correlating-threat-campaigns

por mukul975

correlating-threat-campaigns ayuda a analistas de Threat Intelligence a correlacionar incidentes, IOCs y TTPs en evidencia a nivel de campaña. Úsalo para comparar eventos históricos, separar vínculos sólidos de coincidencias débiles y construir agrupaciones defendibles para informes de MISP, SIEM y CTI.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaThreat Intelligence

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill correlating-threat-campaigns

Puntuación editorial

Esta skill obtiene 78/100, lo que significa que es una ficha sólida pero no de primer nivel en el directorio: ofrece un flujo de trabajo de threat intelligence claramente enfocado, con evidencia concreta de API y scripts suficiente para justificar la instalación, aunque conviene esperar algunas lagunas de implementación y onboarding. El repositorio da a los agentes una forma creíble de desencadenar y ejecutar tareas de correlación de campañas con menos improvisación que un prompt genérico.

78/100

Puntos fuertes

La frontmatter y la sección de uso dejan claro que sirve para análisis de campañas, clustering de incidentes, correlación de IOCs entre organizaciones y casos de uso de correlación en MISP.
La evidencia operativa es sólida: el repositorio incluye un script de agente en Python y ejemplos de referencia de API para flujos de trabajo con MISP y OpenCTI.
Buenas señales de confianza para una skill de ciberseguridad: advertencia explícita contra la correlación débil, licencia Apache-2.0 y encabezados estructurados con contenido real de flujo de trabajo.

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que es posible que los usuarios tengan que hacer una configuración manual o revisar el repositorio antes de adoptarla.
El flujo de trabajo mostrado depende de plataformas externas como MISP/SIEM/OpenCTI y de datos históricos, por lo que resulta menos útil como skill autónoma.

Misp Stix Mitre Attack Threat Actor Cybersecurity Correlation Clustering

Resumen

Descripción general de la skill correlating-threat-campaigns

Qué hace correlating-threat-campaigns

La skill correlating-threat-campaigns te ayuda a convertir incidentes dispersos, indicadores y TTPs en una visión de campaña defendible para trabajos de Threat Intelligence. Es especialmente útil para analistas que necesitan decidir si varios eventos pertenecen a la misma operación, si los indicadores compartidos tienen peso real y cómo expresar esa relación en un informe o expediente de caso.

Quién debería usarla

Usa la skill correlating-threat-campaigns si trabajas con MISP, SIEM, TIP, informes de CTI o intercambio entre organizaciones y necesitas algo más que una simple búsqueda de IOC. Encaja bien con threat hunters, analistas de CTI y equipos defensivos que ya tienen historial de eventos y quieren mejorar la agrupación, la atribución y la extracción de indicadores compartidos.

Qué la hace diferente

Esta skill se centra en el juicio de correlación, no en un resumen genérico. Su valor principal es ayudarte a evitar una lógica de enlace débil, sobre todo cuando una infraestructura común, herramientas compartidas o indicadores ruidosos pueden llevar a atribuciones erróneas de campaña. Es más útil cuando necesitas evidencia a nivel de campaña, no solo enriquecimiento de eventos.

Cómo usar la skill correlating-threat-campaigns

Instálala y actívala

Para una correlating-threat-campaigns install, añade la skill desde la ruta del repo y después inspecciona los archivos de la skill antes de hacer prompts. Un contexto típico de instalación es:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill correlating-threat-campaigns

Dale a la skill la entrada adecuada

El patrón de uso de correlating-threat-campaigns usage funciona mejor cuando aportas un conjunto pequeño de evidencias, no un objetivo vago. Incluye las fechas del incidente, los sistemas de origen, los IOCs, los TTPs y cualquier etiqueta compartida o nombre de actor. Una entrada sólida se vería así: “Correlaciona estos cinco eventos de MISP de los últimos 90 días, identifica los solapamientos que respaldan una sola campaña y marca los matches débiles que no deberían fusionarse”.

Lee primero estos archivos

Empieza con SKILL.md para ver el flujo de trabajo, luego abre references/api-reference.md para revisar los ejemplos de consultas de MISP y de graph queries, y scripts/agent.py para entender la lógica de correlación y las entradas esperadas. Estos archivos muestran dónde espera la skill datos históricos, cómo busca y qué estructura de salida es realista.

