hunting-advanced-persistent-threats

por mukul975

hunting-advanced-persistent-threats es una skill de threat hunting para detectar actividad de estilo APT en telemetría de endpoint, red y memoria. Ayuda a los analistas a construir búsquedas guiadas por hipótesis, mapear hallazgos a MITRE ATT&CK y convertir la inteligencia de amenazas en consultas prácticas y pasos de investigación, en lugar de búsquedas improvisadas.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaThreat Hunting

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill hunting-advanced-persistent-threats

Puntuación editorial

Esta skill obtiene 78/100, lo que significa que es una opción sólida, aunque no de primer nivel: ofrece a los usuarios del directorio un flujo de trabajo de hunting APT claramente acotado y con suficiente contenido para valorar su instalación, aunque deben esperar cierta dependencia de configuración respecto a herramientas de seguridad externas y bibliotecas Python de apoyo.

78/100

Puntos fuertes

Alta capacidad de activación: el frontmatter indica con claridad cuándo usarla, incluidos ciclos de threat hunting, anomalías de UEBA y solicitudes relacionadas con ATT&CK/Velociraptor/osquery/Zeek.
Profundidad operativa: el cuerpo de la skill es sustancial, con varios encabezados, restricciones y bloques de código, además de un script complementario y una referencia de API que respaldan una ejecución real del hunting.
Buen apoyo para agentes: las referencias a técnicas de ATT&CK, NIST CSF, D3FEND y osquery/attackcti aportan anclajes concretos al flujo de trabajo en lugar de una simple petición genérica de hunting.

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que los usuarios deben inferir las dependencias a partir de la referencia de API y de las importaciones del script.
El fragmento del script parece depender de librerías concretas (attackcti, osquery) y la skill probablemente asume telemetría existente y herramientas de seguridad empresariales, lo que limita su utilidad en entornos ligeros.

Mitre Attack Apt Osquery Zeek Velociraptor Edr Security Network Security

Resumen

Descripción general de la skill hunting-advanced-persistent-threats

hunting-advanced-persistent-threats es una skill práctica de threat hunting para detectar actividad al estilo APT en datos de endpoint, red y memoria. Es especialmente útil para analistas e ingenieros de seguridad que necesitan una forma estructurada de validar comportamientos sospechosos, mapear hallazgos a MITRE ATT&CK y convertir la inteligencia en hunts, en lugar de búsquedas ad hoc.

La skill hunting-advanced-persistent-threats resulta más útil cuando ya dispones de telemetría y necesitas una forma repetible de responder: “¿Están presentes estas TTP en mi entorno?”. Se inclina hacia hunting guiado por hipótesis, no hacia la contención de incidentes en tiempo real, así que encaja mejor en ciclos de hunt planificados, seguimiento de UEBA y validación de exposición.

Para qué sirve bien esta skill hunting-advanced-persistent-threats

Esta skill te ayuda a construir un hunt alrededor de comportamiento conocido de un atacante: agrupar TTP, mapear técnicas de ATT&CK y generar consultas concretas para herramientas como osquery y Zeek. Si necesitas una guía de hunting-advanced-persistent-threats que traduzca inteligencia de amenazas en pasos de investigación, encaja muy bien.

Usuarios y entornos ideales

Úsala si trabajas con EDR, logs de endpoint, telemetría de red o artefactos de memoria y quieres un proceso de hunting repetible. Es especialmente relevante para equipos que usan terminología de MITRE ATT&CK, hunts programados o flujos de trabajo de detection engineering.

Dónde deja de encajar

No la uses como sustituto de la respuesta a incidentes cuando la intrusión ya está confirmada. Si tu necesidad principal es clasificar alertas amplias de un SOC sin una hipótesis de hunt, un prompt genérico puede ser más sencillo que la skill hunting-advanced-persistent-threats.

Cómo usar la skill hunting-advanced-persistent-threats

Instala y revisa primero el repositorio

Instala la skill hunting-advanced-persistent-threats con el gestor de skills de tu plataforma y después lee los archivos fuente antes de usarla en flujos de trabajo de producción. Empieza por SKILL.md y luego abre references/api-reference.md y scripts/agent.py para ver el flujo esperado de datos de ATT&CK y la lógica de generación de consultas.

