Incident Response

building-incident-timeline-with-timesketch は、Plaso、CSV、JSONL の証拠を取り込み、タイムスタンプを正規化し、イベントを相関付け、攻撃チェーンを記録することで、DFIR チームが Timesketch 上で共同編集可能なインシデントタイムラインを構築するのを支援します。インシデントのトリアージやレポート作成に向いた、実務的なタイムライン分析ワークフローです。

building-incident-response-playbook は、セキュリティチームが再利用可能なインシデント対応プレイブックを作成できるようにする skill です。段階的なフェーズ、判断フロー、エスカレーション基準、RACI による責任分担、SOAR 対応の構成まで備えており、インシデント対応手順のドキュメント化、インシデントトリアージのワークフロー、監査に強い運用対応計画の整理に向いています。

detecting-beaconing-patterns-with-zeek は、Zeek の `conn.log` の間隔を分析して C2 型のビーコニングを検知するための skill です。ZAT を利用し、フローを送信元・送信先・ポートごとにグループ化したうえで、低ジッターのパターンを統計的に評価します。SOC、脅威ハンティング、インシデント対応、Security Audit のワークフローにおける detecting-beaconing-patterns-with-zeek に適しています。

building-phishing-reporting-button-workflow skill は、元のメールを保持しつつ IOC を抽出し、レポートを分類し、Microsoft 365 や類似のメールセキュリティ環境向けにトリアージとフィードバックを振り分ける phishing 報告ボタンのワークフローを設計するのに役立ちます。

analyzing-supply-chain-malware-artifacts は、改ざんされたアップデート、汚染された依存関係、ビルドパイプラインの改ざんを追跡するためのマルウェア分析スキルです。信頼済みアーティファクトと不審なアーティファクトを比較し、インジケーターを抽出し、侵害範囲を評価し、推測を減らしながら調査結果を報告するのに役立ちます。

analyzing-security-logs-with-splunk は、Windows、ファイアウォール、プロキシ、認証ログを時系列と証拠に結び付けながら、Splunk でセキュリティイベントを調査するのに役立ちます。Security Audit、インシデント対応、脅威ハンティングに実用的な analyzing-security-logs-with-splunk のスキルガイドです。

analyzing-ransomware-network-indicators は、Zeek の conn.log と NetFlow を分析して、C2 のビーコン通信、TOR 終端、持ち出し、疑わしい DNS を特定し、セキュリティ監査やインシデント対応に役立ちます。

analyzing-ransomware-leak-site-intelligence は、ransomware のデータリークサイトを監視し、被害者や攻撃グループのシグナルを抽出して、インシデント対応、業界リスクの見直し、攻撃者追跡に使える構造化された脅威インテリジェンスを作成します。

detecting-sql-injection-via-waf-logs を使って、WAFと監査ログを解析し、SQLインジェクション攻撃キャンペーンを検知します。Security Audit と SOC の運用向けに設計されており、ModSecurity、AWS WAF、Cloudflare のイベントを解析し、UNION SELECT、OR 1=1、SLEEP()、BENCHMARK() のパターンを分類し、発信元を相関させ、インシデント対応につながる調査結果を生成します。

analyzing-golang-malware-with-ghidra は、Ghidra を使って Go でコンパイルされたマルウェアをリバースエンジニアリングする際の支援 skill です。関数の復元、文字列抽出、ビルドメタデータの確認、依存関係のマッピングまで、Go 特有の手順を実務向けに整理しています。マルウェアの一次判定、インシデント対応、Security Audit など、実践的な Go 解析手順が必要な場面で役立ちます。

containing-active-breach は、進行中の侵害を封じ込めるためのインシデント対応スキルです。ホストの隔離、不審な通信の遮断、侵害されたアカウントの無効化、横展開の抑止を、実用的な API やスクリプト参照を含む構造化された containing-active-breach ガイドに沿って支援します。

インシデント証跡からIOCを抽出・拡充・採点・エクスポートするためのcollecting-indicators-of-compromiseスキルです。Security Auditのワークフロー、脅威インテリジェンス共有、STIX 2.1出力が必要な場面で、一般的なインシデント対応プロンプトではなく、実務向けのcollecting-indicators-of-compromiseガイドを求めるときに役立ちます。

building-vulnerability-scanning-workflow は、SOCチームが資産全体に対して、発見、優先順位付け、修復状況の追跡、レポート作成までを再現可能な脆弱性スキャンプロセスとして設計するのを支援します。単発のスキャンにとどまらず、スキャナーの連携制御、CISA KEVを踏まえたリスク順位付け、運用に落とし込めるワークフロー指針を提供し、Security Audit の用途に対応します。

