Incident Triage

llm-trading-agent-security는 지갑 권한을 가진 자율 거래 에이전트를 안전하게 보호하기 위한 실용 가이드입니다. 프롬프트 인젝션, 지출 한도, 전송 전 시뮬레이션, 서킷 브레이커, MEV를 고려한 실행, 키 분리를 다루며, Security Audit에서 금융 손실 위험을 줄이는 데 도움이 됩니다.

memory-forensics 스킬로 RAM 캡처와 Volatility 3 기반 메모리 덤프 분석을 수행하는 방법을 안내합니다. Windows, Linux, macOS, VM 메모리를 아우르며 설치 맥락, 사용 워크플로, 아티팩트 추출, 사고 대응 트리아지까지 다룹니다.

postmortem-writing은 장애나 아차 사고 이후 보고서를 작성할 때, 타임라인·근본 원인 분석·기여 요인·영향 범위·실행 가능한 후속 조치를 포함한 비난 없는 사고 postmortem을 팀이 체계적으로 작성하도록 돕는 스킬입니다.

안정적인 교대 전환을 위해 on-call-handoff-patterns 스킬을 익혀보세요. Reliability 팀이 인시던트 인수인계를 구조화하고, 진행 중인 이슈, 최근 변경 사항, 에스컬레이션 상태, 다음 조치를 빠짐없이 정리할 때 유용합니다.

incident-runbook-templates는 장애 대응과 운영 Playbooks를 위해 트리아지, 완화, 에스컬레이션, 커뮤니케이션, 복구 단계를 명확히 정리한 구조화된 인시던트 대응 런북을 팀이 만들 수 있도록 돕습니다.

detecting-shadow-it-cloud-usage는 프록시 로그, DNS 쿼리, netflow에서 승인되지 않은 SaaS 및 클라우드 사용을 식별하는 데 도움을 줍니다. 도메인을 분류하고 승인 목록과 비교하며, detecting-shadow-it-cloud-usage 스킬 가이드의 구조화된 증거를 바탕으로 보안 감사 워크플로를 지원합니다.

detecting-service-account-abuse는 Windows, AD, SIEM, EDR 텔레메트리 전반에서 서비스 계정 오남용을 찾기 위한 위협 헌팅 skill입니다. 의심스러운 대화형 로그온, 권한 상승, 측면 이동, 접근 이상 징후에 초점을 맞추며, 반복 가능한 조사를 돕는 헌트 템플릿, 이벤트 ID, 워크플로 참조를 제공합니다.

IOC를 추출하고 URL, IP, 도메인, 이메일, 해시를 디패깅한 뒤, 이를 STIX 2.1로 변환해 TAXII 또는 MISP로 공유하는 building-ioc-defanging-and-sharing-pipeline skill입니다. 보안 감사와 위협 인텔리전스 워크플로에 적합합니다.

building-incident-timeline-with-timesketch는 DFIR 팀이 Plaso, CSV 또는 JSONL 증거를 수집해 타임스탬프를 정규화하고, 이벤트를 상관 분석하며, 공격 체인을 문서화해 사고 분류와 보고에 활용할 수 있도록 Timesketch에서 협업형 사고 타임라인을 구축하는 데 도움을 줍니다.

building-incident-response-playbook는 보안 팀이 단계별 페이즈, 의사결정 트리, 에스컬레이션 기준, RACI 책임 분담, SOAR 대응 구조를 갖춘 재사용 가능한 인시던트 대응 플레이북을 만들도록 돕습니다. 인시던트 대응 절차 문서화, 인시던트 분류 워크플로우, 감사에 유리한 운영 대응 계획을 염두에 두고 설계되었습니다.

detecting-modbus-protocol-anomalies는 OT 및 ICS 네트워크에서 Modbus/TCP와 Modbus RTU의 의심스러운 동작을 탐지하는 데 도움을 줍니다. 여기에는 잘못된 함수 코드, 범위를 벗어난 레지스터 접근, 비정상적인 폴링 주기, 무단 쓰기, 비정상 프레임이 포함됩니다. 보안 감사와 증거 기반 트리아지에 유용합니다.

detecting-business-email-compromise skill은 분석가, SOC 팀, 인시던트 대응자가 이메일 헤더 점검, 사회공학 징후, 탐지 로직, 대응 중심 워크플로를 활용해 BEC 시도를 식별하도록 돕습니다. 분류, 검증, 차단을 위한 실용적인 detecting-business-email-compromise 가이드로 활용하세요.

detecting-beaconing-patterns-with-zeek은 Zeek `conn.log`의 간격을 분석해 C2형 비컨ing을 탐지하는 데 도움을 줍니다. ZAT를 사용해 흐름을 출발지, 목적지, 포트별로 그룹화하고, 통계적 검증을 통해 지터가 낮은 패턴에 점수를 매깁니다. SOC, 위협 헌팅, 사고 대응, 그리고 Security Audit 워크플로에서 detecting-beaconing-patterns-with-zeek를 활용하려는 경우에 적합합니다.

