Windows

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Guía de configuración de la detección de intrusiones en hosts para montar HIDS con Wazuh, OSSEC o AIDE y supervisar la integridad de archivos, los cambios del sistema y la seguridad de endpoints orientada al cumplimiento en flujos de trabajo de auditoría de seguridad.

Usa la skill windows-vm para crear, administrar y conectarte por SSH a una VM Windows 11 sin interfaz gráfica en Docker con aceleración KVM. Encaja bien para automatización de escritorio, configuración de aplicaciones de Windows y flujos de trabajo de agentes repetibles cuando necesitas un entorno Windows real sin depender del RDP manual.

extracting-windows-event-logs-artifacts te ayuda a extraer, analizar y examinar Windows Event Logs (EVTX) para forense digital, respuesta a incidentes y threat hunting. Permite revisar de forma estructurada inicios de sesión, creación de procesos, instalaciones de servicios, tareas programadas, cambios de privilegios y borrado de registros con Chainsaw, Hayabusa y EvtxECmd.

La skill detecting-wmi-persistence ayuda a analistas de threat hunting y DFIR a detectar la persistencia de suscripciones de eventos WMI en telemetría de Windows usando los Event IDs 19, 20 y 21 de Sysmon. Úsala para identificar actividad maliciosa de EventFilter, EventConsumer y FilterToConsumerBinding, validar hallazgos y distinguir la persistencia de un atacante de la automatización administrativa legítima.

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

analyzing-memory-dumps-with-volatility es una skill de Volatility 3 para forense de memoria, triaje de malware, procesos ocultos, inyección, actividad de red y credenciales en volcados de RAM en Windows, Linux o macOS. Úsala cuando necesites una guía repetible de analyzing-memory-dumps-with-volatility para respuesta a incidentes y análisis de malware.

detecting-lateral-movement-in-network ayuda a detectar movimientos laterales posteriores a una intrusión en redes empresariales usando registros de eventos de Windows, telemetría de Zeek, SMB, RDP y correlación en SIEM. Es útil para threat hunting, respuesta a incidentes y revisiones de Security Audit con flujos de detección prácticos.

Guía de deploying-osquery-for-endpoint-monitoring para desplegar y configurar osquery con visibilidad de endpoints, monitorización de toda la flota e investigación de amenazas basada en SQL. Úsala para planificar la instalación, revisar el flujo de trabajo y las referencias de API, y poner en marcha consultas programadas, recopilación de logs y revisión centralizada en endpoints Windows, macOS y Linux.

deploying-edr-agent-with-crowdstrike ayuda a planificar, instalar y verificar el despliegue del sensor CrowdStrike Falcon en endpoints Windows, macOS y Linux. Usa esta skill de deploying-edr-agent-with-crowdstrike para guía de instalación, configuración de políticas, integración de telemetría con SIEM y preparación para Incident Response.

Skill de configuración avanzada de Windows Defender para el endurecimiento de Microsoft Defender for Endpoint. Cubre reglas ASR, acceso controlado a carpetas, protección de red, protección contra vulnerabilidades, planificación de despliegue y guía de implementación con enfoque de auditoría primero para ingenieros de seguridad, administradores de TI y flujos de trabajo de auditoría de seguridad.

analyzing-windows-registry-for-artifacts ayuda a analistas a extraer evidencias de los hives del Registro de Windows para identificar actividad de usuarios, software instalado, autoruns, historial USB e indicadores de compromiso en flujos de respuesta a incidentes o auditoría de seguridad.

analyzing-windows-prefetch-with-python analiza archivos Windows Prefetch (.pf) con `windowsprefetch` para reconstruir el historial de ejecución, detectar binarios renombrados o que se hacen pasar por otros y apoyar el triaje de incidentes y el análisis de malware.

La skill de análisis de logs de Windows en Splunk ayuda a analistas SOC a investigar logs de Security, System y Sysmon en Splunk para detectar ataques de autenticación, escalada de privilegios, persistencia y movimiento lateral. Úsala para triage de incidentes, ingeniería de detecciones y análisis de líneas de tiempo con patrones SPL mapeados y guía de Event ID.

La skill analyzing-windows-amcache-artifacts analiza datos de Windows Amcache.hve para recuperar evidencias de ejecución de programas, software instalado, actividad de dispositivos y carga de controladores en flujos de trabajo de DFIR y auditoría de seguridad. Utiliza AmcacheParser y guías basadas en regipy para facilitar la extracción de artefactos, la correlación de SHA-1 y la revisión de líneas de tiempo.

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Skill de análisis de PowerShell Script Block Logging para parsear el Event ID 4104 de Windows PowerShell Script Block Logging desde archivos EVTX, reconstruir bloques de script fragmentados y detectar comandos ofuscados, cargas codificadas, abuso de Invoke-Expression, download cradles e intentos de bypass de AMSI para trabajos de auditoría de seguridad.

La skill winui-app te ayuda a arrancar, crear y solucionar problemas de aplicaciones de escritorio WinUI 3 con C# y Windows App SDK. Úsala para comprobar si el entorno está listo, configurar una nueva app, elegir shell y navegación, trabajar con controles XAML, temas, accesibilidad, despliegue y flujos de corrección de arranque para desarrollo frontend.

La skill screenshot ayuda a capturar una pantalla completa, una ventana de una app o una región de píxeles cuando necesitas una imagen a nivel de sistema operativo en lugar de una captura solo del navegador. Úsala para el uso de screenshot en Workflow Automation, con reglas de ubicación de guardado, gestión de permisos en macOS e indicaciones claras de instalación para lograr capturas de escritorio fiables.