Incident Response

building-incident-timeline-with-timesketch aide les équipes DFIR à construire des chronologies d’incident collaboratives dans Timesketch en ingérant des preuves Plaso, CSV ou JSONL, en normalisant les horodatages, en corrélant les événements et en documentant les chaînes d’attaque pour le triage et le reporting d’incident.

building-incident-response-playbook aide les équipes sécurité à créer des playbooks de réponse aux incidents réutilisables, avec des phases pas à pas, des arbres de décision, des critères d’escalade, une répartition des responsabilités en RACI et une structure prête pour le SOAR. Il est conçu pour la documentation des procédures de réponse aux incidents, les workflows de triage des incidents et les plans de réponse opérationnels adaptés aux audits.

detecting-beaconing-patterns-with-zeek aide à analyser les intervalles du fichier `conn.log` de Zeek pour détecter un beaconing de type C2. Le skill s’appuie sur ZAT, regroupe les flux par source, destination et port, puis attribue un score aux motifs à faible gigue à l’aide de contrôles statistiques. Il est particulièrement adapté aux équipes SOC, au threat hunting, à la réponse à incident et aux workflows d’audit de sécurité impliquant detecting-beaconing-patterns-with-zeek.

La skill building-phishing-reporting-button-workflow vous aide à concevoir un workflow de bouton de signalement d’hameçonnage qui conserve l’e-mail d’origine, extrait les IOC, classe les signalements et oriente le triage ainsi que les retours pour Microsoft 365 ou des environnements de sécurité e-mail similaires.

analyzing-supply-chain-malware-artifacts est un skill d’analyse malware pour remonter la piste de mises à jour trojanisées, de dépendances empoisonnées et d’altérations de pipeline de build. Utilisez-le pour comparer des artefacts fiables et suspects, extraire des indicateurs de compromission, évaluer l’étendue de l’incident et rédiger des conclusions avec moins d’incertitude.

analyzing-security-logs-with-splunk aide à enquêter sur des événements de sécurité dans Splunk en corrélant des journaux Windows, pare-feu, proxy et authentification dans des chronologies et des éléments de preuve. Ce skill analyzing-security-logs-with-splunk est un guide pratique pour les audits de sécurité, la réponse aux incidents et la chasse aux menaces.

analyzing-ransomware-network-indicators aide à analyser `Zeek conn.log` et `NetFlow` pour repérer le beaconing C2, les sorties TOR, l’exfiltration et les DNS suspects dans le cadre d’un audit de sécurité ou d’une réponse à incident.

analyzing-ransomware-leak-site-intelligence aide à surveiller les sites de fuite de données liés aux ransomwares, à extraire des signaux sur les victimes et les groupes, et à produire une threat intelligence structurée pour la réponse à incident, l’évaluation du risque sectoriel et le suivi des adversaires.

Analysez les logs WAF et d’audit pour détecter des campagnes d’injection SQL avec detecting-sql-injection-via-waf-logs. Conçu pour les workflows d’audit de sécurité et de SOC, il parse les événements ModSecurity, AWS WAF et Cloudflare, classe les motifs UNION SELECT, OR 1=1, SLEEP() et BENCHMARK(), corrèle les sources et produit des conclusions orientées incident.

analyzing-golang-malware-with-ghidra aide les analystes à rétroconcevoir des malwares compilés en Go dans Ghidra, avec des workflows pour la récupération des fonctions, l’extraction des chaînes, les métadonnées de build et la cartographie des dépendances. Le skill analyzing-golang-malware-with-ghidra est utile pour le triage de malware, la réponse à incident et les tâches de Security Audit qui exigent des étapes d’analyse pratiques, spécifiques à Go.

containing-active-breach est une skill de réponse à incident dédiée au confinement d’une compromission en cours. Elle aide à isoler des hôtes, bloquer du trafic suspect, désactiver des comptes compromis et ralentir les mouvements latéraux grâce à un guide structuré contenant-active-breach, avec des références pratiques aux API et aux scripts.

Skill collecting-indicators-of-compromise pour extraire, enrichir, scorer et exporter des IOC à partir de preuves d’incident. À utiliser pour les workflows d’audit de sécurité, le partage de renseignements sur les menaces et la sortie STIX 2.1 lorsque vous avez besoin d’un guide pratique de collecte d’indicateurs de compromission plutôt que d’un prompt générique de réponse à incident.

building-vulnerability-scanning-workflow aide les équipes SOC à concevoir un processus de scan de vulnérabilités reproductible pour la découverte, la priorisation, le suivi de remédiation et le reporting sur l’ensemble des actifs. Il prend en charge les cas d’usage d’audit de sécurité avec orchestration de scanners, hiérarchisation des risques enrichie par les KEV et conseils de workflow au-delà d’un scan ponctuel.

