conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaIncident Response

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill conducting-malware-incident-response

Puntuación editorial

Esta skill obtiene 85/100, lo que indica que es una buena candidata para el directorio, con suficiente contenido real de flujo de trabajo de respuesta a incidentes como para que los usuarios la instalen con confianza. El repositorio muestra un caso de uso de respuesta ante malware claramente activable, automatización concreta en un script complementario y suficiente estructura operativa para reducir la incertidumbre frente a un prompt genérico, aunque sigue estando más orientada al triaje y la contención que a un proceso totalmente extremo a extremo.

85/100

Puntos fuertes

Las condiciones explícitas de activación para infecciones de malware, comportamiento sospechoso, beaconing de C2 y veredictos maliciosos en sandbox facilitan que los agentes reconozcan cuándo usarla.
El script complementario y la referencia de API aportan valor real al flujo de trabajo: calcular hashes de muestras, consultar VirusTotal/MalwareBazaar/ThreatFox, aislar endpoints y generar informes de IR.
El cuerpo de la skill incluye orientación sobre el ciclo de vida y un límite claro de uso, lo que mejora la claridad operativa entre casos de respuesta a incidentes e investigación de malware.

Puntos a tener en cuenta

La evidencia expuesta sugiere dependencia de herramientas y credenciales externas (EDR, VirusTotal, CrowdStrike, Splunk), por lo que su adopción puede depender del entorno.
La vista previa del repositorio no muestra un comando de instalación sencillo ni una guía completa de extremo a extremo, así que los usuarios podrían necesitar cierta integración antes de usarla.

Malware Forensics Threat Intelligence Siem Edr

Resumen

Descripción general de la habilidad conducting-malware-incident-response

Qué hace esta habilidad

La habilidad conducting-malware-incident-response te ayuda a responder ante un incidente de malware activo o sospechado en distintos endpoints: confirmar la infección, identificar la familia probable, acotar los sistemas afectados, contener la propagación y apoyar la erradicación y la recuperación. Es la opción más adecuada para flujos de trabajo de Incident Response en los que la rapidez, la trazabilidad y la contención práctica importan más que el análisis profundo de reversing.

Quién debería usarla

Usa esta habilidad conducting-malware-incident-response si eres analista de IR, responder de SOC, administrador de endpoints o ingeniero de seguridad y tienes que gestionar un host infectado, un archivo sospechoso o una campaña con riesgo de movimiento lateral. Encaja con equipos que ya tienen acceso a EDR, AV, threat intel o SIEM y necesitan una ruta de respuesta estructurada.

Por qué destaca

Esta conducting-malware-incident-response para Incident Response es más operativa que un prompt genérico sobre malware: el repo incluye un script real de triaje y contención, material de referencia de API y fuentes externas claras como VirusTotal, MalwareBazaar, ThreatFox y CrowdStrike. Eso la hace útil cuando necesitas decisiones respaldadas por evidencia, no solo un resumen narrativo del comportamiento del malware.

Cómo usar la habilidad conducting-malware-incident-response

Instala la habilidad

Usa el flujo de instalación de conducting-malware-incident-response con:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill conducting-malware-incident-response

Después de instalarla, confirma que la ruta de la habilidad exista en skills/conducting-malware-incident-response y lee primero SKILL.md para entender cuándo debe activarse y cuándo no.

Qué leer primero

Para usar conducting-malware-incident-response de forma práctica, empieza por SKILL.md, luego revisa references/api-reference.md para el flujo de trabajo del agente y scripts/agent.py para la implementación invocable. Si necesitas adaptar las salidas a tu entorno, inspecciona el ejemplo de CLI y los nombres de las funciones antes de pedirle al modelo que actúe sobre tu incidente.

Cómo hacer un buen prompt

Dale a la habilidad datos concretos del incidente: número de endpoints, síntomas, hash de la muestra, texto de la alerta del EDR, familia sospechada y restricciones de contención. Una solicitud sólida sería: “Usa la habilidad conducting-malware-incident-response para hacer el triaje de un endpoint Windows con un dropper sospechoso de PowerShell, hash disponible en VirusTotal, acceso a CrowdStrike habilitado y necesito contención, extracción de IOCs y medidas de remediación siguientes”. Evita prompts vagos como “gestiona malware”; suelen producir un alcance más débil y consejos de contención menos accionables.

Mejor flujo de trabajo

Empieza confirmando la detección, luego pide atribución de familia, hipótesis sobre el vector de infección, evaluación de propagación y pasos de contención. Si tienes telemetría, incluye hashes, nombres de archivo, árboles de procesos, indicadores de red y nombres de host afectados para que la habilidad distinga entre el comportamiento probable del malware y consejos genéricos de hardening. Si quieres un informe, pide un resumen conciso del incidente junto con una checklist de remediación alineada con tus herramientas.

Preguntas frecuentes sobre la habilidad conducting-malware-incident-response

¿Solo sirve para incidentes en vivo?

Sí, está pensada principalmente para respuesta y remediación. Si tu objetivo es investigación offline de malware, desempaquetado de muestras o reversing, esta guía conducting-malware-incident-response no es la mejor opción y te servirá más una habilidad de análisis dedicada o un flujo de trabajo de laboratorio.

¿Necesito claves de API o herramientas de seguridad?

