerst die Umgebung, dann das Verhalten und zuletzt das gewünschte Ausgabeformat angeben.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

analyzing-usb-device-connection-history

von mukul975

analyzing-usb-device-connection-history hilft dabei, den Verbindungsverlauf von USB-Geräten unter Windows mit Registry-Hives, Event Logs und setupapi.dev.log zu untersuchen – für Digital Forensics, Insider-Threat-Untersuchungen und Incident Response. Es unterstützt die Rekonstruktion von Zeitachsen, die Zuordnung von Geräten und die Analyse von Wechselmedien-Beweisen.

Digital Forensics

Favoriten 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

von mukul975

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Malware Analysis

Favoriten 0GitHub 6.2k

detecting-ransomware-encryption-behavior

von mukul975

detecting-ransomware-encryption-behavior hilft Verteidigern, ransomwareähnliche Verschlüsselung mithilfe von Entropieanalyse, File-I/O-Überwachung und Verhaltensheuristiken zu erkennen. Der Skill eignet sich für Incident Response, SOC-Tuning und Red-Team-Validierung, wenn massenhafte Dateiveränderungen, plötzliche Umbenennungswellen und verdächtige Prozessaktivitäten schnell erkannt werden müssen.

Incident Response

Favoriten 0GitHub 0

detecting-privilege-escalation-attempts

von mukul975

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

Threat Hunting

Favoriten 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

von mukul975

Die Skill „detecting-evasion-techniques-in-endpoint-logs“ hilft dabei, Verteidigungsumgehung in Windows-Endpunktprotokollen aufzuspüren, darunter das Löschen von Logs, Timestomping, Prozessinjektion und das Deaktivieren von Sicherheitstools. Sie eignet sich für Threat Hunting, Detection Engineering und Incident-Triage mit Sysmon-, Windows-Security- oder EDR-Telemetrie.

Threat Hunting

Favoriten 0GitHub 0

analyzing-network-traffic-for-incidents

von mukul975

analyzing-network-traffic-for-incidents hilft Incident Respondern dabei, PCAPs, Flow-Logs und Paketmitschnitte zu analysieren, um C2, laterale Bewegung, Exfiltration und Exploit-Versuche zu bestätigen. Entwickelt für analyzing-network-traffic-for-incidents im Incident Response mit Wireshark, Zeek und NetFlow-ähnlicher Analyse.

Incident Response

Favoriten 0GitHub 0

detecting-process-injection-techniques

von mukul975

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

Security Audit

Favoriten 0GitHub 0

detecting-process-hollowing-technique

von mukul975

detecting-process-hollowing-technique hilft dabei, Process Hollowing (T1055.012) in Windows-Telemetrie aufzuspüren, indem es Suspend-Starts, Speicher-Manipulation, Anomalien in Parent-Child-Beziehungen und API-Hinweise miteinander korreliert. Entwickelt für Threat Hunter, Detection Engineers und Incident Responder, die einen praxisnahen detecting-process-hollowing-technique für den Threat-Hunting-Workflow brauchen.

Threat Hunting

Favoriten 0GitHub 0

detecting-rdp-brute-force-attacks

von mukul975

detecting-rdp-brute-force-attacks hilft bei der Analyse von Windows Security Event Logs auf RDP-Brute-Force-Muster, darunter wiederholte 4625-Fehler, 4624-Erfolge nach Fehlschlägen, NLA-bezogene Anmeldungen und Konzentration auf einzelne Quell-IPs. Geeignet für Security Audits, Threat Hunting und reproduzierbare Untersuchungen auf EVTX-Basis.

Security Audit

Favoriten 0GitHub 6.2k

analyzing-linux-kernel-rootkits

von mukul975

analyzing-linux-kernel-rootkits unterstützt DFIR- und Threat-Hunting-Workflows dabei, Linux-Kernel-Rootkits mit Volatility3 Cross-View-Prüfungen, rkhunter-Scans und /proc-vs-/sys-Analysen aufzudecken – etwa versteckte Module, gehookte Syscalls und manipulierte Kernel-Strukturen. Es ist ein praxisnaher Leitfaden zu analyzing-linux-kernel-rootkits für die forensische Triage.

Digital Forensics

Favoriten 0GitHub 0

detecting-mimikatz-execution-patterns

von mukul975

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Security Audit

Favoriten 0GitHub 0

exploiting-kerberoasting-with-impacket

von mukul975

exploiting-kerberoasting-with-impacket unterstützt autorisierte Tester bei der Planung von Kerberoasting mit Impacket GetUserSPNs.py – von der SPN-Aufzählung über das Extrahieren von TGS-Tickets bis hin zu Offline-Cracking und erkennungsbewusster Berichterstattung. Nutzen Sie diesen exploiting-kerberoasting-with-impacket-Leitfaden für Penetrationstests mit klarem Installations- und Nutzungskontext.

Penetration Testing

Favoriten 0GitHub 6.2k

detecting-shadow-it-cloud-usage

von mukul975

detecting-shadow-it-cloud-usage hilft dabei, nicht autorisierte SaaS- und Cloud-Nutzung anhand von Proxy-Logs, DNS-Queries und Netflow zu erkennen. Es klassifiziert Domains, vergleicht sie mit freigegebenen Listen und unterstützt Security-Audit-Workflows mit strukturierten Belegen aus dem detecting-shadow-it-cloud-usage skill guide.

Security Audit

Favoriten 0GitHub 6.2k

detecting-service-account-abuse

von mukul975

detecting-service-account-abuse ist eine Threat-Hunting-Skill zum Aufspüren von Missbrauch von Servicekonten in Windows-, AD-, SIEM- und EDR-Telemetrie. Der Fokus liegt auf verdächtigen interaktiven Anmeldungen, Rechteausweitung, lateraler Bewegung und Zugriffsanomalien – mit Hunt-Template, Event-IDs und Workflow-Referenzen für wiederholbare Untersuchungen.

Threat Hunting

Favoriten 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

von mukul975

analyzing-browser-forensics-with-hindsight unterstützt Digital-Forensics-Teams dabei, Chromium-Browser-Artefakte mit Hindsight zu analysieren – darunter Verlauf, Downloads, Cookies, Autofill, Lesezeichen, Metadaten gespeicherter Anmeldedaten, Cache und Erweiterungen. Nutzen Sie es, um Webaktivitäten zu rekonstruieren, Zeitachsen auszuwerten und Profile aus Chrome, Edge, Brave und Opera zu untersuchen.

Digital Forensics

Favoriten 0GitHub 6.2k