作成者 mukul975
IOCの抽出、URL・IP・ドメイン・メールアドレス・ハッシュの無害化、さらにSTIX 2.1への変換とTAXIIまたはMISP経由での共有までを行う building-ioc-defanging-and-sharing-pipeline skill。セキュリティ監査や脅威インテリジェンスのワークフローに適しています。
作成者 mukul975
building-incident-timeline-with-timesketch は、Plaso、CSV、JSONL の証拠を取り込み、タイムスタンプを正規化し、イベントを相関付け、攻撃チェーンを記録することで、DFIR チームが Timesketch 上で共同編集可能なインシデントタイムラインを構築するのを支援します。インシデントのトリアージやレポート作成に向いた、実務的なタイムライン分析ワークフローです。
作成者 mukul975
detecting-mobile-malware-behavior スキルは、権限の乱用、実行時の挙動、ネットワーク指標、マルウェア的なパターンを手がかりに、Android と iOS の不審なアプリを分析します。トリアージ、インシデント対応、Security Audit ワークフローでの detecting-mobile-malware-behavior に活用でき、証拠に基づくモバイル分析に役立ちます。
作成者 mukul975
detecting-business-email-compromise スキルは、メールヘッダーの確認、ソーシャルエンジニアリングの兆候、検知ロジック、インシデント対応向けワークフローを通じて、アナリスト、SOCチーム、インシデントレスポンダーがBECの試みを見極めるのを支援します。トリアージ、検証、封じ込めに使える実践的な detecting-business-email-compromise ガイドとして活用してください。
作成者 mukul975
detecting-beaconing-patterns-with-zeek は、Zeek の `conn.log` の間隔を分析して C2 型のビーコニングを検知するための skill です。ZAT を利用し、フローを送信元・送信先・ポートごとにグループ化したうえで、低ジッターのパターンを統計的に評価します。SOC、脅威ハンティング、インシデント対応、Security Audit のワークフローにおける detecting-beaconing-patterns-with-zeek に適しています。
作成者 mukul975
analyzing-supply-chain-malware-artifacts は、改ざんされたアップデート、汚染された依存関係、ビルドパイプラインの改ざんを追跡するためのマルウェア分析スキルです。信頼済みアーティファクトと不審なアーティファクトを比較し、インジケーターを抽出し、侵害範囲を評価し、推測を減らしながら調査結果を報告するのに役立ちます。
作成者 mukul975
analyzing-ransomware-network-indicators は、Zeek の conn.log と NetFlow を分析して、C2 のビーコン通信、TOR 終端、持ち出し、疑わしい DNS を特定し、セキュリティ監査やインシデント対応に役立ちます。
作成者 mukul975
analyzing-ransomware-payment-wallets は、ランサムウェアの支払い先ウォレットを追跡し、資金の流れをたどり、関連アドレスをクラスター化して Security Audit やインシデント対応に役立てるための、読み取り専用のブロックチェーン・フォレンジック skill です。BTC アドレス、tx hash、または疑わしいウォレットがあり、根拠に基づく attribution 支援が必要なときに使います。
作成者 mukul975
analyzing-ransomware-leak-site-intelligence は、ransomware のデータリークサイトを監視し、被害者や攻撃グループのシグナルを抽出して、インシデント対応、業界リスクの見直し、攻撃者追跡に使える構造化された脅威インテリジェンスを作成します。
作成者 mukul975
analyzing-cloud-storage-access-patterns は、AWS S3、GCS、Azure Blob Storage における疑わしいクラウドストレージアクセスの検知を支援するスキルです。監査ログを分析し、大量ダウンロード、新しい送信元IP、通常とは異なるAPI呼び出し、バケット列挙、勤務時間外アクセス、ベースラインと異常検知に基づく持ち出しの可能性を洗い出します。
作成者 mukul975
hunting-advanced-persistent-threats は、エンドポイント、ネットワーク、メモリの各テレメトリを横断して APT 風の活動を検知するための脅威ハンティング skill です。仮説駆動のハントを組み立て、調査結果を MITRE ATT&CK に対応付け、脅威インテリジェンスを場当たり的な検索ではなく、実用的なクエリと調査手順に落とし込むのに役立ちます。
作成者 mukul975
generating-threat-intelligence-reports は、分析済みのサイバー情報を、経営層、SOC チーム、IR リード、アナリスト向けの戦略的・運用的・戦術的・速報型の脅威インテリジェンスレポートに変換するスキルです。完成インテリジェンス、確度を示す表現、TLP の扱い、レポート作成に役立つ明確な提言をサポートします。
作成者 mukul975
マルウェア分析向けの extracting-iocs-from-malware-samples スキルガイドです。サンプルからハッシュ、IP、ドメイン、URL、ホスト上の痕跡、検証の手がかりを抽出し、脅威インテリジェンスや検知に活用できます。
