building-incident-timeline-with-timesketch

por mukul975

building-incident-timeline-with-timesketch ayuda a equipos DFIR a crear líneas de tiempo colaborativas de incidentes en Timesketch mediante la ingesta de evidencias en Plaso, CSV o JSONL, la normalización de marcas de tiempo, la correlación de eventos y la documentación de cadenas de ataque para la triage y la elaboración de informes de incidentes.

Estrellas6.1k

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaIncident Triage

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill building-incident-timeline-with-timesketch

Puntuación editorial

Esta habilidad obtiene 79/100. Es una opción sólida para agentes de respuesta a incidentes porque incluye un flujo de trabajo real centrado en Timesketch, scripts de apoyo y documentación de referencia que reducen las dudas al crear líneas de tiempo. Aun así, los usuarios del directorio deben esperar cierta fricción de adopción por el disparador exacto y la configuración, ya que el extracto de SKILL.md no muestra un comando de instalación dedicado ni un punto de entrada paso a paso especialmente claro.

79/100

Puntos fuertes

Contenido de flujo de trabajo respaldado por evidencias: references/workflows.md describe la recopilación de evidencias, el procesamiento con Plaso, la importación a Timesketch, los analizadores y el etiquetado manual para construir la línea de tiempo.
Buen soporte operativo: scripts/agent.py y scripts/process.py indican que no se trata solo de texto, sino de automatización para autenticación, creación de sketches, subida y procesamiento.
Buen contexto para decidir la instalación: SKILL.md incluye frontmatter válido, metadatos de dominio/subdominio, etiquetas de ciberseguridad y una descripción detallada de Timesketch/Plaso.

Puntos a tener en cuenta

La activación no está del todo pulida: el extracto de SKILL.md muestra una guía amplia de 'When to Use', pero no un comando de instalación, y parte del texto resulta genérico o poco natural, lo que puede hacer menos obvia la invocación del agente.
La evidencia es sólida pero desigual: el repositorio tiene abundantes referencias, aunque el usuario del directorio quizá tenga que revisar código y documentación para entender con precisión las entradas, salidas y supuestos de entorno requeridos.

Timesketch Dfir Incident Response Forensics Timeline Analysis Plaso

Resumen

Resumen general de la skill building-incident-timeline-with-timesketch

Qué hace esta skill

La skill building-incident-timeline-with-timesketch te ayuda a convertir evidencia dispersa en una cronología colaborativa de incidentes en Timesketch. Es ideal para trabajo de DFIR y respuesta a incidentes en el que necesitas ingerir logs, normalizar marcas temporales, correlacionar eventos y documentar con claridad una cadena de ataque para triaje e informes.

Quién debería usarla

Usa la skill building-incident-timeline-with-timesketch si estás armando una línea temporal de un caso a partir de logs de Windows, salida de Plaso, datos de eventos en CSV/JSONL o evidencia de fuentes mixtas, y quieres llegar al análisis más rápido que con trabajo manual en hojas de cálculo. Encaja especialmente bien para responders de incidentes, threat hunters y analistas forenses que usan building-incident-timeline-with-timesketch para Incident Triage.

Qué la diferencia

A diferencia de un prompt genérico sobre cronologías, esta skill está apoyada en detalles reales del flujo de trabajo de Timesketch: estructura de carga, patrones de búsqueda y anotación, y salidas con formato de informe. Su mayor valor es operativo: pasar de evidencia en bruto a un sketch útil con menos pasos omitidos, sobre todo cuando intervienen múltiples cronologías, fuentes y analistas.

Cómo usar la skill building-incident-timeline-with-timesketch

Instala e inspecciona el repositorio

Para la instalación de building-incident-timeline-with-timesketch, empieza por la ruta de la skill y lee los archivos de guía antes de hacer prompts:
skills/building-incident-timeline-with-timesketch/SKILL.md, references/workflows.md, references/api-reference.md, references/standards.md y assets/template.md.
Si usas un skill runner, instálalo desde el repositorio padre y luego confirma que el nombre local de la skill coincida con building-incident-timeline-with-timesketch.

