Windows

analyzing-usb-device-connection-history hilft dabei, den Verbindungsverlauf von USB-Geräten unter Windows mit Registry-Hives, Event Logs und setupapi.dev.log zu untersuchen – für Digital Forensics, Insider-Threat-Untersuchungen und Incident Response. Es unterstützt die Rekonstruktion von Zeitachsen, die Zuordnung von Geräten und die Analyse von Wechselmedien-Beweisen.

Leitfaden zur Konfiguration von hostbasierter Intrusion Detection mit Wazuh, OSSEC oder AIDE für die Überwachung von Dateiintegrität, Systemänderungen und complianceorientierter Endpunktsicherheit in Security-Audit-Workflows.

Nutze die windows-vm Skill, um eine headless Windows 11 VM in Docker mit KVM-Beschleunigung zu erstellen, zu verwalten und per SSH darauf zuzugreifen. Sie eignet sich für Desktop-Automation, das Einrichten von Windows-Apps und wiederholbare Agent-Workflows, wenn du eine echte Windows-Umgebung ohne manuelles RDP brauchst.

extracting-windows-event-logs-artifacts hilft Ihnen beim Extrahieren, Parsen und Analysieren von Windows Event Logs (EVTX) für Digital Forensics, Incident Response und Threat Hunting. Der Skill unterstützt die strukturierte Auswertung von Anmeldungen, Prozessstarts, Dienstinstallationen, geplanten Tasks, Rechtesänderungen und dem Löschen von Logs mit Chainsaw, Hayabusa und EvtxECmd.

Die Skill "detecting-wmi-persistence" hilft Threat Huntern und DFIR-Analysten dabei, WMI-Ereignisabonnement-Persistenz in Windows-Telemetrie mit den Sysmon-Ereignis-IDs 19, 20 und 21 zu erkennen. Nutzen Sie sie, um bösartige Aktivitäten von EventFilter, EventConsumer und FilterToConsumerBinding zu identifizieren, Funde zu validieren und Angreifer-Persistenz von legitimer Admin-Automatisierung zu unterscheiden.

detecting-process-hollowing-technique hilft dabei, Process Hollowing (T1055.012) in Windows-Telemetrie aufzuspüren, indem es Suspend-Starts, Speicher-Manipulation, Anomalien in Parent-Child-Beziehungen und API-Hinweise miteinander korreliert. Entwickelt für Threat Hunter, Detection Engineers und Incident Responder, die einen praxisnahen detecting-process-hollowing-technique für den Threat-Hunting-Workflow brauchen.

analyzing-memory-dumps-with-volatility ist eine Volatility-3-Skill für Memory Forensics, Malware-Triage, versteckte Prozesse, Injektionen, Netzwerkaktivität und Credentials in RAM-Dumps unter Windows, Linux oder macOS. Nutze sie, wenn du einen reproduzierbaren analyzing-memory-dumps-with-volatility Guide für Incident Response und Malware-Analyse brauchst.

detecting-lateral-movement-in-network hilft dabei, laterale Bewegung nach einer Kompromittierung in Unternehmensnetzwerken zu erkennen – mithilfe von Windows-Ereignisprotokollen, Zeek-Telemetrie, SMB, RDP und SIEM-Korrelation. Das ist nützlich für Threat Hunting, Incident Response und detecting-lateral-movement-in-network im Rahmen von Security-Audit-Prüfungen mit praxisnahen Detection-Workflows.

