Incident Response

building-incident-timeline-with-timesketch ayuda a equipos DFIR a crear líneas de tiempo colaborativas de incidentes en Timesketch mediante la ingesta de evidencias en Plaso, CSV o JSONL, la normalización de marcas de tiempo, la correlación de eventos y la documentación de cadenas de ataque para la triage y la elaboración de informes de incidentes.

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

detecting-beaconing-patterns-with-zeek ayuda a analizar intervalos de `conn.log` de Zeek para detectar beaconing de estilo C2. Usa ZAT, agrupa flujos por origen, destino y puerto, y puntúa patrones de baja variación con comprobaciones estadísticas. Es ideal para SOC, threat hunting, respuesta a incidentes y flujos de trabajo de auditoría de seguridad con detecting-beaconing-patterns-with-zeek.

La skill de flujo de botón de denuncia de phishing te ayuda a diseñar un flujo de trabajo para reportar phishing que conserve el correo original, extraiga IOC, clasifique los reportes y enrute la triage y la retroalimentación para Microsoft 365 o configuraciones similares de seguridad de correo.

analyzing-supply-chain-malware-artifacts es una skill de análisis de malware para rastrear actualizaciones troyanizadas, dependencias envenenadas y manipulación de canales de compilación. Úsala para comparar artefactos confiables y no confiables, extraer indicadores, evaluar el alcance de la intrusión y redactar hallazgos con menos conjeturas.

analyzing-security-logs-with-splunk ayuda a investigar eventos de seguridad en Splunk correlacionando registros de Windows, firewall, proxy y autenticación en líneas de tiempo y evidencia. Este skill de analyzing-security-logs-with-splunk es una guía práctica para auditoría de seguridad, respuesta a incidentes y threat hunting.

analyzing-ransomware-network-indicators ayuda a analizar `conn.log` de Zeek y NetFlow para detectar beaconing de C2, salidas TOR, exfiltración y DNS sospechoso en auditorías de seguridad y respuesta a incidentes.

analyzing-ransomware-leak-site-intelligence ayuda a monitorear sitios de filtración de datos de ransomware, extraer señales de víctimas y grupos, y generar inteligencia de amenazas estructurada para respuesta a incidentes, revisión de riesgo sectorial y seguimiento de adversarios.

Analiza registros de WAF y auditoría para detectar campañas de SQL injection con detecting-sql-injection-via-waf-logs. Pensado para flujos de Security Audit y SOC, procesa eventos de ModSecurity, AWS WAF y Cloudflare, clasifica patrones como UNION SELECT, OR 1=1, SLEEP() y BENCHMARK(), correlaciona orígenes y genera hallazgos orientados a incidentes.

analyzing-golang-malware-with-ghidra ayuda a analistas a hacer ingeniería inversa de malware compilado con Go en Ghidra, con flujos de trabajo para recuperar funciones, extraer cadenas, revisar metadatos de compilación y mapear dependencias. La skill analyzing-golang-malware-with-ghidra resulta útil para triaje de malware, respuesta a incidentes y tareas de auditoría de seguridad que requieren pasos de análisis prácticos y específicos de Go.

containing-active-breach es una skill de respuesta a incidentes para contener una brecha activa en tiempo real. Ayuda a aislar hosts, bloquear tráfico sospechoso, deshabilitar cuentas comprometidas y frenar el movimiento lateral mediante una guía estructurada de containing-active-breach con referencias prácticas a APIs y scripts.

Skill collecting-indicators-of-compromise para extraer, enriquecer, puntuar y exportar IOCs a partir de evidencia de incidentes. Úsala para flujos de trabajo de Security Audit, intercambio de inteligencia de amenazas y salida en STIX 2.1 cuando necesites una guía práctica de collecting-indicators-of-compromise en lugar de un prompt genérico de respuesta a incidentes.

building-vulnerability-scanning-workflow ayuda a los equipos de SOC a diseñar un proceso repetible de escaneo de vulnerabilidades para el descubrimiento, la priorización, el seguimiento de remediación y la generación de informes sobre los activos. Admite casos de uso de auditoría de seguridad con orquestación de escáneres, clasificación de riesgos con conocimiento de KEV y guía de flujo de trabajo que va más allá de un escaneo puntual.