Sigue un flujo de trabajo práctico

Usa la skill como apoyo de triaje a análisis: reúne eventos candidatos, normaliza nombres e indicadores, comprueba solapamientos en el tiempo y en las técnicas, y luego decide si la evidencia compartida es lo bastante sólida para agruparla como campaña. Cuando la uses para Threat Intelligence, pídele que separe la correlación probable de la atribución especulativa y que resuma por qué cada vínculo es o no creíble.

Preguntas frecuentes sobre la skill correlating-threat-campaigns

¿correlating-threat-campaigns es solo para usuarios de MISP?

No. MISP es una muy buena opción, pero la skill también admite análisis de campañas de amenazas más amplios cuando hay eventos históricos, etiquetas de actor y comportamientos al estilo ATT&CK disponibles. Si solo tienes una alerta aislada sin historial de eventos, la skill será mucho menos útil.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede resumir indicadores, pero la skill correlating-threat-campaigns está diseñada para guiar decisiones estructuradas de correlación. Eso importa cuando necesitas consistencia, incertidumbre explícita y una forma repetible de justificar por qué los eventos van juntos o por qué deben seguir separados.

¿Pueden usarla principiantes?

Sí, si pueden aportar artefactos concretos. Los principiantes obtienen mejores resultados cuando pegan marcas de tiempo, IOCs, etiquetas y relaciones conocidas en lugar de pedir “análisis de campaña” de forma abstracta. La skill encaja peor con sesiones de lluvia de ideas totalmente abiertas.

¿Cuándo no debería usarla?

No uses correlating-threat-campaigns cuando la evidencia sea demasiado escasa, los indicadores sean comunes entre muchos actores o la tarea sea solo detectar actividad maliciosa aislada. En esos casos, la correlación puede generar una falsa sensación de certeza en lugar de mejor inteligencia.

Cómo mejorar la skill correlating-threat-campaigns

Aporta fragmentos de evidencia más sólidos

La mayor mejora de calidad viene de seleccionar mejor la entrada. Dale a la skill un clúster acotado: un rango de fechas, un conjunto de eventos y los campos concretos que quieres comparar. Por ejemplo, incluye “misma IP de C2”, “mismo hash de malware” o “misma técnica de acceso inicial” en lugar de pedirle que busque en todos los incidentes.

Pide confianza y exclusiones

Una solicitud útil de correlating-threat-campaigns guide debería pedir tanto coincidencias positivas como razones para no fusionar eventos. Indícale a la skill que clasifique los vínculos por nivel de confianza, excluya infraestructuras comunes como CDN o hosting compartido cuando corresponda y señale los riesgos de sobrecorrelación. Eso produce una salida de Threat Intelligence más fiable.

Itera después de la primera pasada

Revisa el primer resultado de correlación para detectar contexto que falte y luego devuelve hechos nuevos, como alias alternativos, propiedad actualizada de indicadores o una ventana temporal más amplia. Si la agrupación inicial parece demasiado amplia, acota los indicadores; si parece demasiado estricta, añade solapamiento de técnicas o vínculo organizativo. Este bucle iterativo suele mejorar el modelo de campaña más rápido que un único prompt enorme.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

evaluating-threat-intelligence-platforms

por mukul975

evaluating-threat-intelligence-platforms te ayuda a comparar productos TIP por ingesta de feeds, compatibilidad con STIX/TAXII, automatización, flujo de trabajo de analistas, integraciones y coste total de propiedad. Usa esta guía de evaluating-threat-intelligence-platforms para compras, migraciones o planificación de madurez, incluida la evaluación de evaluating-threat-intelligence-platforms para Threat Modeling cuando la elección de plataforma afecta a la trazabilidad y al intercambio de evidencias.

Threat Modeling

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-insider-threat-behaviors

por mukul975

detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.

Threat Modeling

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

Security Audit

Favoritos 0GitHub 0

detecting-command-and-control-over-dns

por mukul975

detecting-command-and-control-over-dns es una skill de ciberseguridad para detectar C2 sobre DNS, incluidos tunneling, beaconing, dominios DGA y abuso de TXT/CNAME. Ayuda a analistas SOC, threat hunters y auditorías de seguridad con comprobaciones de entropía, correlación con passive DNS y flujos de detección al estilo Zeek o Suricata.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ayuda a equipos de SOC y detección a correlacionar delitos de IBM QRadar con AQL, contexto del delito, reglas personalizadas y datos de referencia. Usa esta guía para investigar incidentes, reducir falsos positivos y crear una lógica de correlación más sólida para respuesta a incidentes.