Dale a la skill la entrada correcta

El patrón de uso de building-incident-timeline-with-timesketch funciona mejor cuando proporcionas:

fuentes y formatos de evidencia (.plaso, .csv, .jsonl)
objetivo del caso, como acceso inicial, movimiento lateral o persistencia
ventana temporal, zona horaria y nombres de hosts
indicadores conocidos, cuentas sospechosas o hashes
formato de salida que quieres, como notas del sketch, búsquedas guardadas o un informe

Una solicitud débil sería: “haz una cronología de incidentes”.
Una solicitud más sólida sería: “construye una línea temporal de Timesketch para una intrusión en Windows usando EVTX, Prefetch y logs de PowerShell del 2024-01-03 al 2024-01-05 UTC, prioriza eventos de logon y ejecución, y produce una narrativa del ataque lista para triaje”.

Sigue el flujo de trabajo en la práctica

La guía building-incident-timeline-with-timesketch resulta más útil cuando trabajas en este orden:

identifica qué fuentes de evidencia vale la pena importar primero
conviértelas o filtíralas en cronologías compatibles con Timesketch
crea el sketch y sube cada cronología con nombres descriptivos
ejecuta analyzers y luego busca los eventos de mayor señal
etiqueta y anota los eventos por fase del ataque antes de redactar la narrativa final

Usa references/workflows.md para elegir entre procesamiento completo de evidencia y triaje rápido. En casos urgentes, prioriza el conjunto de artefactos más rápido primero en lugar de intentar procesarlo todo.

Lee primero estos archivos

Si quieres una salida fiable, revisa antes los archivos que más influyen en las decisiones:

references/workflows.md para la ruta de procesamiento
references/api-reference.md para la estructura de carga, búsqueda y anotación
references/standards.md para expectativas de cronología y análisis forense
assets/template.md para la estructura de informe para la que está optimizada la skill
scripts/agent.py y scripts/process.py si necesitas automatización o ejecución guiada por API

Preguntas frecuentes sobre la skill building-incident-timeline-with-timesketch

¿Esta skill es solo para usuarios de Timesketch?

Sí, esta skill está pensada específicamente para investigaciones centradas en Timesketch. Si no planeas importar, buscar o anotar cronologías en Timesketch, puede convenirte más un prompt general de respuesta a incidentes que building-incident-timeline-with-timesketch.

¿Necesito Plaso para usarla?

No. Plaso es importante para un análisis profundo de artefactos, pero la skill también admite la ingesta directa de CSV y JSONL. Eso hace que building-incident-timeline-with-timesketch sea útil tanto para procesamiento forense completo como para cronologías de triaje más rápidas.

¿Es apta para principiantes?

Puede usarse siendo principiante, pero los mejores resultados llegan cuando el usuario puede nombrar fuentes de evidencia, rangos temporales y objetivos de investigación. Sin esa entrada, la skill todavía puede ayudar a estructurar el trabajo, pero no puede elegir por ti el alcance correcto de la cronología.

¿Cuándo no debería usar esta skill?

No uses building-incident-timeline-with-timesketch si tu tarea es solo redactar un resumen del incidente, revisar logs estáticos o crear reglas de detección. Su mayor valor aparece cuando el entregable es una cronología consultable con correlación de evidencia y anotaciones de investigadores.

Cómo mejorar la skill building-incident-timeline-with-timesketch

Aporta un briefing de evidencia más preciso

La mayor mejora de calidad viene de un mejor nivel de detalle sobre las fuentes. Incluye tipo de fuente, host, rango de fechas y lo que ya sospechas. Por ejemplo, especifica “Security.evtx, Sysmon, historial del navegador y logs de auditoría de M365 de una sola estación de trabajo” en lugar de “logs del endpoint”. Eso ayuda a que la skill building-incident-timeline-with-timesketch elija mejores prioridades de parsing y búsqueda.

Pide una decisión, no solo una cronología

La skill rinde mejor cuando el objetivo de salida es explícito: confirmar acceso inicial, identificar abuso de cuentas, mapear movimiento o documentar persistencia. Eso cambia qué eventos importan, qué analyzers ejecutar primero y cómo debe narrarse la línea temporal.

Usa la primera salida como borrador de triaje

Trata el primer resultado como un sketch de trabajo y luego refínalo con límites temporales faltantes, mejores indicadores o cronologías adicionales. El modo de fallo más común es un alcance demasiado amplio: demasiadas fuentes, muy poca cronología y ningún orden de prioridad. Reducir la ventana temporal y añadir IOCs conocidos suele mejorar más el uso de building-incident-timeline-with-timesketch que pedir “más detalle”.

