analyzing-powershell-script-block-logging

par mukul975

Skill d’analyse du PowerShell Script Block Logging pour parser les événements Windows PowerShell Script Block Logging ID 4104 à partir de fichiers EVTX, reconstruire les blocs de script fragmentés et signaler les commandes obfusquées, les charges utiles encodées, les abus de Invoke-Expression, les download cradles et les tentatives de contournement d’AMSI dans un cadre de Security Audit.

Étoiles0

Favoris0

Commentaires0

Ajouté9 mai 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-powershell-script-block-logging

Score éditorial

Ce skill obtient 78/100, ce qui en fait une option solide pour les utilisateurs du répertoire qui cherchent un workflow ciblé d’analyse PowerShell Script Block Logging. Il est assez précis pour limiter les hésitations par rapport à un prompt générique, avec des cibles d’événements/journaux et des objectifs de détection clairs. En revanche, la décision d’installation doit tenir compte d’un certain manque de finition opérationnelle et de détails d’onboarding.

78/100

Points forts

Le skill est étroitement centré sur l’analyse de l’Event ID 4104 de PowerShell et énonce des objectifs de détection concrets comme l’obfuscation, les commandes encodées, l’abus de IEX, les download cradles et les tentatives de contournement d’AMSI.
Il fournit des indices de workflow utiles : parsing EVTX avec python-evtx, reconstruction de blocs de script fragmentés et documentation de référence sur la structure XML et les patterns de détection.
Le script et les docs de référence montrent un vrai support d’implémentation, plutôt qu’un simple skill de façade.

Points de vigilance

Aucune commande d’installation n’est fournie dans SKILL.md, donc les utilisateurs devront peut-être déduire les étapes de mise en place et les dépendances à partir des instructions et du script.
Les éléments du dépôt montrent un niveau limité de divulgation progressive et peu de contraintes ; pour une automatisation SOC plus large ou une analyse de journaux hors Windows, il faudra peut-être l’adapter.

Powershell Windows Logs Forensics Incident Response Threat Hunting Security Malware Analysis

Vue d’ensemble

Présentation générale de la compétence d’analyse du Script Block Logging PowerShell

Ce que fait cette compétence

La compétence analyzing-powershell-script-block-logging vous aide à analyser les événements Windows PowerShell Script Block Logging (Event ID 4104) à partir de fichiers EVTX, à reconstruire les blocs de script fragmentés et à repérer les schémas malveillants courants comme -EncodedCommand, Invoke-Expression, les download cradles, les tentatives de contournement d’AMSI et d’autres techniques de type living-off-the-land.

À qui elle s’adresse

C’est un excellent choix pour les analystes SOC, les threat hunters, les praticiens DFIR et toute personne qui réalise un Security Audit des postes Windows ou des journaux serveurs. Si vous avez besoin d’une méthode répétable pour examiner l’activité PowerShell à partir de la télémétrie plutôt que de deviner à partir d’une seule ligne de commande, cette compétence est utile.

Ce qui la distingue

La compétence analyzing-powershell-script-block-logging n’est pas un simple prompt générique pour « inspecter des logs ». Elle est construite autour de la structure de l’Event 4104, de la reconstruction multi-parties et d’heuristiques orientées détection issues du script et des matériaux de référence du repo. Cela la rend plus exploitable pour le triage d’incident qu’un prompt large d’analyse PowerShell.

Comment utiliser la compétence analyzing-powershell-script-block-logging

Installer et repérer les fichiers clés

Installez avec :

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-powershell-script-block-logging

Pour aller le plus vite possible, commencez par lire skills/analyzing-powershell-script-block-logging/SKILL.md, puis references/api-reference.md, puis scripts/agent.py. Ces trois fichiers montrent la structure attendue des journaux, l’approche de parsing et la logique de détection.

Fournir les bons éléments d’entrée

Cette compétence fonctionne mieux si vous fournissez : la source EVTX, le contexte de l’incident, la fenêtre temporelle et ce que vous cherchez à décider. Une demande faible serait : « analyse ce journal ». Un prompt plus solide serait : « utilise analyzing-powershell-script-block-logging sur Microsoft-Windows-PowerShell%4Operational.evtx de 2024-01-15 10:00–11:00 UTC et identifie toutes les entrées Event ID 4104 présentant de l’obfuscation, des payloads encodés ou un comportement de downloader ».

Adopter un workflow aligné sur le repo

Commencez par confirmer la présence de l’Event 4104, puis reconstruisez les groupes multi-parties ScriptBlockId, ensuite examinez les schémas suspects et rattachez les résultats au ScriptBlockText d’origine. Si vous utilisez analyzing-powershell-script-block-logging dans un workflow de Security Audit, demandez à la fois les détections et les angles morts : ce qui a été signalé, ce qui ne l’a pas été, et quelles commandes nécessitent une revue manuelle.

