Incident Triage

llm-trading-agent-security は、ウォレット権限を持つ自律型トレーディングエージェントを安全にするための実践ガイドです。プロンプトインジェクション、支出上限、送信前シミュレーション、サーキットブレーカー、MEVを意識した実行、鍵の分離を扱い、Security Audit における金銭損失リスクの低減に役立ちます。

memory-forensicsスキルで、RAM取得とVolatility 3によるダンプ解析を進めるためのガイドです。導入前の前提、基本的な使い方、アーティファクト抽出、インシデントトリアージまでを、Windows、Linux、macOS、VMメモリを対象に整理しています。

postmortem-writing は、障害やヒヤリハットの振り返りに向けて、タイムライン、根本原因分析、寄与要因、影響範囲、実行可能なフォローアップ項目を含む、責任追及を避けたインシデント事後報告書の作成をチームで進めるためのスキルです。

on-call-handoff-patternsスキルを使って、確実なシフト引き継ぎを行う方法を学べます。インシデントの引き継ぎ内容を整理し、対応中の課題、直近の変更、エスカレーション状況、次のアクションをReliabilityチーム向けに漏れなく共有するのに役立ちます。

incident-runbook-templates は、障害対応や運用 Playbooks 向けに、トリアージ、緩和策、エスカレーション、コミュニケーション、復旧までを明確に整理した構造化インシデント対応 runbook の作成を支援します。

detecting-shadow-it-cloud-usage は、プロキシログ、DNS クエリ、netflow から、無許可の SaaS やクラウド利用を特定するのに役立つ skill です。ドメインを分類し、承認済みリストと照合し、detecting-shadow-it-cloud-usage skill guide の構造化された証跡を使ってセキュリティ監査のワークフローを支援します。

detecting-service-account-abuse は、Windows、AD、SIEM、EDR のテレメトリからサービスアカウントの不正利用を見つけるための脅威ハンティングスキルです。不審な対話型ログオン、権限昇格、横展開、アクセス異常に重点を置き、再現性のある調査を支えるハントテンプレート、イベント ID、ワークフロー参照を備えています。

IOCの抽出、URL・IP・ドメイン・メールアドレス・ハッシュの無害化、さらにSTIX 2.1への変換とTAXIIまたはMISP経由での共有までを行う building-ioc-defanging-and-sharing-pipeline skill。セキュリティ監査や脅威インテリジェンスのワークフローに適しています。

building-incident-timeline-with-timesketch は、Plaso、CSV、JSONL の証拠を取り込み、タイムスタンプを正規化し、イベントを相関付け、攻撃チェーンを記録することで、DFIR チームが Timesketch 上で共同編集可能なインシデントタイムラインを構築するのを支援します。インシデントのトリアージやレポート作成に向いた、実務的なタイムライン分析ワークフローです。

building-incident-response-playbook は、セキュリティチームが再利用可能なインシデント対応プレイブックを作成できるようにする skill です。段階的なフェーズ、判断フロー、エスカレーション基準、RACI による責任分担、SOAR 対応の構成まで備えており、インシデント対応手順のドキュメント化、インシデントトリアージのワークフロー、監査に強い運用対応計画の整理に向いています。

detecting-modbus-protocol-anomalies は、OT/ICS ネットワークにおける不審な Modbus/TCP および Modbus RTU の挙動を検知するのに役立ちます。無効な function code、範囲外の register アクセス、異常な polling 間隔、許可されていない write、壊れた frame などを対象に、Security Audit や根拠に基づくトリアージに有用です。

detecting-business-email-compromise スキルは、メールヘッダーの確認、ソーシャルエンジニアリングの兆候、検知ロジック、インシデント対応向けワークフローを通じて、アナリスト、SOCチーム、インシデントレスポンダーがBECの試みを見極めるのを支援します。トリアージ、検証、封じ込めに使える実践的な detecting-business-email-compromise ガイドとして活用してください。