Incident Response

Favoritos 0GitHub 0

auditing-tls-certificate-transparency-logs

por mukul975

La skill de auditoría de logs de transparencia de certificados TLS ayuda a los equipos de seguridad a monitorear logs de Certificate Transparency para dominios propios, detectar emisiones de certificados no autorizadas, descubrir subdominios expuestos por certificados y seguir la actividad sospechosa de las CA con un flujo de trabajo repetible de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 0

analyzing-windows-event-logs-in-splunk

por mukul975

La skill de análisis de logs de Windows en Splunk ayuda a analistas SOC a investigar logs de Security, System y Sysmon en Splunk para detectar ataques de autenticación, escalada de privilegios, persistencia y movimiento lateral. Úsala para triage de incidentes, ingeniería de detecciones y análisis de líneas de tiempo con patrones SPL mapeados y guía de Event ID.

Incident Triage

Favoritos 0GitHub 0

analyzing-windows-amcache-artifacts

por mukul975

La skill analyzing-windows-amcache-artifacts analiza datos de Windows Amcache.hve para recuperar evidencias de ejecución de programas, software instalado, actividad de dispositivos y carga de controladores en flujos de trabajo de DFIR y auditoría de seguridad. Utiliza AmcacheParser y guías basadas en regipy para facilitar la extracción de artefactos, la correlación de SHA-1 y la revisión de líneas de tiempo.

Security Audit

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Security Audit

Favoritos 0GitHub 0

analyzing-network-traffic-of-malware

por mukul975

analyzing-network-traffic-of-malware ayuda a inspeccionar PCAPs y telemetría de ejecuciones en sandbox o de respuesta a incidentes para detectar C2, exfiltración, descargas de payloads, tunneling DNS e ideas de detección. Es una guía práctica de analyzing-network-traffic-of-malware para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-indicators-of-compromise

por mukul975

analyzing-indicators-of-compromise ayuda a clasificar IOC como IP, dominios, URLs, hashes de archivos y artefactos de correo electrónico. Facilita flujos de trabajo de inteligencia de amenazas para enriquecer datos, asignar puntuación de confianza y decidir acciones de bloqueo, monitoreo o inclusión en lista permitida con comprobaciones respaldadas por fuentes y contexto claro para analistas.

Threat Intelligence

Favoritos 0GitHub 0

analyzing-cyber-kill-chain

por mukul975

analyzing-cyber-kill-chain ayuda a mapear la actividad de intrusión en la Lockheed Martin Cyber Kill Chain para mostrar qué ocurrió, dónde las defensas resistieron o fallaron y qué controles podrían haber detenido antes el ataque. Es útil para respuesta a incidentes, análisis de brechas de detección y analizis-cyber-kill-chain para Threat Intelligence.

Threat Intelligence

Favoritos 0GitHub 0

collecting-indicators-of-compromise

por mukul975

Skill collecting-indicators-of-compromise para extraer, enriquecer, puntuar y exportar IOCs a partir de evidencia de incidentes. Úsala para flujos de trabajo de Security Audit, intercambio de inteligencia de amenazas y salida en STIX 2.1 cuando necesites una guía práctica de collecting-indicators-of-compromise en lugar de un prompt genérico de respuesta a incidentes.

Security Audit

Favoritos 0GitHub 0

detecting-business-email-compromise

por mukul975

La skill de detección de BEC ayuda a analistas, equipos SOC y responsables de respuesta a incidentes a identificar intentos de Business Email Compromise (BEC) mediante comprobaciones de encabezados de correo, indicios de ingeniería social, lógica de detección y flujos de trabajo orientados a la respuesta. Úsala como una guía práctica de detección de BEC para tareas de triaje, validación y contención.

Incident Response

Favoritos 0GitHub 6.1k

analyzing-command-and-control-communication

por mukul975

analyzing-command-and-control-communication ayuda a analizar tráfico C2 de malware para identificar beaconing, decodificar comandos, mapear infraestructura y apoyar Security Audit, threat hunting y el triage de malware con evidencia basada en PCAP y orientación práctica de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0