Leitfaden zu deploying-osquery-for-endpoint-monitoring für die Bereitstellung und Konfiguration von osquery für Endpoint-Transparenz, flächendeckendes Monitoring und SQL-gestütztes Threat Hunting. Nutzen Sie ihn, um die Installation zu planen, den Workflow und die API-Referenzen nachzuvollziehen und geplante Abfragen, Log-Erfassung sowie die zentrale Auswertung auf Windows-, macOS- und Linux-Endpoints zu operationalisieren.

deploying-edr-agent-with-crowdstrike hilft bei der Planung, Installation und Verifizierung des Rollouts des CrowdStrike Falcon Sensors auf Windows-, macOS- und Linux-Endpunkten. Verwenden Sie diese Skill für Installationshinweise, Policy-Setup, die SIEM-Integration von Telemetrie und die Vorbereitung auf Incident Response.

configuring-windows-defender-advanced-settings Skill für die Härtung von Microsoft Defender for Endpoint. Behandelt ASR-Regeln, kontrollierten Ordnerzugriff, Netzwerkschutz, Exploit Protection, Deployment-Planung und eine Audit-first-Rollout-Strategie für Security Engineers, IT-Admins und Security-Audit-Workflows.

analyzing-windows-registry-for-artifacts hilft Analysten, Beweise aus Windows-Registry-Hives zu extrahieren, um Benutzeraktivitäten, installierte Software, Autostarts, USB-Verläufe und Kompromittierungsindikatoren für Incident Response oder Security-Audit-Workflows zu identifizieren.

analyzing-windows-prefetch-with-python analysiert Windows-Prefetch-Dateien (.pf) mit windowsprefetch, um Ausführungsverläufe zu rekonstruieren, umbenannte oder getarnte Binärdateien zu erkennen und Triage sowie Malware-Analyse zu unterstützen.

Die Skill "analyzing-windows-event-logs-in-splunk" hilft SOC-Analysten dabei, Windows-Sicherheits-, System- und Sysmon-Logs in Splunk auf Authentifizierungsangriffe, Privilegieneskalation, Persistenz und laterale Bewegung zu untersuchen. Nutzen Sie sie für Incident-Triage, Detection Engineering und Zeitachsenanalysen mit zugeordneten SPL-Mustern und Hinweisen zu Event-IDs.

Das Skill „analyzing-windows-amcache-artifacts“ wertet Windows-Amcache.hve-Daten aus, um Hinweise auf Programmausführung, installierte Software, Geräteaktivität und das Laden von Treibern für DFIR- und Security-Audit-Workflows zu gewinnen. Es nutzt AmcacheParser sowie regipy-basierte Hinweise, um die Extraktion von Artefakten, die SHA-1-Korrelation und die Auswertung von Zeitachsen zu unterstützen.

Die Fähigkeit analyzing-powershell-empire-artifacts unterstützt Security-Audit-Teams dabei, PowerShell-Empire-Artefakte in Windows-Protokollen zu erkennen – mit Script Block Logging, Base64-Launcher-Mustern, Stager-IOCs, Modulsignaturen und Erkennungsreferenzen für Triage und Regelentwicklung.

Das Skill „analyzing-powershell-script-block-logging“ dient dazu, Windows PowerShell Script Block Logging Ereignis-ID 4104 aus EVTX-Dateien zu parsen, aufgespaltene Script Blocks wieder zusammenzuführen und obfuskierte Befehle, kodierte Payloads, Missbrauch von Invoke-Expression, Download-Cradles sowie Versuche zur AMSI-Umgehung für Security-Audit-Aufgaben zu markieren.

Das winui-app Skill hilft dir beim Starten, Erstellen und Beheben von WinUI-3-Desktop-Apps mit C# und dem Windows App SDK. Nutze es für die Prüfung der Umgebung, das Anlegen neuer Apps, Entscheidungen zu Shell und Navigation, XAML-Steuerelemente, Theming, Barrierefreiheit, Deployment und Workflows zur Behebung von Startproblemen im Bereich Frontend-Entwicklung.

Die Screenshot-Skill hilft dabei, einen vollständigen Bildschirm, ein App-Fenster oder einen Pixelbereich zu erfassen, wenn du ein Bild auf Betriebssystemebene statt eines reinen Browser-Captures brauchst. Verwende sie für Screenshot-Workflows in der Workflow-Automatisierung, mit Regeln für den Speicherort, macOS-Berechtigungsbehandlung und klaren Installationshinweisen für zuverlässige Desktop-Captures.