Itera con seguimientos específicos

Después del primer pase, pide una de estas refinaciones:

“reconstruye la cronología alrededor del primer logon sospechoso”
“separa los eventos de ejecución, persistencia y exfiltración”
“etiqueta los eventos por fase de ATT&CK”
“convierte esto en la plantilla de informe de assets/template.md”

Eso mantiene la skill enfocada en la calidad del análisis en lugar de una síntesis genérica y hace que la guía building-incident-timeline-with-timesketch sea más útil en flujos de trabajo reales de respuesta a incidentes.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-insider-threat-behaviors

por mukul975

detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.

Threat Modeling

Favoritos 0GitHub 0

detecting-command-and-control-over-dns

por mukul975

detecting-command-and-control-over-dns es una skill de ciberseguridad para detectar C2 sobre DNS, incluidos tunneling, beaconing, dominios DGA y abuso de TXT/CNAME. Ayuda a analistas SOC, threat hunters y auditorías de seguridad con comprobaciones de entropía, correlación con passive DNS y flujos de detección al estilo Zeek o Suricata.

Security Audit

Favoritos 0GitHub 0

deploying-osquery-for-endpoint-monitoring

por mukul975

Guía de deploying-osquery-for-endpoint-monitoring para desplegar y configurar osquery con visibilidad de endpoints, monitorización de toda la flota e investigación de amenazas basada en SQL. Úsala para planificar la instalación, revisar el flujo de trabajo y las referencias de API, y poner en marcha consultas programadas, recopilación de logs y revisión centralizada en endpoints Windows, macOS y Linux.

Monitoring

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ayuda a equipos de SOC y detección a correlacionar delitos de IBM QRadar con AQL, contexto del delito, reglas personalizadas y datos de referencia. Usa esta guía para investigar incidentes, reducir falsos positivos y crear una lógica de correlación más sólida para respuesta a incidentes.

Incident Response

Favoritos 0GitHub 0

analyzing-windows-event-logs-in-splunk

por mukul975

La skill de análisis de logs de Windows en Splunk ayuda a analistas SOC a investigar logs de Security, System y Sysmon en Splunk para detectar ataques de autenticación, escalada de privilegios, persistencia y movimiento lateral. Úsala para triage de incidentes, ingeniería de detecciones y análisis de líneas de tiempo con patrones SPL mapeados y guía de Event ID.

Incident Triage

Favoritos 0GitHub 0

analyzing-windows-amcache-artifacts

por mukul975

La skill analyzing-windows-amcache-artifacts analiza datos de Windows Amcache.hve para recuperar evidencias de ejecución de programas, software instalado, actividad de dispositivos y carga de controladores en flujos de trabajo de DFIR y auditoría de seguridad. Utiliza AmcacheParser y guías basadas en regipy para facilitar la extracción de artefactos, la correlación de SHA-1 y la revisión de líneas de tiempo.

Security Audit

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Security Audit

Favoritos 0GitHub 0

analyzing-network-traffic-of-malware

por mukul975

analyzing-network-traffic-of-malware ayuda a inspeccionar PCAPs y telemetría de ejecuciones en sandbox o de respuesta a incidentes para detectar C2, exfiltración, descargas de payloads, tunneling DNS e ideas de detección. Es una guía práctica de analyzing-network-traffic-of-malware para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-linux-system-artifacts

por mukul975

analyzing-linux-system-artifacts ayuda a investigar hosts Linux comprometidos revisando logs de autenticación, historial de shell, tareas cron, servicios systemd, claves SSH y otros puntos de persistencia. Usa esta guía de analyzing-linux-system-artifacts para auditorías de seguridad, respuesta a incidentes y triaje forense. Incluye orientación práctica de instalación y uso.

Security Audit

Favoritos 0GitHub 0

analyzing-indicators-of-compromise

por mukul975

analyzing-indicators-of-compromise ayuda a clasificar IOC como IP, dominios, URLs, hashes de archivos y artefactos de correo electrónico. Facilita flujos de trabajo de inteligencia de amenazas para enriquecer datos, asignar puntuación de confianza y decidir acciones de bloqueo, monitoreo o inclusión en lista permitida con comprobaciones respaldadas por fuentes y contexto claro para analistas.

Threat Intelligence

Favoritos 0GitHub 0

analyzing-docker-container-forensics

por mukul975

analyzing-docker-container-forensics ayuda a investigar contenedores Docker comprometidos mediante el análisis de imágenes, capas, volúmenes, registros y artefactos en tiempo de ejecución para identificar actividad maliciosa y preservar pruebas. Usa esta skill de analyzing-docker-container-forensics para una auditoría de seguridad, la revisión de un incidente o una evaluación de endurecimiento de contenedores.

Security Audit

Favoritos 0GitHub 0