SOCチーム向けの building-soc-playbook-for-ransomware スキル。ランサムウェア対応を体系的に進めるためのプレイブック作成に役立ちます。検知トリガー、封じ込め、駆除、復旧、監査対応までを網羅し、NIST SP 800-61 と MITRE ATT&CK に沿った運用を支援します。実用的なプレイブック作成、机上演習、Security Audit 対応に活用できます。

building-soc-escalation-matrix スキルを使って、重大度レベル、対応 SLA、エスカレーション経路、通知ルールを備えた構造化 SOC エスカレーションマトリクスを作成できます。テンプレート、標準マッピング、ワークフロー、スクリプトを含み、セキュリティ運用や監査業務で building-soc-escalation-matrix を実践的に使うための内容になっています。

building-incident-response-dashboard は、Splunk、Elastic、Grafana でリアルタイムのインシデント対応ダッシュボードを構築するのに役立ちます。アクティブなインシデント追跡、封じ込め状況、影響を受けた資産、IOC の拡散状況、対応タイムラインの可視化に最適です。SOC アナリスト、インシデントコマンダー、経営層向けに、集中的なダッシュボードが必要なときに使う skill です。

analyzing-windows-registry-for-artifacts は、Windows Registry のハイブから証拠を抽出し、ユーザーの操作履歴、インストール済みソフトウェア、autoruns、USB履歴、侵害の兆候を特定するのに役立ちます。インシデント対応や Security Audit のワークフローに適しています。

analyzing-windows-prefetch-with-python は、windowsprefetch を使って Windows Prefetch（.pf）ファイルを解析し、実行履歴を再構築して、名前を変えた実行ファイルや偽装の疑いがあるバイナリを検出し、インシデントのトリアージやマルウェア分析を支援します。

analyzing-windows-amcache-artifacts skill は、Windows の Amcache.hve データを解析し、プログラム実行の痕跡、インストール済みソフトウェア、デバイスの活動、ドライバーの読み込み証跡を抽出して、DFIR やセキュリティ監査のワークフローに役立てるための skill です。AmcacheParser と regipy ベースの手順を用いて、アーティファクト抽出、SHA-1 の突合、タイムライン確認を支援します。

analyzing-threat-actor-ttps-with-mitre-attack skill は、脅威レポートを MITRE ATT&CK の戦術・技術・サブ技術にマッピングし、カバレッジの可視化と検知ギャップの優先付けを行うのに役立ちます。レポート用テンプレート、ATT&CK参照、技術検索とギャップ分析のためのスクリプトが含まれており、CTI、SOC、検知エンジニアリング、脅威モデリングに有用です。

analyzing-powershell-empire-artifacts スキルは、Security Audit チームが Script Block Logging、Base64 ランチャーのパターン、stager の IOC、モジュール署名、検知リファレンスを使って、Windows ログ内の PowerShell Empire の痕跡を検出し、トリアージとルール作成に役立てるためのものです。

Windows PowerShellのScript Block LoggingイベントID 4104をEVTXファイルから解析し、分割されたスクリプトブロックを復元し、難読化コマンド、エンコードされたペイロード、Invoke-Expressionの悪用、ダウンロードクレードル、AMSIバイパス試行を検知する、Security Audit向けの analyzing-powershell-script-block-logging スキルです。

analyzing-persistence-mechanisms-in-linux skill は、侵害後の Linux における永続化手法の調査を支援します。crontab ジョブ、systemd ユニット、LD_PRELOAD の悪用、シェルのプロファイル変更、SSH の authorized_keys を使ったバックドアまで幅広くカバーします。auditd とファイル整合性チェックを用いるインシデント対応、脅威ハンティング、セキュリティ監査のワークフロー向けに設計されています。

analyzing-mft-for-deleted-file-recovery は、NTFS の `$MFT` レコード、`$LogFile`、`$UsnJrnl`、MFT の slack space を分析し、削除ファイルのメタデータや、保存されている可能性のあるパス・内容の痕跡を復元するのに役立ちます。DFIR と Security Audit のワークフロー向けに設計されており、`MFTECmd`、`analyzeMFT`、`X-Ways Forensics` と組み合わせて使えます。