detecting-attacks-on-scada-systems

por mukul975

detecting-attacks-on-scada-systems es un skill de ciberseguridad para detectar ataques en entornos SCADA y OT/ICS. Ayuda a analizar el abuso de protocolos industriales, comandos no autorizados a PLC, compromisos de HMI, manipulación de historiadores y ataques de denegación de servicio, con orientación práctica para la respuesta a incidentes y la validación de detecciones.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaIncident Response

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-attacks-on-scada-systems

Puntuación editorial

Este skill obtiene 78/100, lo que lo convierte en un candidato sólido para Agent Skills Finder. Los usuarios del directorio deberían verlo como una opción lista para instalar en flujos de detección de ataques SCADA/OT: el repositorio aporta suficiente alcance de detección, condiciones de activación y materiales de apoyo para reducir la improvisación frente a un prompt genérico, aunque no está pulido de extremo a extremo.

78/100

Puntos fuertes

Casos de uso claros y específicos para la detección de ataques en SCADA/ICS, incluidos MITM en protocolos industriales, inyección de comandos PLC, compromiso de HMI, manipulación de historiadores y DoS.
Buen respaldo operativo: el skill incluye un SKILL.md amplio con secciones de flujo de trabajo, restricciones, bloques de código y orientación directa sobre cuándo no usarlo.
El material de apoyo aumenta la eficacia para agentes, con un script de Python y una referencia de API con puertos SCADA, indicadores y detalles de protocolos.

Puntos a tener en cuenta

No se proporciona un comando de instalación en SKILL.md, por lo que la configuración y la activación de dependencias pueden requerir interpretación manual por parte del agente o del usuario.
Parte del contenido del flujo de trabajo parece amplio más que profundamente procedimental, así que los agentes todavía pueden necesitar conocimiento del dominio para adaptar las detecciones a un entorno OT concreto.

Scada Ics Industrial Control Ot Security Intrusion Detection Protocol Analysis Network Security Siem

Resumen

Descripción general del skill detecting-attacks-on-scada-systems

detecting-attacks-on-scada-systems es un skill de ciberseguridad para detectar patrones de ataque en entornos SCADA y otros entornos OT/ICS, especialmente cuando la monitorización IT estándar no ve el abuso de protocolos, las escrituras inseguras o la manipulación a nivel de proceso. Usa el detecting-attacks-on-scada-systems skill cuando necesites orientación de detección para PLCs, HMIs, historiadores, protocolos industriales o telemetría de red OT y quieras un flujo de trabajo más práctico que un prompt genérico de SOC.

Para qué sirve este skill

Este skill está pensado para analistas e ingenieros que necesitan detectar actividad sospechosa en entornos de control en vivo, crear detecciones específicas para OT o clasificar alertas de plataformas de seguridad industrial. Es especialmente útil para detecting-attacks-on-scada-systems for Incident Response cuando tienes poco tiempo y necesitas una primera pasada defendible sobre qué verificar, qué registrar y qué comportamiento del protocolo importa.

Qué lo hace diferente

El valor principal de detecting-attacks-on-scada-systems es que se centra en el comportamiento de los protocolos industriales y en el contexto del proceso, no solo en firmas. El repositorio apunta a Modbus, S7comm, EtherNet/IP, DNP3, OPC-UA y superficies de ataque similares, algo clave porque muchas detecciones OT dependen del tipo de comando, el código de función, el rol de la estación o rutas de escritura inesperadas, más que de simples indicadores de malware.

Cuándo encaja bien

Usa este skill cuando la tarea sea confirmar si el tráfico SCADA, los comandos a dispositivos o los datos del historiador parecen anómalos; mapear posibles rutas de ataque; o convertir una alerta difusa en pasos concretos de verificación. Encaja mejor que un prompt genérico de seguridad de red cuando el entorno incluye PLCs, datos en tiempo real o herramientas de monitorización OT y necesitas una lógica de detección que respete las restricciones operativas.

Cómo usar el skill detecting-attacks-on-scada-systems

Instala y localiza los archivos principales

Para detecting-attacks-on-scada-systems install, añade el skill desde el repositorio y después revisa los archivos que definen el comportamiento, los ejemplos y las referencias de apoyo. Empieza por SKILL.md y luego inspecciona references/api-reference.md y scripts/agent.py para entender qué protocolos, indicadores y comprobaciones admite realmente el skill.

Dale al skill la entrada correcta

El mejor detecting-attacks-on-scada-systems usage empieza con un escenario concreto: tipo de activo, protocolo, síntomas observados, ventana temporal y qué evidencias ya tienes. Un prompt débil sería “comprueba ataques SCADA”; uno más sólido sería “clasifica escrituras Modbus TCP a PLCs en el puerto 502 desde una estación de ingeniería, identifica los códigos de función probablemente maliciosos y enumera los logs necesarios para confirmar cambios de control no autorizados”.

Patrón de prompt que funciona bien

Usa un prompt que indique el entorno, el comportamiento sospechoso y la salida que quieres. Ejemplo: “Using the detecting-attacks-on-scada-systems guide, analyze suspicious S7comm traffic from an HMI to a Siemens PLC, prioritize attack hypotheses, and return validation steps, false-positive checks, and incident-response notes.” Eso le da al skill suficiente estructura para generar lógica de detección específica en lugar de consejos genéricos de OT.

Lee el repositorio en este orden

Si quieres mejores resultados, lee SKILL.md para ver el flujo de trabajo, references/api-reference.md para los puertos e indicadores de protocolo, y scripts/agent.py para la lógica de detección que el repositorio codifica realmente. El orden de los archivos importa porque revela los supuestos del skill: servicios SCADA expuestos, anomalías de protocolo e indicadores de ataque como escrituras inusuales, patrones de reconocimiento y exposición de servicios.