Skill building-soc-playbook-for-ransomware para equipos SOC que necesitan un playbook estructurado de respuesta ante ransomware. Cubre disparadores de detección, contención, erradicación, recuperación y procedimientos listos para auditoría, alineados con NIST SP 800-61 y MITRE ATT&CK. Úsala para crear playbooks prácticos, hacer ejercicios tabletop y apoyar auditorías de seguridad.

Usa la skill building-soc-escalation-matrix para crear una matriz de escalado SOC estructurada con niveles de severidad, SLA de respuesta, rutas de escalado y reglas de notificación. Incluye plantilla, mapeo a estándares, flujos de trabajo y scripts para un uso práctico de building-soc-escalation-matrix en operaciones de seguridad y tareas de auditoría.

building-incident-response-dashboard ayuda a los equipos a crear paneles de respuesta a incidentes en tiempo real en Splunk, Elastic o Grafana para el seguimiento activo de incidentes, el estado de contención, los activos afectados, la propagación de IOC y las líneas de tiempo de respuesta. Usa esta habilidad de building-incident-response-dashboard cuando necesites un panel enfocado para analistas SOC, responsables de incidentes y equipos de liderazgo.

analyzing-windows-registry-for-artifacts ayuda a analistas a extraer evidencias de los hives del Registro de Windows para identificar actividad de usuarios, software instalado, autoruns, historial USB e indicadores de compromiso en flujos de respuesta a incidentes o auditoría de seguridad.

analyzing-windows-prefetch-with-python analiza archivos Windows Prefetch (.pf) con `windowsprefetch` para reconstruir el historial de ejecución, detectar binarios renombrados o que se hacen pasar por otros y apoyar el triaje de incidentes y el análisis de malware.

La skill analyzing-windows-amcache-artifacts analiza datos de Windows Amcache.hve para recuperar evidencias de ejecución de programas, software instalado, actividad de dispositivos y carga de controladores en flujos de trabajo de DFIR y auditoría de seguridad. Utiliza AmcacheParser y guías basadas en regipy para facilitar la extracción de artefactos, la correlación de SHA-1 y la revisión de líneas de tiempo.

La skill de análisis de TTPs de actores de amenaza con MITRE ATT&CK ayuda a mapear informes de amenazas a las tácticas, técnicas y sub-técnicas de MITRE ATT&CK, crear vistas de cobertura y priorizar brechas de detección. Incluye una plantilla de informe, referencias de ATT&CK y scripts para buscar técnicas y analizar brechas, por lo que resulta útil para CTI, SOC, ingeniería de detección y modelado de amenazas.

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Skill de análisis de PowerShell Script Block Logging para parsear el Event ID 4104 de Windows PowerShell Script Block Logging desde archivos EVTX, reconstruir bloques de script fragmentados y detectar comandos ofuscados, cargas codificadas, abuso de Invoke-Expression, download cradles e intentos de bypass de AMSI para trabajos de auditoría de seguridad.

La skill de análisis de persistencia en Linux ayuda a investigar la persistencia en Linux después de una intrusión, incluidos trabajos de crontab, unidades systemd, abuso de LD_PRELOAD, cambios en perfiles de shell y puertas traseras en SSH authorized_keys. Está pensada para flujos de trabajo de respuesta a incidentes, threat hunting y auditoría de seguridad con auditd y comprobaciones de integridad de archivos.

analyzing-mft-for-deleted-file-recovery ayuda a recuperar metadatos de archivos borrados y posibles indicios de ruta o contenido mediante el análisis de registros NTFS $MFT, $LogFile, $UsnJrnl y del espacio slack del MFT. Está pensado para flujos de trabajo de DFIR y auditoría de seguridad con MFTECmd, analyzeMFT y X-Ways Forensics.