Threat Intelligence

analyzing-campaign-attribution-evidence hilft Analysten dabei, Infrastruktur-Überschneidungen, ATT&CK-Konsistenz, Malware-Ähnlichkeiten, Zeitbezug und sprachliche Artefakte abzuwägen, um belastbare Kampagnenzuschreibungen vorzunehmen. Nutzen Sie diesen analyzing-campaign-attribution-evidence-Leitfaden für CTI, Incident-Analysen und Security-Audit-Reviews.

Skill zum Abfragen von Azure Monitor Activity Logs und Sign-in-Logs, um verdächtige Admin-Aktionen, Impossible Travel, Privilegienausweitung und Manipulationen an Ressourcen zu erkennen. Entwickelt für die Incident-Triage mit KQL-Mustern, einem klaren Ausführungspfad und praxisnahen Hinweisen zu Azure-Logtabellen.

analyzing-apt-group-with-mitre-navigator hilft Analysten dabei, APT-Gruppen-Taktiken in MITRE ATT&CK Navigator-Layer zu überführen – für Detection-Gap-Analysen, Threat Modeling und wiederholbare Threat-Intelligence-Workflows. Es enthält praxisnahe Hinweise für ATT&CK-Datenabfragen, das Erzeugen von Layern und den Vergleich der TTP-Abdeckung von Angreifern.

detecting-cloud-threats-with-guardduty führt AWS-Teams durch das Aktivieren von Amazon GuardDuty, das Prüfen von Findings und den Aufbau automatisierter Reaktionen auf Cloud-Bedrohungen über Konten und Workloads hinweg. Es eignet sich für die Installation, Nutzung und den Betrieb nach der Einführung von GuardDuty in der Cloud-Architektur.

detecting-aws-cloudtrail-anomalies hilft dabei, AWS-CloudTrail-Aktivitäten auf ungewöhnliche API-Quellen, erstmalige Aktionen, hohe Aufrufhäufigkeiten und verdächtiges Verhalten im Zusammenhang mit kompromittierten Zugangsdaten oder Privilegienausweitung zu analysieren. Verwenden Sie es für strukturierte Anomalieerkennung mit boto3, Baseline-Vergleichen und Event-Feldanalyse.

Der Skill „conducting-phishing-incident-response“ hilft dabei, verdächtige E-Mails zu untersuchen, Indikatoren zu extrahieren, Authentifizierung zu bewerten und konkrete Maßnahmen zur Phishing-Abwehr zu empfehlen. Er unterstützt Incident-Response-Workflows für das Triage von Nachrichten, Fälle von Credential-Phishing, Prüfungen von URLs und Anhängen sowie die Bereinigung von Postfächern. Verwenden Sie ihn, wenn Sie eine strukturierte Anleitung statt eines generischen Prompts benötigen.

conducting-malware-incident-response unterstützt IR-Teams dabei, verdächtige Malware zu priorisieren, Infektionen zu bestätigen, die Ausbreitung einzugrenzen, Endpunkte zu isolieren und Bereinigung sowie Wiederherstellung zu unterstützen. Es ist für conducting-malware-incident-response in Incident-Response-Workflows konzipiert und verbindet evidenzbasierte Schritte, telemetriegestützte Entscheidungen und praxisnahe Anleitungen zur Eindämmung.

Die Skill "collecting-threat-intelligence-with-misp" hilft dir, Threat Intelligence in MISP zu sammeln, zu normalisieren, zu durchsuchen und zu exportieren. Nutze diesen Guide zu collecting-threat-intelligence-with-misp für Feeds, PyMISP-Workflows, Event-Filterung, Reduzierung von Warninglists und praxisnahe collecting-threat-intelligence-with-misp für Threat Modeling und CTI-Operationen.

building-threat-intelligence-platform Skill für das Entwerfen, Bereitstellen und Prüfen einer Threat-Intelligence-Plattform mit MISP, OpenCTI, TheHive, Cortex, STIX/TAXII und Elasticsearch. Geeignet für Installationshinweise, Nutzungs-Workflows und die Planung von Security Audits, gestützt auf Repository-Referenzen und Skripte.

automating-ioc-enrichment hilft dabei, IOC-Enrichment mit VirusTotal, AbuseIPDB, Shodan und STIX 2.1 für SOAR-Playbooks, Python-Pipelines und Workflow-Automatisierung zu automatisieren. Nutzen Sie diese automating-ioc-enrichment Skill, um kontextreiche, analystentaugliche Ergebnisse zu standardisieren, Triage-Zeiten zu verkürzen und wiederholbare Enrichment-Outputs zu gestalten.

analyzing-threat-intelligence-feeds hilft dir dabei, CTI-Feeds einzulesen, Indicators zu normalisieren, die Feed-Qualität zu bewerten und IOCs für STIX 2.1-Workflows anzureichern. Dieses analyzing-threat-intelligence-feeds Skill ist für Threat-Intelligence-Operations und Data Analysis ausgelegt und bietet praxisnahe Hinweise für TAXII, MISP und kommerzielle Feeds.

Die Skill „analyzing-persistence-mechanisms-in-linux“ hilft bei der Untersuchung von Linux-Persistenz nach einer Kompromittierung, einschließlich crontab-Jobs, systemd-Units, LD_PRELOAD-Missbrauch, Änderungen an Shell-Profilen und SSH-Backdoors über `authorized_keys`. Sie ist für Incident Response, Threat Hunting und Security-Audit-Workflows mit auditd und Integritätsprüfungen von Dateien ausgelegt.