Threat Intelligence

analyzing-campaign-attribution-evidence ayuda a los analistas a valorar el solapamiento de infraestructura, la coherencia con ATT&CK, la similitud del malware, la temporización y los artefactos lingüísticos para sustentar la atribución de campañas. Usa esta guía de analyzing-campaign-attribution-evidence para revisiones de CTI, análisis de incidentes y Security Audit.

Skill analyzing-azure-activity-logs-for-threats para consultar los registros de actividad y de inicio de sesión de Azure Monitor y detectar acciones administrativas sospechosas, viajes imposibles, escalada de privilegios y manipulación de recursos. Pensado para la triaje de incidentes, con patrones KQL, un flujo de ejecución y orientación práctica sobre tablas de logs de Azure.

analyzing-apt-group-with-mitre-navigator ayuda a los analistas a mapear las técnicas de grupos APT en capas de MITRE ATT&CK Navigator para el análisis de brechas de detección, la modelización de amenazas y flujos de trabajo repetibles de inteligencia sobre amenazas. Incluye orientación práctica para consultar datos de ATT&CK, generar capas y comparar la cobertura de TTP del adversario.

detecting-cloud-threats-with-guardduty guía a los equipos de AWS para habilitar Amazon GuardDuty, revisar hallazgos y crear respuestas automáticas ante amenazas en la nube en distintas cuentas y cargas de trabajo. Es útil para la instalación, el uso y las operaciones posteriores al despliegue de GuardDuty en Cloud Architecture.

detecting-aws-cloudtrail-anomalies ayuda a analizar la actividad de AWS CloudTrail para detectar orígenes de API inusuales, acciones ejecutadas por primera vez, llamadas de alta frecuencia y comportamientos sospechosos vinculados con compromiso de credenciales o escalada de privilegios. Úsalo para una detección estructurada de anomalías con boto3, líneas base y análisis de campos de eventos.

La skill de respuesta a incidentes de phishing ayuda a investigar correos sospechosos, extraer indicadores, evaluar la autenticación y recomendar acciones de respuesta ante phishing. Da soporte a flujos de trabajo de respuesta a incidentes para triaje de mensajes, casos de phishing de credenciales, comprobación de URLs y adjuntos, y remediación del buzón. Úsala cuando necesites una guía estructurada en lugar de un prompt genérico.

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

La skill collecting-threat-intelligence-with-misp te ayuda a recopilar, normalizar, buscar y exportar inteligencia de amenazas en MISP. Usa esta guía de collecting-threat-intelligence-with-misp para feeds, flujos de trabajo con PyMISP, filtrado de eventos, reducción de warninglists y uso práctico de collecting-threat-intelligence-with-misp para Threat Modeling y operaciones de CTI.

Skill building-threat-intelligence-platform para diseñar, desplegar y revisar una plataforma de inteligencia de amenazas con MISP, OpenCTI, TheHive, Cortex, STIX/TAXII y Elasticsearch. Úsala para guías de instalación, flujos de uso y planificación de Security Audit respaldada por referencias del repositorio y scripts.

automating-ioc-enrichment ayuda a automatizar el enriquecimiento de IOC con VirusTotal, AbuseIPDB, Shodan y STIX 2.1 para playbooks de SOAR, pipelines en Python y Workflow Automation. Usa esta skill de automating-ioc-enrichment para estandarizar contexto listo para analistas, reducir el tiempo de triaje y generar salidas de enriquecimiento repetibles.

analyzing-threat-intelligence-feeds te ayuda a ingerir feeds de CTI, normalizar indicadores, evaluar la calidad de los feeds y enriquecer IOCs para flujos de trabajo STIX 2.1. Esta skill de analyzing-threat-intelligence-feeds está pensada para operaciones de inteligencia de amenazas y análisis de datos, con orientación práctica para TAXII, MISP y feeds comerciales.

La skill de análisis de persistencia en Linux ayuda a investigar la persistencia en Linux después de una intrusión, incluidos trabajos de crontab, unidades systemd, abuso de LD_PRELOAD, cambios en perfiles de shell y puertas traseras en SSH authorized_keys. Está pensada para flujos de trabajo de respuesta a incidentes, threat hunting y auditoría de seguridad con auditd y comprobaciones de integridad de archivos.