作成者 mukul975
evaluating-threat-intelligence-platforms は、フィード取り込み、STIX/TAXII 対応、自動化、アナリストの作業フロー、各種連携、そして総保有コストの観点から TIP 製品を比較するのに役立ちます。調達、移行、成熟度評価のためにこの evaluating-threat-intelligence-platforms ガイドを活用してください。プラットフォーム選定がトレーサビリティや証跡共有に影響する Threat Modeling の場面でも使えます。
作成者 mukul975
detecting-privilege-escalation-attempts は、Windows と Linux における権限昇格の追跡を支援します。トークン操作、UAC バイパス、引用符なしのサービスパス、カーネルエクスプロイト、sudo/doas の不正利用までカバー。実践的なワークフロー、参考クエリ、補助スクリプトを求める脅威ハンティングチーム向けに設計されています。
作成者 mukul975
Security Audit、脅威ハンティング、インシデント対応向けの detecting-living-off-the-land-attacks スキルです。certutil、mshta、rundll32、regsvr32 などの正規 Windows バイナリの悪用を、プロセス生成、コマンドライン、親子関係のテレメトリから検知します。広範な Windows ハードニングではなく、実際に使える LOLBin 検知パターンに焦点を当てたガイドです。
作成者 mukul975
detecting-kerberoasting-attacks skill は、Kerberos の TGS リクエストの不審な挙動、弱いチケット暗号化、サービスアカウントのパターンを手がかりに、Kerberoasting の調査を支援します。SIEM、EDR、EVTX、そして Threat Modeling のワークフローで使えるよう、実践的な検知テンプレートとチューニング指針を備えています。
作成者 mukul975
detecting-insider-threat-with-ueba は、Elasticsearch または OpenSearch で UEBA の検知を構築するのに役立ちます。行動ベースライン、異常スコアリング、ピアグループ分析、データ持ち出し・権限の悪用・不正アクセスに対する相関アラートまでを含み、インシデント対応ワークフローでの内部脅威検知に適しています。
作成者 mukul975
detecting-insider-threat-behaviors は、通常と異なるデータアクセス、時間外の活動、一括ダウンロード、権限の悪用、退職前後の不正持ち出しなど、インサイダーリスクの兆候を追跡するのに役立ちます。脅威ハンティング、UEBA 風のトリアージ、脅威モデリングに使えるこの detecting-insider-threat-behaviors ガイドには、ワークフローテンプレート、SIEM のクエリ例、リスク重み付けが含まれています。
作成者 mukul975
detecting-email-account-compromise は、Microsoft 365 と Google Workspace のメールボックス乗っ取り調査を支援するスキルです。不審なサインイン、受信トレイルールの悪用、外部転送、OAuth 承認、Graph/監査ログのアクティビティを確認し、インシデント対応担当者や SOC アナリストの初動調査を助けます。素早いトリアージのための practical な detecting-email-account-compromise ガイドとして活用できます。
作成者 mukul975
detecting-dll-sideloading-attacks は、Security Audit、脅威ハンティング、インシデント対応チームが Sysmon、EDR、MDE、Splunk を使って DLL サイドローディングを検知するのに役立ちます。この detecting-dll-sideloading-attacks ガイドには、ワークフローノート、ハント用テンプレート、標準マッピング、そして疑わしい DLL 読み込みを再現可能な検知へつなげるためのスクリプトが含まれています。
作成者 mukul975
detecting-credential-dumping-techniques スキルは、Sysmon のイベント ID 10、Windows のセキュリティログ、SIEM の相関ルールを使って、LSASS へのアクセス、SAM のエクスポート、NTDS.dit の窃取、comsvcs.dll を使った MiniDump の悪用を検知するのに役立ちます。脅威ハンティング、検知エンジニアリング、Security Audit のワークフロー向けに設計されています。
作成者 mukul975
detecting-command-and-control-over-dns は、DNS経由のC2を検知するサイバーセキュリティ向けskillです。トンネリング、ビーコン通信、DGAドメイン、TXT/CNAMEの悪用までカバーし、SOCアナリスト、脅威ハンター、セキュリティ監査で使いやすいように、エントロピー検査、passive DNS の相関、Zeek や Suricata 風の検知ワークフローを支援します。
作成者 mukul975
NLP、文体解析、行動シグナル、関係性コンテキストを使って、AIでビジネスメール詐欺(BEC)を検知します。この detecting-business-email-compromise-with-ai skill は、SOC、不正対策、Security Audit チームが疑わしいメールをスコアリングし、リスクシグナルを説明し、隔離・警告・エスカレーションの判断を下すのに役立ちます。