Lire les documents de référence dans le bon ordre

references/api-reference.md est le meilleur point de départ pour comprendre les noms de champs comme ScriptBlockText, ScriptBlockId, MessageNumber et MessageTotal. scripts/agent.py est utile pour voir l’ensemble réel des patterns, la logique de confiance et les comportements PowerShell que la compétence considère comme à haut risque.

FAQ sur la compétence analyzing-powershell-script-block-logging

Est-ce réservé à la réponse à incident ?

Non. Elle convient aussi aux travaux de durcissement de base, d’ingénierie de détection et de validation des contrôles. Si votre objectif est de comprendre comment la télémétrie PowerShell soutient la détection, le guide analyzing-powershell-script-block-logging peut rester utile même en l’absence d’incident actif.

Peut-on l’utiliser comme un prompt normal plutôt que comme une compétence ?

Oui, mais vous obtiendrez en général des résultats moins cohérents. La compétence vous donne une démarche structurée pour parser les données Event 4104, reconstruire les blocs séparés et vérifier les patterns suspects connus, ce qui est plus fiable que de demander à un modèle général de « chercher du PowerShell malveillant ».

Quelles sont les principales limites ?

Cela dépend du fait que le Script Block Logging soit activé et que le fichier EVTX contienne les événements pertinents. C’est aussi une approche orientée détection, donc des scripts d’administration légitimes mais atypiques peuvent remonter et nécessiter le jugement de l’analyste.

Est-ce adapté aux débutants ?

Oui, si vous connaissez les bases de la journalisation Windows et que vous pouvez fournir un fichier journal ou un scénario précis. C’est moins adapté si vous ne savez pas d’où vient le journal PowerShell Operational ou si vous ne pouvez pas confirmer que l’Event 4104 a bien été collecté.

Comment améliorer la compétence analyzing-powershell-script-block-logging

Fournir le contexte qui change vraiment l’analyse

Le principal gain de qualité vient de l’ajout du rôle de l’hôte, du contexte utilisateur et de la fenêtre temporelle exacte. « Contrôleur de domaine, compte admin, 14:20–14:40 UTC, triage post-phishing » est bien plus utile qu’un simple chemin EVTX brut.

Demander à la fois les résultats et la reconstruction

Pour un meilleur usage de analyzing-powershell-script-block-logging, demandez explicitement les scripts reconstruits, les indicateurs suspects et une brève justification pour chaque détection. Cela force la sortie à recoller les fragments pour former une histoire PowerShell complète au lieu d’énumérer des signaux isolés.

Surveiller les modes d’échec courants

Les oublis les plus fréquents sont les blocs de script tronqués, les payloads séparés non réassemblés dans le bon ordre et le classement trop affirmatif d’automatisations bénignes comme malveillantes. Si le premier résultat paraît maigre, demandez à la compétence de revérifier l’ordre de MessageNumber, de comparer les valeurs répétées de ScriptBlockId et de distinguer « suspect » de « confirmé ».

Itérer avec des questions de suivi ciblées

Un bon prompt de second passage serait : « Reclasse les événements 4104 par probabilité d’usage malveillant, explique quelles détections ont été déclenchées par -EncodedCommand, FromBase64String ou des comportements de downloader, et signale les scripts d’admin bénins qui leur ressemblent. » Ce type d’itération rend la compétence analyzing-powershell-script-block-logging plus utile pour les décisions de Security Audit et accélère la revue par l’analyste.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

security-threat-model

par openai

Compétence security-threat-model ancrée dans le dépôt pour la modélisation des menaces AppSec. Elle cartographie les frontières de confiance, les actifs, les objectifs des attaquants, les chemins d’abus et les mesures de mitigation dans un modèle de menaces Markdown concis. À utiliser lorsque vous avez besoin de security-threat-model pour une Threat Modeling sur un dépôt ou un chemin précis, et non d’une revue d’architecture générique ou d’une vérification de code.

Threat Modeling

Favoris 0GitHub 0

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

azure-ai-contentsafety-ts

par microsoft

azure-ai-contentsafety-ts aide à analyser du texte et des images à la recherche de contenu préjudiciable avec Azure AI Content Safety en TypeScript. Utilisez ce skill pour des workflows de modération, des blocklists et des contrôles d’audit de sécurité sur les contenus haineux, violents, sexuels et liés à l’automutilation. Il couvre aussi la configuration du point de terminaison Azure et de l’authentification.

