Incident Triage

llm-trading-agent-security es una guía práctica para proteger agentes de trading autónomos con autoridad sobre wallets. Cubre inyección de prompts, límites de gasto, simulación antes del envío, circuit breakers, ejecución con conciencia de MEV y aislamiento de claves para reducir el riesgo de pérdidas financieras en una auditoría de seguridad.

La skill memory-forensics sirve para captura de RAM y análisis de volcados con Volatility 3. Cubre el contexto de instalación, flujos de uso, extracción de artefactos y triage de incidentes en Windows, Linux, macOS y memoria de VM.

postmortem-writing ayuda a los equipos a crear postmortems de incidentes sin culpabilizar, con cronologías, análisis de causa raíz, factores contribuyentes, impacto y acciones de seguimiento para documentar fallos o cuasiincidentes.

Aprende a usar la skill on-call-handoff-patterns para transiciones de turno fiables. Úsala para estructurar handoffs de incidentes, registrar problemas activos, cambios recientes, estado de escalado y próximas acciones para equipos de Reliability.

incident-runbook-templates ayuda a los equipos a crear runbooks de respuesta a incidentes estructurados, con pasos claros de triaje, mitigación, escalado, comunicación y recuperación para caídas del servicio y Playbooks operativos.

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

Skill de building-ioc-defanging-and-sharing-pipeline para extraer IOC, desarmar URLs, IP, dominios, correos y hashes, y luego convertirlos y compartirlos como STIX 2.1 mediante TAXII o MISP para flujos de trabajo de auditoría de seguridad e inteligencia de amenazas.

building-incident-timeline-with-timesketch ayuda a equipos DFIR a crear líneas de tiempo colaborativas de incidentes en Timesketch mediante la ingesta de evidencias en Plaso, CSV o JSONL, la normalización de marcas de tiempo, la correlación de eventos y la documentación de cadenas de ataque para la triage y la elaboración de informes de incidentes.

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

detecting-modbus-protocol-anomalies ayuda a detectar comportamientos sospechosos de Modbus/TCP y Modbus RTU en redes OT e ICS, incluidos códigos de función no válidos, accesos fuera de rango a registros, temporización anómala de sondeo, escrituras no autorizadas y tramas malformadas. Es útil para una auditoría de seguridad y para la priorización basada en evidencias.

La skill de detección de BEC ayuda a analistas, equipos SOC y responsables de respuesta a incidentes a identificar intentos de Business Email Compromise (BEC) mediante comprobaciones de encabezados de correo, indicios de ingeniería social, lógica de detección y flujos de trabajo orientados a la respuesta. Úsala como una guía práctica de detección de BEC para tareas de triaje, validación y contención.

detecting-beaconing-patterns-with-zeek ayuda a analizar intervalos de `conn.log` de Zeek para detectar beaconing de estilo C2. Usa ZAT, agrupa flujos por origen, destino y puerto, y puntúa patrones de baja variación con comprobaciones estadísticas. Es ideal para SOC, threat hunting, respuesta a incidentes y flujos de trabajo de auditoría de seguridad con detecting-beaconing-patterns-with-zeek.

detecting-azure-service-principal-abuse ayuda a detectar, investigar y documentar actividad sospechosa de entidades de servicio de Microsoft Entra ID en Azure. Úsalo para auditoría de seguridad, respuesta a incidentes en la nube y threat hunting para revisar cambios de credenciales, abuso de consentimientos de administrador, asignaciones de roles, rutas de propiedad y anomalías de inicio de sesión.

analyzing-security-logs-with-splunk ayuda a investigar eventos de seguridad en Splunk correlacionando registros de Windows, firewall, proxy y autenticación en líneas de tiempo y evidencia. Este skill de analyzing-security-logs-with-splunk es una guía práctica para auditoría de seguridad, respuesta a incidentes y threat hunting.

analyzing-ransomware-network-indicators ayuda a analizar `conn.log` de Zeek y NetFlow para detectar beaconing de C2, salidas TOR, exfiltración y DNS sospechoso en auditorías de seguridad y respuesta a incidentes.

analyzing-ransomware-leak-site-intelligence ayuda a monitorear sitios de filtración de datos de ransomware, extraer señales de víctimas y grupos, y generar inteligencia de amenazas estructurada para respuesta a incidentes, revisión de riesgo sectorial y seguimiento de adversarios.

Skill analyzing-azure-activity-logs-for-threats para consultar los registros de actividad y de inicio de sesión de Azure Monitor y detectar acciones administrativas sospechosas, viajes imposibles, escalada de privilegios y manipulación de recursos. Pensado para la triaje de incidentes, con patrones KQL, un flujo de ejecución y orientación práctica sobre tablas de logs de Azure.

analyzing-apt-group-with-mitre-navigator ayuda a los analistas a mapear las técnicas de grupos APT en capas de MITRE ATT&CK Navigator para el análisis de brechas de detección, la modelización de amenazas y flujos de trabajo repetibles de inteligencia sobre amenazas. Incluye orientación práctica para consultar datos de ATT&CK, generar capas y comparar la cobertura de TTP del adversario.

eradicating-malware-from-infected-systems es una skill de respuesta a incidentes de ciberseguridad para eliminar malware, backdoors y mecanismos de persistencia después de contener el incidente. Incluye orientación de flujo de trabajo, archivos de referencia y scripts para la limpieza en Windows y Linux, la rotación de credenciales, la remediación de la causa raíz y la validación.

Analiza registros de WAF y auditoría para detectar campañas de SQL injection con detecting-sql-injection-via-waf-logs. Pensado para flujos de Security Audit y SOC, procesa eventos de ModSecurity, AWS WAF y Cloudflare, clasifica patrones como UNION SELECT, OR 1=1, SLEEP() y BENCHMARK(), correlaciona orígenes y genera hallazgos orientados a incidentes.

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

detecting-port-scanning-with-fail2ban ayuda a configurar Fail2ban para detectar escaneos de puertos, intentos de fuerza bruta contra SSH y actividad de reconocimiento, y luego bloquear IP sospechosas y alertar a los equipos de seguridad. Esta skill encaja en flujos de trabajo de endurecimiento y detección de detecting-port-scanning-with-fail2ban para auditorías de seguridad, con orientación práctica sobre logs, jails, filtros y ajuste seguro.

detecting-pass-the-ticket-attacks ayuda a detectar actividad Kerberos Pass-the-Ticket correlando los Event IDs de Windows Security 4768, 4769 y 4771. Úsala para threat hunting en Splunk o Elastic y detectar reutilización de tickets, degradaciones a RC4 y volúmenes inusuales de TGS con consultas prácticas y guía de campos.