Incident Response

building-incident-timeline-with-timesketch hilft DFIR-Teams dabei, in Timesketch kollaborative Incident-Timelines aufzubauen, indem Plaso-, CSV- oder JSONL-Beweise eingelesen, Zeitstempel normalisiert, Ereignisse miteinander korreliert und Angriffsketten für Triage und Reporting dokumentiert werden.

building-incident-response-playbook hilft Security-Teams, wiederverwendbare Incident-Response-Playbooks mit klaren Phasen, Entscheidungsbäumen, Eskalationskriterien, RACI-Zuordnung und SOAR-tauglicher Struktur zu erstellen. Es ist für die Dokumentation von Incident-Response-Prozessen, Workflows zur Incident-Triage und auditfähige operative Reaktionspläne gedacht.

detecting-beaconing-patterns-with-zeek hilft dabei, Intervalle in Zeek-`conn.log` zu analysieren, um C2-ähnliches Beaconing zu erkennen. Es nutzt ZAT, gruppiert Verbindungen nach Quelle, Ziel und Port und bewertet Muster mit geringer Jitter-Varianz anhand statistischer Prüfungen. Ideal für SOC, Threat Hunting, Incident Response und die Nutzung von detecting-beaconing-patterns-with-zeek in Security-Audit-Workflows.

Das Skill building-phishing-reporting-button-workflow hilft dir, einen Workflow für einen Phishing-Meldebutton zu entwerfen, der die ursprüngliche E-Mail bewahrt, IOCs extrahiert, Meldungen klassifiziert und Triage sowie Feedback für Microsoft 365 oder ähnliche E-Mail-Sicherheitsumgebungen weiterleitet.

analyzing-supply-chain-malware-artifacts ist eine Malware-Analyse-Skill für das Nachverfolgen von trojanisierten Updates, kompromittierten Abhängigkeiten und Manipulationen in Build-Pipelines. Nutzen Sie sie, um vertrauenswürdige und unzuverlässige Artefakte zu vergleichen, Indikatoren zu extrahieren, den Umfang einer Kompromittierung einzuschätzen und Ergebnisse mit weniger Rätselraten zu berichten.

analyzing-security-logs-with-splunk unterstützt bei der Untersuchung von Sicherheitsvorfällen in Splunk, indem Windows-, Firewall-, Proxy- und Authentifizierungs-Logs zu Zeitleisten und Belegen korreliert werden. Diese analyzing-security-logs-with-splunk Skill ist ein praxisnaher Leitfaden für Security Audits, Incident Response und Threat Hunting.

analyzing-ransomware-network-indicators hilft bei der Analyse von Zeek conn.log und NetFlow, um C2-Beaconing, TOR-Exit-Nodes, Exfiltration und verdächtige DNS-Aktivität für Security Audits und Incident Response zu erkennen.

analyzing-ransomware-leak-site-intelligence hilft dabei, Ransomware-Datenleakseiten zu überwachen, Opfer- und Gruppen-Signale zu extrahieren und strukturierte Threat Intelligence für Incident Response, Risikoanalysen in Branchen und Gegner-Tracking zu erstellen.

Analysieren Sie WAF- und Audit-Logs mit detecting-sql-injection-via-waf-logs, um SQL-Injection-Kampagnen zu erkennen. Entwickelt für Security-Audit- und SOC-Workflows, verarbeitet es ModSecurity-, AWS-WAF- und Cloudflare-Ereignisse, klassifiziert UNION SELECT-, OR 1=1-, SLEEP()- und BENCHMARK()-Muster, korreliert Quellen und liefert vorfallsorientierte Befunde.

analyzing-golang-malware-with-ghidra hilft Analysten dabei, mit Ghidra in Go kompilierte Malware zu reverse engineeren – mit Workflows für Funktionswiederherstellung, String-Extraktion, Build-Metadaten und Abhängigkeitsanalyse. Der Skill analyzing-golang-malware-with-ghidra ist besonders nützlich für Malware-Triage, Incident Response und Security-Audit-Aufgaben, die praxisnahe, Go-spezifische Analyseschritte erfordern.

containing-active-breach ist ein Incident-Response-Skill für die Eindämmung aktiver Sicherheitsvorfälle. Er hilft dabei, Hosts zu isolieren, verdächtigen Traffic zu blockieren, kompromittierte Konten zu deaktivieren und laterale Bewegung mit einem strukturierten containing-active-breach-Leitfaden samt praktischen API- und Skriptverweisen zu verlangsamen.

collecting-indicators-of-compromise Skill zum Extrahieren, Anreichern, Bewerten und Exportieren von IOCs aus Incident-Evidence. Geeignet für Security-Audit-Workflows, Threat-Intel-Sharing und STIX-2.1-Output, wenn Sie eine praxisnahe collecting-indicators-of-compromise-Anleitung statt eines generischen Incident-Response-Prompts suchen.