Security Audit

Favoris 0GitHub 2.3k

sharp-edges

par trailofbits

La skill sharp-edges vous aide à repérer les API, configurations et interfaces où la voie la plus simple conduit à un usage non sécurisé. Utilisez-la pour examiner les flux d’authentification, les enveloppes cryptographiques, les valeurs par défaut risquées, les sémantiques null ou zéro, ainsi que les choix de conception propices aux erreurs d’utilisation. Elle convient très bien aux travaux de sharp-edges pour l’audit de sécurité lorsqu’il faut des cas concrets de pièges de conception, et non de vagues suppositions de sécurité.

Security Audit

Favoris 0GitHub 5k

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

par mukul975

La skill d’exploitation du stockage de données non sécurisé sur mobile aide à évaluer et à extraire des preuves à partir d’un stockage local vulnérable dans les apps Android et iOS. Elle couvre SharedPreferences, les bases de données SQLite, les fichiers plist, les fichiers lisibles par tous, l’exposition via les sauvegardes et la gestion faible des clés dans le keychain/keystore, pour des workflows de pentest mobile et d’audit de sécurité.

Security Audit

Favoris 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

par mukul975

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

Security Audit

Favoris 0GitHub 6.2k

building-incident-response-playbook

par mukul975

building-incident-response-playbook aide les équipes sécurité à créer des playbooks de réponse aux incidents réutilisables, avec des phases pas à pas, des arbres de décision, des critères d’escalade, une répartition des responsabilités en RACI et une structure prête pour le SOAR. Il est conçu pour la documentation des procédures de réponse aux incidents, les workflows de triage des incidents et les plans de réponse opérationnels adaptés aux audits.

Incident Triage

Favoris 0GitHub 6.1k

building-patch-tuesday-response-process

par mukul975

building-patch-tuesday-response-process aide les équipes à mettre en place un processus Microsoft Patch Tuesday reproductible pour trier les avis, hiérarchiser les risques, tester les correctifs, valider le déploiement et suivre la conformité. Idéal pour les opérations de sécurité, la gestion des vulnérabilités et le pilotage de projet autour de building-patch-tuesday-response-process.

Project Management

Favoris 0GitHub 6.1k

ossfuzz

par trailofbits

Découvrez le skill ossfuzz pour configurer le fuzzing continu, inscrire un projet, planifier un harness et passer en revue le workflow de build. Ce guide aide les ingénieurs sécurité et les mainteneurs à évaluer la maturité du projet, repérer les blocages de compilation et préparer une trajectoire concrète, de l’arborescence source vers OSS-Fuzz ou une infrastructure de fuzzing privée.

Security Audit

Favoris 0GitHub 5k

codeql

par trailofbits

Le skill codeql vous aide à exécuter CodeQL avec moins d’angles morts lors d’un audit de sécurité. Il met l’accent sur la qualité de la base de données, le choix des suites, les extensions de données et la revue SARIF, afin de rendre l’usage de codeql plus fiable sur les langages pris en charge. Servez-vous-en pour suivre des étapes de guide codeql reproductibles lorsque vous analysez de vrais dépôts.

Security Audit

Favoris 0GitHub 5k

semgrep-rule-creator

par trailofbits

semgrep-rule-creator crée des règles Semgrep de qualité production pour les vulnérabilités de sécurité, les patterns de bugs, les détections de flux de taint et les standards de codage. Utilisez le skill semgrep-rule-creator pour les audits de sécurité lorsque vous avez besoin de règles précises, de cas de test et d’une validation solide plutôt que d’un brouillon générique.

Security Audit

Favoris 0GitHub 5k

insecure-defaults

par trailofbits

La compétence insecure-defaults aide à repérer les configurations de type fail-open qui laissent le logiciel fonctionner avec des paramètres dangereux au lieu de s’arrêter. Utilisez-la pour un audit de sécurité du code de production, des configurations de déploiement et de la logique de gestion des secrets afin de détecter une authentification faible, des secrets codés en dur et des valeurs par défaut trop permissives.

Security Audit

Favoris 0GitHub 5k

constant-time-analysis

par trailofbits

constant-time-analysis est un skill d’audit de sécurité conçu pour repérer les risques de side-channel temporel dans le code cryptographique avant qu’ils ne deviennent des bogues exploitables. Utilisez-le pour examiner les calculs dépendants des secrets, les branches, les comparaisons et le code compilé lors de revues en C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoris 0GitHub 5k

secure-workflow-guide

par trailofbits

secure-workflow-guide guide un workflow de sécurité Solidity en 5 étapes : triage Slither, contrôles spécifiques aux fonctionnalités, inspection visuelle, notes sur les propriétés de sécurité et revue manuelle. Conçu pour les équipes de smart contracts, les auditeurs et les builders qui veulent un guide secure-workflow-guide reproductible avant un déploiement ou une mise en production.

Security Audit

Favoris 0GitHub 4.9k