detecting-azure-service-principal-abuse는 Azure에서 Microsoft Entra ID 서비스 주체 활동 중 의심스러운 징후를 탐지, 조사, 문서화하는 데 도움을 줍니다. Security Audit, 클라우드 사고 대응, 위협 헌팅에 활용해 자격 증명 변경, 관리자 동의 악용, 역할 할당, 소유권 경로, 로그인 이상 징후를 점검하세요.

analyzing-security-logs-with-splunk는 Windows, 방화벽, 프록시, 인증 로그를 타임라인과 증거로 연결해 Splunk에서 보안 이벤트를 조사하는 데 도움을 줍니다. 이 analyzing-security-logs-with-splunk 스킬은 Security Audit, 인시던트 대응, 위협 헌팅에 적합한 실무형 가이드입니다.

analyzing-ransomware-network-indicators는 Zeek conn.log와 NetFlow를 분석해 C2 비콘 통신, TOR 종료 노드, 데이터 유출, 수상한 DNS를 찾아 Security Audit와 사고 대응을 지원합니다.

analyzing-ransomware-leak-site-intelligence는 랜섬웨어 데이터 유출 사이트를 모니터링하고, 피해자 및 공격 그룹 신호를 추출하며, 사고 대응, 업종별 위험 검토, 공격자 추적에 활용할 수 있는 구조화된 위협 인텔리전스를 생성하는 데 도움을 줍니다.

Azure Monitor 활동 로그와 로그인 로그를 쿼리해 수상한 관리자 작업, 불가능한 이동, 권한 상승, 리소스 변조를 찾아내는 `analyzing-azure-activity-logs-for-threats` 스킬입니다. KQL 패턴, 실행 경로, 실무 중심의 Azure 로그 테이블 가이드를 함께 제공해 사고 초기 대응과 트리아지에 적합하게 설계되었습니다.

analyzing-apt-group-with-mitre-navigator는 분석가가 APT 그룹의 기법을 MITRE ATT&CK Navigator 레이어로 매핑해 탐지 공백 분석, 위협 모델링, 반복 가능한 위협 인텔리전스 워크플로를 수행할 수 있도록 돕습니다. ATT&CK 데이터 조회, 레이어 생성, 공격자 TTP 커버리지 비교를 위한 실무 가이드를 포함합니다.

eradicating-malware-from-infected-systems는 격리 이후 감염 시스템에서 악성코드, 백도어, 지속성 메커니즘을 제거하는 사이버 보안 사고 대응 스킬입니다. Windows와 Linux 정리용 워크플로 안내, 참고 파일, 스크립트는 물론 자격 증명 교체, 근본 원인 수정, 검증 절차까지 포함합니다.

detecting-sql-injection-via-waf-logs로 WAF 및 감사 로그를 분석해 SQL 인젝션 캠페인을 탐지합니다. Security Audit와 SOC 워크플로우에 맞춰 설계되었으며, ModSecurity, AWS WAF, Cloudflare 이벤트를 파싱하고 UNION SELECT, OR 1=1, SLEEP(), BENCHMARK() 패턴을 분류한 뒤, 출처를 상관 분석해 사건 중심의 조사 결과를 제공합니다.

detecting-privilege-escalation-attempts는 Windows와 Linux에서 권한 상승을 추적하는 데 도움이 되며, 토큰 조작, UAC 우회, 따옴표가 없는 서비스 경로, 커널 익스플로잇, sudo/doas 오용까지 포함합니다. 실무적인 워크플로, 참고용 쿼리, 보조 스크립트가 필요한 위협 헌팅 팀을 위해 설계되었습니다.

detecting-port-scanning-with-fail2ban는 Fail2ban을 설정해 포트 스캔, SSH 무차별 대입 시도, 정찰 행위를 탐지하고, 의심스러운 IP를 차단한 뒤 보안 팀에 알리도록 돕습니다. 이 스킬은 Security Audit 워크플로우에서 하드닝과 detecting-port-scanning-with-fail2ban에 적합하며, 로그, jail, 필터, 안전한 튜닝에 대한 실무 중심 가이드를 제공합니다.

detecting-pass-the-ticket-attacks는 Windows 보안 이벤트 ID 4768, 4769, 4771을 상호 연관해 Kerberos Pass-the-Ticket 활동을 탐지하도록 돕습니다. Splunk 또는 Elastic에서 위협 헌팅에 사용해 티켓 재사용, RC4 다운그레이드, 비정상적인 TGS 증가를 실용적인 쿼리와 필드 안내로 찾아낼 수 있습니다.