Preguntas frecuentes sobre el skill detecting-attacks-on-scada-systems

¿Esto es solo para SCADA o también sirve para OT más amplio?

Está centrado en SCADA, pero también es relevante para tareas de detección OT/ICS donde intervienen protocolos industriales y procesos de control. Si el entorno tiene PLCs, HMIs, dispositivos de campo, historiadores o problemas de segmentación en la red de control, detecting-attacks-on-scada-systems puede seguir siendo una buena opción.

¿Necesito ser experto en OT para usarlo?

No, pero obtendrás mejores resultados si puedes nombrar el protocolo, el rol del activo y el comportamiento observable. Los principiantes pueden usar el detecting-attacks-on-scada-systems skill con eficacia si aportan entradas concretas como el puerto 502, un proveedor de PLC específico, actividad de escritura sospechosa o una fuente de alertas de un OT IDS.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele pedir “ideas para detectar ataques” y recibe consejos genéricos. detecting-attacks-on-scada-systems resulta más útil cuando quieres que el modelo se centre en el comportamiento de los protocolos industriales, los patrones de ataque probables y los pasos de respuesta que encajan con las restricciones SCADA, en lugar de con manuales generales de seguridad IT.

¿Cuándo no debería usarlo?

No lo uses para entornos solo IT, seguridad genérica de aplicaciones web ni casos en los que solo necesites una clasificación amplia de malware sin ningún componente SCADA/ICS. Si no hay ningún protocolo industrial, activo de control o impacto de proceso que analizar, este skill será menos eficiente que un flujo de trabajo general de ciberseguridad o de detección en red.

Cómo mejorar el skill detecting-attacks-on-scada-systems

Aporta evidencia específica del protocolo

La mayor mejora de calidad llega al nombrar el protocolo y la acción exacta observada. Por ejemplo, “escritura Modbus a coils desde un host que no es de ingeniería”, “solicitudes de conexión S7comm inesperadas” o “picos de polling DNP3 desde una fuente nueva” le dan al modelo algo real que analizar, mientras que “posible compromiso SCADA” no lo hace.

Incluye contexto operativo y restricciones

Dile al skill qué debería estar haciendo la planta, no solo qué parece raro. Indica si una escritura estaba aprobada por mantenimiento, si el host es un HMI o un historiador, si el activo es crítico para la seguridad y si se permite tiempo de inactividad; esto ayuda a detecting-attacks-on-scada-systems a distinguir abuso de operaciones legítimas.

Pide validación, no solo detección

Las mejores respuestas suelen incluir comprobaciones de confirmación: campos de paquetes que revisar, logs que extraer, comparaciones con una línea base y pruebas para descartar falsos positivos. Si la primera respuesta es demasiado amplia, afina con “prioriza las tres hipótesis principales, enumera la evidencia que confirmaría cada una y di qué la descartaría”.

Itera con un activo y una pregunta

No le pidas al skill que cubra toda la planta, todos los protocolos y todas las amenazas en una sola pasada. Limita cada iteración a una sola clase de activo o a una sola fase del incidente, y amplía solo cuando la primera respuesta ya sea útil; ese enfoque produce detecciones más precisas y una guía detecting-attacks-on-scada-systems más accionable para tu equipo.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts es una skill de Forense Digital para extraer historial, cookies, caché, descargas y marcadores de Chrome, Firefox y Edge. Úsala para convertir archivos de perfil del navegador en evidencia lista para líneas de tiempo, con una guía de trabajo repetible y centrada en el caso.

Digital Forensics

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ayuda a equipos de SOC y detección a correlacionar delitos de IBM QRadar con AQL, contexto del delito, reglas personalizadas y datos de referencia. Usa esta guía para investigar incidentes, reducir falsos positivos y crear una lógica de correlación más sólida para respuesta a incidentes.

Incident Response

Favoritos 0GitHub 0

containing-active-breach

por mukul975

containing-active-breach es una skill de respuesta a incidentes para contener una brecha activa en tiempo real. Ayuda a aislar hosts, bloquear tráfico sospechoso, deshabilitar cuentas comprometidas y frenar el movimiento lateral mediante una guía estructurada de containing-active-breach con referencias prácticas a APIs y scripts.

Incident Response

Favoritos 0GitHub 0

configuring-suricata-for-network-monitoring

por mukul975

La skill configuring-suricata-for-network-monitoring ayuda a desplegar y ajustar Suricata para monitoreo IDS/IPS, registro EVE JSON, gestión de reglas y salida lista para SIEM. Encaja bien con el flujo de Security Audit cuando necesitas una configuración práctica, validación y reducción de falsos positivos.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-business-email-compromise

por mukul975

La skill de detección de BEC ayuda a analistas, equipos SOC y responsables de respuesta a incidentes a identificar intentos de Business Email Compromise (BEC) mediante comprobaciones de encabezados de correo, indicios de ingeniería social, lógica de detección y flujos de trabajo orientados a la respuesta. Úsala como una guía práctica de detección de BEC para tareas de triaje, validación y contención.

Incident Response

Favoritos 0GitHub 6.1k

detecting-email-forwarding-rules-attack

por mukul975

La skill de detección de ataques por reglas de reenvío de correo ayuda a los equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a encontrar reglas maliciosas de reenvío en buzones usadas para persistencia y recolección de correos. Guía a los analistas a través de evidencias de Microsoft 365 y Exchange, patrones sospechosos de reglas y una triage práctica para comportamientos de reenvío, redirección, eliminación y ocultación.

Security Audit

Favoritos 0GitHub 0