Le skill building-soc-playbook-for-ransomware s’adresse aux équipes SOC qui ont besoin d’un playbook structuré de réponse au ransomware. Il couvre les déclencheurs de détection, le confinement, l’éradication, la reprise et des procédures prêtes pour l’audit, alignées sur NIST SP 800-61 et MITRE ATT&CK. À utiliser pour créer un playbook concret, animer des exercices de simulation et soutenir les audits de sécurité.

Utilisez le skill building-soc-escalation-matrix pour կառուցire une matrice d’escalade SOC structurée avec des niveaux de gravité, des SLA de réponse, des chemins d’escalade et des règles de notification. Il inclut un modèle, le rapprochement avec les standards, des workflows et des scripts pour une utilisation concrète de building-soc-escalation-matrix dans les opérations de sécurité et les travaux d’audit.

building-incident-response-dashboard aide les équipes à créer des tableaux de bord de réponse aux incidents en temps réel dans Splunk, Elastic ou Grafana pour suivre les incidents actifs, l’état du confinement, les actifs touchés, la propagation des IOC et les chronologies de réponse. Utilisez cette compétence building-incident-response-dashboard lorsque vous avez besoin d’un tableau de bord ciblé pour les analystes SOC, les coordinateurs d’incident et la direction.

analyzing-windows-registry-for-artifacts aide les analystes à extraire des preuves à partir des ruches du Registre Windows afin d’identifier l’activité utilisateur, les logiciels installés, les programmes de démarrage automatique, l’historique USB et les indices de compromission pour des workflows de réponse à incident ou d’audit de sécurité.

analyzing-windows-prefetch-with-python analyse les fichiers Windows Prefetch (.pf) avec windowsprefetch pour reconstituer l’historique d’exécution, repérer les binaires renommés ou usurpés, et aider au triage d’incidents ainsi qu’à l’analyse de malwares.

La skill analyzing-windows-amcache-artifacts analyse les données Windows Amcache.hve pour retrouver des indices d’exécution de programmes, de logiciels installés, d’activité des périphériques et de chargement de pilotes dans des workflows DFIR et d’audit de sécurité. Elle s’appuie sur AmcacheParser et des নির্দেশ?

La skill analyzing-threat-actor-ttps-with-mitre-attack aide à cartographier des rapports de menace vers les tactiques, techniques et sous-techniques MITRE ATT&CK, à construire des vues de couverture et à prioriser les lacunes de détection. Elle inclut un modèle de rapport, des références ATT&CK et des scripts pour la recherche de techniques et l’analyse des écarts, ce qui la rend utile pour la CTI, le SOC, l’ingénierie de détection et la modélisation des menaces.

La compétence analyzing-powershell-empire-artifacts aide les équipes de Security Audit à détecter les artefacts PowerShell Empire dans les journaux Windows grâce au Script Block Logging, aux schémas de lanceur Base64, aux IOC des stagers, aux signatures de modules et aux références de détection, pour le triage et la rédaction de règles.

Skill d’analyse du PowerShell Script Block Logging pour parser les événements Windows PowerShell Script Block Logging ID 4104 à partir de fichiers EVTX, reconstruire les blocs de script fragmentés et signaler les commandes obfusquées, les charges utiles encodées, les abus de Invoke-Expression, les download cradles et les tentatives de contournement d’AMSI dans un cadre de Security Audit.

La compétence d’analyse des mécanismes de persistance sous Linux aide à enquêter sur la persistance après compromission, notamment les tâches crontab, les unités systemd, les abus de `LD_PRELOAD`, les modifications des profils shell et les backdoors via `authorized_keys` SSH. Elle est conçue pour les workflows de réponse à incident, de threat hunting et d’audit de sécurité, avec `auditd` et des contrôles d’intégrité des fichiers.

analyzing-mft-for-deleted-file-recovery aide à récupérer les métadonnées de fichiers supprimés et d’éventuels indices de chemin ou de contenu en analysant les enregistrements NTFS $MFT, $LogFile, $UsnJrnl et l’espace slack du MFT. Conçu pour les workflows DFIR et d’audit de sécurité avec MFTECmd, analyzeMFT et X-Ways Forensics.