Threat Intelligence

analyzing-campaign-attribution-evidence aide les analystes à évaluer le chevauchement d’infrastructure, la cohérence avec ATT&CK, la similarité des malwares, la chronologie et les indices linguistiques afin d’étayer une attribution de campagne défendable. Utilisez ce guide analyzing-campaign-attribution-evidence pour les revues CTI, l’analyse d’incidents et les audits de sécurité.

Skill d’analyse des journaux d’activité Azure pour interroger les journaux d’activité Azure Monitor et les journaux de connexion afin de repérer les actions d’administration suspectes, le déplacement impossible, l’escalade de privilèges et toute altération de ressources. Conçu pour le triage d’incident avec des modèles KQL, un chemin d’exécution et des indications pratiques sur les tables de journaux Azure.

La skill analyzing-apt-group-with-mitre-navigator aide les analystes à cartographier les techniques d’un groupe APT dans des couches MITRE ATT&CK Navigator, afin de réaliser des analyses des lacunes de détection, de la modélisation de menace et des workflows reproductibles de threat intelligence. Elle fournit des conseils pratiques pour la consultation des données ATT&CK, la génération de couches et la comparaison de la couverture des TTP adverses.

detecting-cloud-threats-with-guardduty guide les équipes AWS dans l’activation d’Amazon GuardDuty, l’analyse des findings et la mise en place de réponses automatisées face aux menaces cloud, sur plusieurs comptes et workloads. C’est utile pour l’installation, l’usage et les opérations de deuxième jour de GuardDuty dans l’architecture cloud.

detecting-aws-cloudtrail-anomalies aide à analyser l’activité AWS CloudTrail pour repérer des sources d’API inhabituelles, des actions exécutées pour la première fois, des appels à forte fréquence et des comportements suspects liés à une compromission d’identifiants ou à une élévation de privilèges. Utilisez-le pour une détection structurée des anomalies avec boto3, le baselining et l’analyse des champs d’événements.

La skill de réponse aux incidents de phishing aide à enquêter sur des e-mails suspects, extraire des indicateurs, évaluer l’authentification et recommander les actions de réponse adaptées au phishing. Elle prend en charge les workflows de réponse aux incidents pour le tri des messages, les cas de phishing par vol d’identifiants, la vérification des URL et des pièces jointes, ainsi que la remédiation des boîtes aux lettres. Utilisez-la lorsque vous avez besoin d’un guide structuré plutôt que d’un simple prompt générique.

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

La compétence collecting-threat-intelligence-with-misp vous aide à collecter, normaliser, rechercher et exporter la threat intelligence dans MISP. Utilisez ce guide collecting-threat-intelligence-with-misp pour les flux, les workflows PyMISP, le filtrage d’événements, la réduction des warninglists et des usages concrets de collecting-threat-intelligence-with-misp pour le Threat Modeling et les opérations CTI.

Skill building-threat-intelligence-platform pour concevoir, déployer et évaluer une plateforme de threat intelligence avec MISP, OpenCTI, TheHive, Cortex, STIX/TAXII et Elasticsearch. À utiliser pour les consignes d’installation, les workflows d’utilisation et la planification d’un Security Audit, avec l’appui de références au dépôt et de scripts.

automating-ioc-enrichment aide à automatiser l’enrichissement des IOC avec VirusTotal, AbuseIPDB, Shodan et STIX 2.1 pour les playbooks SOAR, les pipelines Python et l’automatisation des workflows. Utilisez ce skill automating-ioc-enrichment pour standardiser un contexte prêt pour les analystes, réduire le temps de triage et produire des résultats d’enrichissement cohérents et reproductibles.

Analyzing-threat-intelligence-feeds vous aide à ingérer des flux CTI, normaliser des indicateurs, évaluer la qualité des flux et enrichir des IOC pour des workflows STIX 2.1. Ce skill analyzing-threat-intelligence-feeds est conçu pour les opérations de renseignement sur les menaces et l’analyse de données, avec des conseils pratiques pour TAXII, MISP et les flux commerciaux.

La compétence d’analyse des mécanismes de persistance sous Linux aide à enquêter sur la persistance après compromission, notamment les tâches crontab, les unités systemd, les abus de `LD_PRELOAD`, les modifications des profils shell et les backdoors via `authorized_keys` SSH. Elle est conçue pour les workflows de réponse à incident, de threat hunting et d’audit de sécurité, avec `auditd` et des contrôles d’intégrité des fichiers.