building-vulnerability-scanning-workflow hilft SOC-Teams dabei, einen wiederholbaren Prozess für Schwachstellenscans zu entwickeln – von der Erkennung und Priorisierung über das Tracking von Remediation bis hin zum Reporting über verschiedene Assets hinweg. Der Skill unterstützt Security-Audit-Use-Cases mit Scanner-Orchestrierung, KEV-bewusster Risikobewertung und praxisnahen Workflow-Hinweisen, die über einen einmaligen Scan hinausgehen.

building-soc-playbook-for-ransomware Skill für SOC-Teams, die ein strukturiertes Playbook für die Reaktion auf Ransomware benötigen. Es behandelt Erkennungsauslöser, Eindämmung, Beseitigung, Wiederherstellung und auditfähige Abläufe, abgestimmt auf NIST SP 800-61 und MITRE ATT&CK. Nutzen Sie es für die praxisnahe Erstellung von Playbooks, Tabletop-Übungen und zur Unterstützung von Security Audits.

Nutzen Sie die building-soc-escalation-matrix Skill, um eine strukturierte SOC-Eskalationsmatrix mit Schweregradstufen, Antwort-SLAs, Eskalationswegen und Benachrichtigungsregeln zu erstellen. Enthalten sind Vorlagen, Zuordnungen zu Standards, Workflows und Skripte für den praktischen Einsatz von building-soc-escalation-matrix in Security Operations und Audit-Aufgaben.

building-incident-response-dashboard hilft Teams, Echtzeit-Dashboards für die Incident Response in Splunk, Elastic oder Grafana aufzubauen – für das aktive Incident-Tracking, den Containment-Status, betroffene Assets, die Verbreitung von IOCs und Reaktionszeitpläne. Verwenden Sie diese building-incident-response-dashboard-Fähigkeit, wenn Sie ein fokussiertes Dashboard für SOC-Analysten, Incident Commander und die Führungsebene benötigen.

analyzing-windows-registry-for-artifacts hilft Analysten, Beweise aus Windows-Registry-Hives zu extrahieren, um Benutzeraktivitäten, installierte Software, Autostarts, USB-Verläufe und Kompromittierungsindikatoren für Incident Response oder Security-Audit-Workflows zu identifizieren.

analyzing-windows-prefetch-with-python analysiert Windows-Prefetch-Dateien (.pf) mit windowsprefetch, um Ausführungsverläufe zu rekonstruieren, umbenannte oder getarnte Binärdateien zu erkennen und Triage sowie Malware-Analyse zu unterstützen.

Das Skill „analyzing-windows-amcache-artifacts“ wertet Windows-Amcache.hve-Daten aus, um Hinweise auf Programmausführung, installierte Software, Geräteaktivität und das Laden von Treibern für DFIR- und Security-Audit-Workflows zu gewinnen. Es nutzt AmcacheParser sowie regipy-basierte Hinweise, um die Extraktion von Artefakten, die SHA-1-Korrelation und die Auswertung von Zeitachsen zu unterstützen.

Das Skill „analyzing-threat-actor-ttps-with-mitre-attack“ hilft dabei, Threat-Reports auf MITRE ATT&CK Taktiken, Techniken und Sub-Techniken abzubilden, Coverage-Ansichten zu erstellen und Detection-Lücken zu priorisieren. Es enthält eine Reporting-Vorlage, ATT&CK-Referenzen sowie Skripte für die Techniksuche und Gap-Analyse und ist damit nützlich für CTI, SOC, Detection Engineering und Threat Modeling.

Die Fähigkeit analyzing-powershell-empire-artifacts unterstützt Security-Audit-Teams dabei, PowerShell-Empire-Artefakte in Windows-Protokollen zu erkennen – mit Script Block Logging, Base64-Launcher-Mustern, Stager-IOCs, Modulsignaturen und Erkennungsreferenzen für Triage und Regelentwicklung.

Das Skill „analyzing-powershell-script-block-logging“ dient dazu, Windows PowerShell Script Block Logging Ereignis-ID 4104 aus EVTX-Dateien zu parsen, aufgespaltene Script Blocks wieder zusammenzuführen und obfuskierte Befehle, kodierte Payloads, Missbrauch von Invoke-Expression, Download-Cradles sowie Versuche zur AMSI-Umgehung für Security-Audit-Aufgaben zu markieren.

Die Skill „analyzing-persistence-mechanisms-in-linux“ hilft bei der Untersuchung von Linux-Persistenz nach einer Kompromittierung, einschließlich crontab-Jobs, systemd-Units, LD_PRELOAD-Missbrauch, Änderungen an Shell-Profilen und SSH-Backdoors über `authorized_keys`. Sie ist für Incident Response, Threat Hunting und Security-Audit-Workflows mit auditd und Integritätsprüfungen von Dateien ausgelegt.

analyzing-mft-for-deleted-file-recovery hilft dabei, Metadaten gelöschter Dateien sowie mögliche Spuren zu Pfad oder Inhalt zu rekonstruieren, indem NTFS-$MFT-Einträge, $LogFile, $UsnJrnl und MFT-Slackspace analysiert werden. Entwickelt für DFIR- und Security-Audit-Workflows mit MFTECmd, analyzeMFT und X-Ways Forensics.