detecting-beaconing-patterns-with-zeek は、Zeek の `conn.log` の間隔を分析して C2 型のビーコニングを検知するための skill です。ZAT を利用し、フローを送信元・送信先・ポートごとにグループ化したうえで、低ジッターのパターンを統計的に評価します。SOC、脅威ハンティング、インシデント対応、Security Audit のワークフローにおける detecting-beaconing-patterns-with-zeek に適しています。

detecting-azure-service-principal-abuse は、Azure における Microsoft Entra ID のサービス プリンシパルの不審な गतिविधいを検知・調査・記録するのに役立ちます。Security Audit、クラウドインシデント対応、脅威ハンティングで、資格情報の変更、管理者同意の悪用、ロール割り当て、所有権の経路、サインイン異常を確認する用途に向いています。

analyzing-security-logs-with-splunk は、Windows、ファイアウォール、プロキシ、認証ログを時系列と証拠に結び付けながら、Splunk でセキュリティイベントを調査するのに役立ちます。Security Audit、インシデント対応、脅威ハンティングに実用的な analyzing-security-logs-with-splunk のスキルガイドです。

analyzing-ransomware-network-indicators は、Zeek の conn.log と NetFlow を分析して、C2 のビーコン通信、TOR 終端、持ち出し、疑わしい DNS を特定し、セキュリティ監査やインシデント対応に役立ちます。

analyzing-ransomware-leak-site-intelligence は、ransomware のデータリークサイトを監視し、被害者や攻撃グループのシグナルを抽出して、インシデント対応、業界リスクの見直し、攻撃者追跡に使える構造化された脅威インテリジェンスを作成します。

Azure Monitor のアクティビティログとサインインログをクエリして、不審な管理者操作、不可能移動、権限昇格、リソース改ざんを見つけるための analyzing-azure-activity-logs-for-threats スキルです。KQL パターン、実行手順、Azure ログテーブルの実用ガイドを備え、インシデントトリアージ向けに設計されています。

analyzing-apt-group-with-mitre-navigator は、APTグループの技術を MITRE ATT&CK Navigator のレイヤーに落とし込み、検知ギャップ分析、脅威モデリング、再現性のある脅威インテリジェンス運用を行うための skill です。ATT&CK データの参照、レイヤー生成、攻撃者の TTP カバレッジ比較に役立つ実践的なガイダンスを含みます。

eradicating-malware-from-infected-systems は、封じ込め後にマルウェア、バックドア、永続化機構を除去するためのサイバーセキュリティ・インシデント対応スキルです。Windows と Linux のクリーンアップ、認証情報のローテーション、原因根本への対処、検証を進めるためのワークフロー指針、参考ファイル、スクリプトが含まれています。

detecting-sql-injection-via-waf-logs を使って、WAFと監査ログを解析し、SQLインジェクション攻撃キャンペーンを検知します。Security Audit と SOC の運用向けに設計されており、ModSecurity、AWS WAF、Cloudflare のイベントを解析し、UNION SELECT、OR 1=1、SLEEP()、BENCHMARK() のパターンを分類し、発信元を相関させ、インシデント対応につながる調査結果を生成します。

detecting-privilege-escalation-attempts は、Windows と Linux における権限昇格の追跡を支援します。トークン操作、UAC バイパス、引用符なしのサービスパス、カーネルエクスプロイト、sudo/doas の不正利用までカバー。実践的なワークフロー、参考クエリ、補助スクリプトを求める脅威ハンティングチーム向けに設計されています。

detecting-port-scanning-with-fail2ban は、Fail2ban を使ってポートスキャン、SSHブルートフォース、偵察行為を検知し、疑わしいIPをBANしてセキュリティチームへ通知するための設定を支援します。Security Audit のワークフローで、ハードニングと detecting-port-scanning-with-fail2ban に適したスキルであり、ログ、jail、フィルター、安全なチューニングを実務的に扱えます。

detecting-pass-the-ticket-attacks は、Windows の Security Event ID 4768、4769、4771 を相関させて Kerberos の Pass-the-Ticket 活動を検知するための skill です。Splunk や Elastic での脅威ハンティングに使えば、チケットの再利用、RC4 へのダウングレード、異常な TGS ボリュームを、実用的なクエリとフィールドの指針つきで見つけやすくなります。