Windows

analyzing-usb-device-connection-history は、Windows のレジストリハイブ、イベントログ、`setupapi.dev.log` を使って USB デバイスの接続履歴を調査するのに役立ちます。デジタルフォレンジック、内部不正調査、インシデント対応に対応し、時系列の復元、デバイスの関連付け、リムーバブルメディア証拠の分析を支援します。

Wazuh、OSSEC、AIDE を使って HIDS を構築し、ファイル整合性、システム変更、コンプライアンス重視のエンドポイントセキュリティを監視するための configuring-host-based-intrusion-detection ガイドです。Security Audit のワークフローに役立ちます。

windows-vm スキルを使うと、Docker 上で KVM アクセラレーションを有効にしたヘッドレスの Windows 11 VM を作成・管理し、SSH 接続できます。実際の Windows 環境が必要だが手動の RDP は避けたいときの、デスクトップ自動化、Windows アプリのセットアップ、再現性のあるエージェントワークフローに適しています。

extracting-windows-event-logs-artifacts は、デジタルフォレンジック、インシデント対応、脅威ハンティング向けに Windows Event Logs（EVTX）を抽出・解析・分析するための skill です。Chainsaw、Hayabusa、EvtxECmd を使って、ログオン、プロセス作成、サービスのインストール、スケジュールタスク、権限変更、ログ消去などを構造的に確認できます。

detecting-wmi-persistence skill は、脅威ハンターや DFIR アナリストが、Sysmon の Event ID 19、20、21 を使って Windows テレメトリ内の WMI イベントサブスクリプション永続化を検知するのに役立ちます。悪意ある EventFilter、EventConsumer、FilterToConsumerBinding の活動を特定し、検出結果を検証し、攻撃者の永続化と正当な管理自動化を切り分ける用途に使えます。

detecting-process-hollowing-technique は、Windows のテレメトリで中断された起動、メモリ改ざん、親子関係の異常、API の証拠を相関させながら、プロセスホローイング（T1055.012）を追跡するのに役立ちます。脅威ハンター、検知エンジニア、インシデント対応担当者が、Threat Hunting の実務フローで使える実践的な detecting-process-hollowing-technique を求める場面向けに設計されています。

analyzing-memory-dumps-with-volatility は、Windows、Linux、macOS の RAM ダンプを対象に、Volatility 3 でメモリフォレンジック、マルウェアの初動確認、隠しプロセス、インジェクション、ネットワーク活動、資格情報の確認を行うためのスキルです。インシデント対応やマルウェア分析に使える、再現性のある analyzing-memory-dumps-with-volatility ガイドが必要なときに適しています。

detecting-lateral-movement-in-network は、Windows イベントログ、Zeek テレメトリ、SMB、RDP、SIEM 相関を使って、侵害後のネットワーク内ラテラルムーブメントを検知するのに役立ちます。脅威ハンティング、インシデント対応、Security Audit レビューでの detecting-lateral-movement-in-network に有用で、実践的な検知ワークフローを備えています。

osqueryを導入・設定して、エンドポイントの可視化、全社規模の監視、SQLベースの脅威ハンティングを行うためのガイドです。インストール計画の立案、ワークフローやAPIリファレンスの確認、Windows・macOS・Linuxの各エンドポイントでスケジュールクエリ、ログ収集、集中レビューを運用に落とし込む際に役立ちます。

deploying-edr-agent-with-crowdstrike は、Windows、macOS、Linux の各エンドポイントに CrowdStrike Falcon Sensor を計画・導入・検証するための支援をします。導入手順、ポリシー設定、テレメトリの SIEM 連携、Incident Response 対応の準備にこの deploying-edr-agent-with-crowdstrike skill を活用してください。

Microsoft Defender for Endpoint の強化に使う「configuring-windows-defender-advanced-settings」skill。ASR ルール、制御されたフォルダー アクセス、ネットワーク保護、Exploit Protection、導入計画、監査先行のロールアウト手順をカバーし、セキュリティエンジニア、IT 管理者、セキュリティ監査のワークフローに役立ちます。

analyzing-windows-registry-for-artifacts は、Windows Registry のハイブから証拠を抽出し、ユーザーの操作履歴、インストール済みソフトウェア、autoruns、USB履歴、侵害の兆候を特定するのに役立ちます。インシデント対応や Security Audit のワークフローに適しています。

analyzing-windows-prefetch-with-python は、windowsprefetch を使って Windows Prefetch（.pf）ファイルを解析し、実行履歴を再構築して、名前を変えた実行ファイルや偽装の疑いがあるバイナリを検出し、インシデントのトリアージやマルウェア分析を支援します。

analyzing-windows-event-logs-in-splunk skill は、SOCアナリストが Splunk 上で Windows の Security、System、Sysmon ログを調査し、認証攻撃、権限昇格、永続化、横展開を追跡するのに役立ちます。インシデントのトリアージ、検知ロジックの設計、タイムライン分析に使え、対応する SPL パターンとイベント ID のガイダンスも含まれています。

analyzing-windows-amcache-artifacts skill は、Windows の Amcache.hve データを解析し、プログラム実行の痕跡、インストール済みソフトウェア、デバイスの活動、ドライバーの読み込み証跡を抽出して、DFIR やセキュリティ監査のワークフローに役立てるための skill です。AmcacheParser と regipy ベースの手順を用いて、アーティファクト抽出、SHA-1 の突合、タイムライン確認を支援します。

analyzing-powershell-empire-artifacts スキルは、Security Audit チームが Script Block Logging、Base64 ランチャーのパターン、stager の IOC、モジュール署名、検知リファレンスを使って、Windows ログ内の PowerShell Empire の痕跡を検出し、トリアージとルール作成に役立てるためのものです。

Windows PowerShellのScript Block LoggingイベントID 4104をEVTXファイルから解析し、分割されたスクリプトブロックを復元し、難読化コマンド、エンコードされたペイロード、Invoke-Expressionの悪用、ダウンロードクレードル、AMSIバイパス試行を検知する、Security Audit向けの analyzing-powershell-script-block-logging スキルです。

winui-appスキルは、C# と Windows App SDK を使った WinUI 3 デスクトップアプリの立ち上げ、開発、トラブルシューティングを支援します。環境の準備、新規アプリのセットアップ、シェルとナビゲーションの選定、XAML コントロール、テーマ、アクセシビリティ、デプロイ、起動不具合の修正フローなど、Frontend Development に役立てられます。

screenshotスキルは、ブラウザー内の取得ではなくOSレベルの画像が必要なときに、画面全体、アプリウィンドウ、またはピクセル範囲をキャプチャするのに役立ちます。Workflow Automationでのスクリーンショット用途に使うときに、保存先ルール、macOSの権限処理、信頼性の高いデスクトップキャプチャのためのわかりやすい導入ガイドをまとめて確認できます。