Incident Triage

llm-trading-agent-security est un guide pratique pour sécuriser des agents de trading autonomes disposant d’une autorité sur un wallet. Il couvre l’injection de prompts, les limites de dépense, la simulation avant envoi, les coupe-circuits, l’exécution sensible au MEV et l’isolation des clés afin de réduire le risque de perte financière dans un audit de sécurité.

La skill memory-forensics sert à la capture de RAM et à l’analyse de dumps avec Volatility 3. Elle couvre le contexte d’installation, les workflows d’utilisation, l’extraction d’artefacts et le triage d’incident sur Windows, Linux, macOS et la mémoire de machines virtuelles.

postmortem-writing aide les équipes à rédiger des postmortems d’incident sans recherche de coupable, avec chronologie, analyse des causes racines, facteurs contributifs, impact et actions de suivi concrètes après une panne ou un quasi-incident.

Découvrez la compétence on-call-handoff-patterns pour fiabiliser les relais entre astreintes. Utilisez-la pour structurer les passations d’incident, consigner les problèmes en cours, les changements récents, l’état des escalades et les prochaines actions des équipes Reliability.

incident-runbook-templates aide les équipes à créer des runbooks structurés de réponse aux incidents, avec des étapes claires de triage, d’atténuation, d’escalade, de communication et de rétablissement pour les pannes et les playbooks opérationnels.

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

Compétence building-ioc-defanging-and-sharing-pipeline pour extraire des IOC, neutraliser les URL, IP, domaines, e-mails et hachages, puis les convertir et les partager en STIX 2.1 via TAXII ou MISP pour les workflows d’audit de sécurité et de threat intelligence.

building-incident-timeline-with-timesketch aide les équipes DFIR à construire des chronologies d’incident collaboratives dans Timesketch en ingérant des preuves Plaso, CSV ou JSONL, en normalisant les horodatages, en corrélant les événements et en documentant les chaînes d’attaque pour le triage et le reporting d’incident.

building-incident-response-playbook aide les équipes sécurité à créer des playbooks de réponse aux incidents réutilisables, avec des phases pas à pas, des arbres de décision, des critères d’escalade, une répartition des responsabilités en RACI et une structure prête pour le SOAR. Il est conçu pour la documentation des procédures de réponse aux incidents, les workflows de triage des incidents et les plans de réponse opérationnels adaptés aux audits.

detecting-modbus-protocol-anomalies aide à détecter les comportements suspects Modbus/TCP et Modbus RTU dans les réseaux OT et ICS, notamment les codes de fonction invalides, les accès aux registres hors plage, les cadences d’interrogation anormales, les écritures non autorisées et les trames malformées. Utile pour un audit de sécurité et un triage fondé sur des preuves.

Le skill detecting-business-email-compromise aide les analystes, les équipes SOC et les intervenants en gestion d’incident à identifier les tentatives de BEC grâce à des vérifications des en-têtes d’e-mail, des indices d’ingénierie sociale, une logique de détection et des workflows orientés réponse. Utilisez-le comme guide pratique detecting-business-email-compromise pour le triage, la validation et le confinement.

detecting-beaconing-patterns-with-zeek aide à analyser les intervalles du fichier `conn.log` de Zeek pour détecter un beaconing de type C2. Le skill s’appuie sur ZAT, regroupe les flux par source, destination et port, puis attribue un score aux motifs à faible gigue à l’aide de contrôles statistiques. Il est particulièrement adapté aux équipes SOC, au threat hunting, à la réponse à incident et aux workflows d’audit de sécurité impliquant detecting-beaconing-patterns-with-zeek.

detecting-azure-service-principal-abuse aide à détecter, enquêter et documenter les activités suspectes des principaux de service Microsoft Entra ID dans Azure. Utilisez-la pour les audits de sécurité, la réponse aux incidents cloud et la threat hunting afin d’examiner les changements d’identifiants, les abus de consentement administrateur, les affectations de rôles, les chemins de propriété et les anomalies de connexion.

analyzing-security-logs-with-splunk aide à enquêter sur des événements de sécurité dans Splunk en corrélant des journaux Windows, pare-feu, proxy et authentification dans des chronologies et des éléments de preuve. Ce skill analyzing-security-logs-with-splunk est un guide pratique pour les audits de sécurité, la réponse aux incidents et la chasse aux menaces.

analyzing-ransomware-network-indicators aide à analyser `Zeek conn.log` et `NetFlow` pour repérer le beaconing C2, les sorties TOR, l’exfiltration et les DNS suspects dans le cadre d’un audit de sécurité ou d’une réponse à incident.

analyzing-ransomware-leak-site-intelligence aide à surveiller les sites de fuite de données liés aux ransomwares, à extraire des signaux sur les victimes et les groupes, et à produire une threat intelligence structurée pour la réponse à incident, l’évaluation du risque sectoriel et le suivi des adversaires.

Skill d’analyse des journaux d’activité Azure pour interroger les journaux d’activité Azure Monitor et les journaux de connexion afin de repérer les actions d’administration suspectes, le déplacement impossible, l’escalade de privilèges et toute altération de ressources. Conçu pour le triage d’incident avec des modèles KQL, un chemin d’exécution et des indications pratiques sur les tables de journaux Azure.

La skill analyzing-apt-group-with-mitre-navigator aide les analystes à cartographier les techniques d’un groupe APT dans des couches MITRE ATT&CK Navigator, afin de réaliser des analyses des lacunes de détection, de la modélisation de menace et des workflows reproductibles de threat intelligence. Elle fournit des conseils pratiques pour la consultation des données ATT&CK, la génération de couches et la comparaison de la couverture des TTP adverses.

eradicating-malware-from-infected-systems est une compétence de réponse à incident en cybersécurité destinée à supprimer les malwares, les portes dérobées et les mécanismes de persistance après confinement. Elle fournit des indications de workflow, des fichiers de référence et des scripts pour le nettoyage sous Windows et Linux, la rotation des identifiants, la remédiation des causes racines et la validation.

Analysez les logs WAF et d’audit pour détecter des campagnes d’injection SQL avec detecting-sql-injection-via-waf-logs. Conçu pour les workflows d’audit de sécurité et de SOC, il parse les événements ModSecurity, AWS WAF et Cloudflare, classe les motifs UNION SELECT, OR 1=1, SLEEP() et BENCHMARK(), corrèle les sources et produit des conclusions orientées incident.

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

detecting-port-scanning-with-fail2ban aide à configurer Fail2ban pour détecter les scans de ports, les tentatives de brute force SSH et les activités de reconnaissance, puis à bannir les IP suspectes et à alerter les équipes sécurité. Cette compétence convient aux workflows de durcissement et d’audit de sécurité autour de detecting-port-scanning-with-fail2ban, avec des নির্দেশনা pratiques sur les logs, les jails, les filtres et le réglage en toute sécurité.

detecting-pass-the-ticket-attacks aide à détecter les activités Kerberos Pass-the-Ticket en corrélant les identifiants d’événements Windows Security 4768, 4769 et 4771. Utilisez-le pour la threat hunting dans Splunk ou Elastic afin d’identifier la réutilisation de tickets, les rétrogradations vers RC4 et des volumes TGS inhabituels, avec des requêtes pratiques et des indications sur les champs.