Soc

correlating-security-events-in-qradar unterstützt SOC- und Detection-Teams dabei, IBM QRadar Offenses mit AQL, Offense-Kontext, Custom Rules und Referenzdaten zu korrelieren. Nutzen Sie diesen Leitfaden, um Vorfälle zu untersuchen, False Positives zu reduzieren und stärkere Korrelationslogik für Incident Response aufzubauen.

building-vulnerability-scanning-workflow hilft SOC-Teams dabei, einen wiederholbaren Prozess für Schwachstellenscans zu entwickeln – von der Erkennung und Priorisierung über das Tracking von Remediation bis hin zum Reporting über verschiedene Assets hinweg. Der Skill unterstützt Security-Audit-Use-Cases mit Scanner-Orchestrierung, KEV-bewusster Risikobewertung und praxisnahen Workflow-Hinweisen, die über einen einmaligen Scan hinausgehen.

Die Skill "building-soc-metrics-and-kpi-tracking" verwandelt SOC-Aktivitätsdaten in KPIs wie MTTD, MTTR, Alarmqualität, Analystenproduktivität und Erkennungsabdeckung. Sie eignet sich für SOC-Leitung, Security Operations und Observability-Teams, die belastbare Berichte, Trendanalysen und managementtaugliche Kennzahlen auf Basis von Splunk-Workflows benötigen.

building-soc-playbook-for-ransomware Skill für SOC-Teams, die ein strukturiertes Playbook für die Reaktion auf Ransomware benötigen. Es behandelt Erkennungsauslöser, Eindämmung, Beseitigung, Wiederherstellung und auditfähige Abläufe, abgestimmt auf NIST SP 800-61 und MITRE ATT&CK. Nutzen Sie es für die praxisnahe Erstellung von Playbooks, Tabletop-Übungen und zur Unterstützung von Security Audits.

Nutzen Sie die building-soc-escalation-matrix Skill, um eine strukturierte SOC-Eskalationsmatrix mit Schweregradstufen, Antwort-SLAs, Eskalationswegen und Benachrichtigungsregeln zu erstellen. Enthalten sind Vorlagen, Zuordnungen zu Standards, Workflows und Skripte für den praktischen Einsatz von building-soc-escalation-matrix in Security Operations und Audit-Aufgaben.

building-incident-response-dashboard hilft Teams, Echtzeit-Dashboards für die Incident Response in Splunk, Elastic oder Grafana aufzubauen – für das aktive Incident-Tracking, den Containment-Status, betroffene Assets, die Verbreitung von IOCs und Reaktionszeitpläne. Verwenden Sie diese building-incident-response-dashboard-Fähigkeit, wenn Sie ein fokussiertes Dashboard für SOC-Analysten, Incident Commander und die Führungsebene benötigen.

building-detection-rules-with-sigma hilft Analysten dabei, aus Threat Intel oder Vendor-Regeln portable Sigma-Detection-Regeln zu erstellen, sie MITRE ATT&CK zuzuordnen und sie für SIEMs wie Splunk, Elastic und Microsoft Sentinel zu konvertieren. Nutzen Sie diesen building-detection-rules-with-sigma Leitfaden für Security-Audit-Workflows, Standardisierung und Detection as Code.

building-detection-rule-with-splunk-spl unterstützt SOC-Analysten und Detection Engineers dabei, Splunk-SPL-Korrelationssuchen für Threat Detection, Tuning und Security-Audit-Reviews zu erstellen. Nutze es, um aus einem Detection-Brief eine einsetzbare Regel mit MITRE-Mapping, Enrichment und Validierungshinweisen zu machen.

Die Skill "analyzing-windows-event-logs-in-splunk" hilft SOC-Analysten dabei, Windows-Sicherheits-, System- und Sysmon-Logs in Splunk auf Authentifizierungsangriffe, Privilegieneskalation, Persistenz und laterale Bewegung zu untersuchen. Nutzen Sie sie für Incident-Triage, Detection Engineering und Zeitachsenanalysen mit zugeordneten SPL-Mustern und Hinweisen zu Event-IDs.