La habilidad es mucho más útil si se combina con fuentes de telemetría y servicios externos de reputación. El material de referencia del repo muestra patrones de integración con VirusTotal, MalwareBazaar, ThreatFox y CrowdStrike, así que disponer de al menos algunas de esas herramientas mejorará la calidad de la salida, aunque la habilidad también puede ayudar a estructurar una respuesta manual.

¿Es apta para principiantes?

Sí, si ya sabes que el incidente está relacionado con malware y puedes describir el caso con lenguaje claro. Es menos apta para principiantes si no puedes aportar ningún dato de artefactos, porque la habilidad conduct-malware-incident-response depende del contexto del incidente para decidir los pasos de contención y enriquecimiento.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede darte consejos genéricos de limpieza. Esta habilidad funciona mejor cuando quieres un flujo de trabajo repetible para triaje, atribución, evaluación de propagación y contención, con referencias a APIs reales y un proceso respaldado por scripts que reduce las suposiciones.

Cómo mejorar la habilidad conducting-malware-incident-response

Aporta mejores artefactos del incidente

Los mejores resultados llegan con hashes, líneas de comando de procesos, rutas de archivos, marcas de tiempo, nombres de usuario, nombres de host e indicadores de red. Si solo tienes “malware sospechoso”, el modelo tendrá que inferir demasiado; si aportas el texto de la alerta y los metadatos de la muestra, podrá acotar la familia y proponer acciones de contención más específicas.

Define tus restricciones de respuesta

Indica a la habilidad qué puede y qué no puede hacer: aislar hosts, deshabilitar cuentas, bloquear hashes, consultar VT o solo recomendar acciones para un entorno con control de cambios. Esto importa porque el uso de conducting-malware-incident-response cambia según si necesitas contención rápida, preservación de evidencias o un plan de respuesta con mínima disrupción.

Pide el formato de salida que necesitas

Tras la primera pasada, itera pidiendo uno de tres formatos útiles: un resumen ejecutivo del incidente, una checklist para analistas o un plan de remediación por grupo de hosts. Si la primera respuesta es demasiado amplia, pídele que se centre en “vector de infección”, “evaluación de propagación” o “solo pasos de erradicación”, en lugar de pedirle que rehaga todo el incidente.

Vigila los fallos más comunes

El problema más frecuente es el exceso de confianza con telemetría incompleta, sobre todo cuando la atribución de la familia se basa en un único indicador. Otro fallo habitual es pedirle a la habilidad que haga investigación de malware en lugar de Incident Response. Para obtener mejores resultados con la guía conducting-malware-incident-response, mantén la solicitud centrada en qué ocurrió, qué está afectado, qué hay que contener y qué evidencias están disponibles.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts es una skill de Forense Digital para extraer historial, cookies, caché, descargas y marcadores de Chrome, Firefox y Edge. Úsala para convertir archivos de perfil del navegador en evidencia lista para líneas de tiempo, con una guía de trabajo repetible y centrada en el caso.

Digital Forensics

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ayuda a equipos de SOC y detección a correlacionar delitos de IBM QRadar con AQL, contexto del delito, reglas personalizadas y datos de referencia. Usa esta guía para investigar incidentes, reducir falsos positivos y crear una lógica de correlación más sólida para respuesta a incidentes.

Incident Response

Favoritos 0GitHub 0

containing-active-breach

por mukul975

containing-active-breach es una skill de respuesta a incidentes para contener una brecha activa en tiempo real. Ayuda a aislar hosts, bloquear tráfico sospechoso, deshabilitar cuentas comprometidas y frenar el movimiento lateral mediante una guía estructurada de containing-active-breach con referencias prácticas a APIs y scripts.

Incident Response

Favoritos 0GitHub 0

configuring-suricata-for-network-monitoring

por mukul975

La skill configuring-suricata-for-network-monitoring ayuda a desplegar y ajustar Suricata para monitoreo IDS/IPS, registro EVE JSON, gestión de reglas y salida lista para SIEM. Encaja bien con el flujo de Security Audit cuando necesitas una configuración práctica, validación y reducción de falsos positivos.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-business-email-compromise

por mukul975

La skill de detección de BEC ayuda a analistas, equipos SOC y responsables de respuesta a incidentes a identificar intentos de Business Email Compromise (BEC) mediante comprobaciones de encabezados de correo, indicios de ingeniería social, lógica de detección y flujos de trabajo orientados a la respuesta. Úsala como una guía práctica de detección de BEC para tareas de triaje, validación y contención.

Incident Response

Favoritos 0GitHub 6.1k

detecting-email-forwarding-rules-attack

por mukul975

La skill de detección de ataques por reglas de reenvío de correo ayuda a los equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a encontrar reglas maliciosas de reenvío en buzones usadas para persistencia y recolección de correos. Guía a los analistas a través de evidencias de Microsoft 365 y Exchange, patrones sospechosos de reglas y una triage práctica para comportamientos de reenvío, redirección, eliminación y ocultación.

Security Audit

Favoritos 0GitHub 0

detecting-anomalous-authentication-patterns

por mukul975

detecting-anomalous-authentication-patterns ayuda a analizar registros de autenticación para detectar viajes imposibles, fuerza bruta, password spraying, credential stuffing y actividad de cuentas comprometidas. Está diseñado para flujos de trabajo de auditoría de seguridad, SOC, IAM y respuesta a incidentes, con detección basada en líneas de referencia y análisis de inicios de sesión respaldado por evidencias.

Security Audit

Favoritos 0GitHub 0