Dale una hipótesis de hunt real

El mejor uso de hunting-advanced-persistent-threats empieza con una entrada concreta: un adversario nombrado, una técnica de ATT&CK, un patrón de alerta o una familia de comportamiento sospechoso. Mejor prompt: “Busca indicios de robo de credenciales y movimiento lateral al estilo APT29 usando osquery y Zeek; prioriza endpoints Windows con actividad reciente de PowerShell y tareas programadas.” Prompt débil: “Encuentra APTs.”

Flujo de trabajo sugerido para mejorar la calidad de la salida

Usa la skill en tres pasos: define la hipótesis, especifica la telemetría disponible y acota el entorno. Indica qué logs existen, qué ventana temporal importa y a qué herramientas quieres que apunte la salida. Así la decisión de instalar hunting-advanced-persistent-threats sigue siendo útil, porque puedes prever si la skill generará hunts accionables o comentarios genéricos sobre ATT&CK.

Archivos y señales que conviene leer primero

Lee references/api-reference.md para ver las librerías admitidas y las referencias de técnicas, y después scripts/agent.py para entender cómo se mapean los grupos de ATT&CK en hunts. Si planeas adaptar la skill, revisa también las suposiciones de stack técnico del script antes de copiar consultas a tu propio entorno.

Preguntas frecuentes sobre la skill hunting-advanced-persistent-threats

¿Es solo para analistas avanzados?

No. La skill hunting-advanced-persistent-threats también la pueden usar principiantes si pueden aportar una hipótesis clara y saben qué telemetría tienen. Lo importante no es dominar ATT&CK a fondo, sino dar al modelo suficiente contexto para generar un hunt que encaje con tu entorno.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele producir una lista amplia de comprobaciones. La skill hunting-advanced-persistent-threats funciona mejor cuando quieres una guía de hunting-advanced-persistent-threats más disciplinada, vinculada a técnicas de ATT&CK, tipos de telemetría y rutas concretas de consulta.

¿Con qué herramientas encaja mejor?

Encaja mejor en entornos que ya recopilan datos de endpoint y red, especialmente cuando osquery, Zeek o el análisis alineado con ATT&CK forman parte del flujo de trabajo. Si tu stack no expone telemetría consultable, la skill será menos útil que una plantilla manual de investigación.

¿Cuándo no debería usarla?

No la uses para gestionar un compromiso en curso ni si no tienes un objetivo de hunting más allá de “buscar cosas malas”. La skill funciona mejor cuando puedes nombrar el comportamiento de amenaza que quieres probar y la fuente de datos que quieres buscar.

Cómo mejorar la skill hunting-advanced-persistent-threats

Proporciona entradas más ajustadas

La mayor mejora en calidad llega con la especificidad: nombra el actor, la técnica, la plataforma y el rango temporal. Por ejemplo, pide hunting-advanced-persistent-threaths contra T1059 y T1053 en hosts Windows durante los últimos 14 días, con salidas en formato osquery y una breve lista de verificación para analistas.

Comparte tus límites de telemetría

Indica qué puedes consultar realmente: campos de EDR, Sysmon, logs de conexión de Zeek, artefactos de memoria o solo metadatos de endpoint. Si omites esto, la skill puede generar buenas ideas de hunting que luego son difíciles de ejecutar. En hunting-advanced-persistent-threats for Threat Hunting, una buena entrada siempre gana a una intención amplia.

Itera de la hipótesis a la consulta

Usa el primer resultado para refinar el hunt: elimina técnicas no compatibles, acota las rutas de persistencia más probables y pide variantes de consulta por fuente de logs. Si la primera pasada es demasiado amplia, pide menos técnicas de ATT&CK y pivotes más exactos, como proceso padre, línea de comandos, tareas programadas o destinos de salida.

Vigila los fallos más comunes

El problema más frecuente es un mapeo ATT&CK demasiado amplio que impresiona, pero no se puede ejecutar en tu stack. Otro es la falta de contexto de activos, que hace que el hunt sea menos relevante. Mejora la salida de la skill hunting-advanced-persistent-threats aportando primero el entorno, luego el comportamiento y, por último, el formato del entregable.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

Threat Hunting

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

Digital Forensics

Favoritos 0GitHub 6.2k