Incident Response

building-incident-timeline-with-timesketch는 DFIR 팀이 Plaso, CSV 또는 JSONL 증거를 수집해 타임스탬프를 정규화하고, 이벤트를 상관 분석하며, 공격 체인을 문서화해 사고 분류와 보고에 활용할 수 있도록 Timesketch에서 협업형 사고 타임라인을 구축하는 데 도움을 줍니다.

building-incident-response-playbook는 보안 팀이 단계별 페이즈, 의사결정 트리, 에스컬레이션 기준, RACI 책임 분담, SOAR 대응 구조를 갖춘 재사용 가능한 인시던트 대응 플레이북을 만들도록 돕습니다. 인시던트 대응 절차 문서화, 인시던트 분류 워크플로우, 감사에 유리한 운영 대응 계획을 염두에 두고 설계되었습니다.

detecting-beaconing-patterns-with-zeek은 Zeek `conn.log`의 간격을 분석해 C2형 비컨ing을 탐지하는 데 도움을 줍니다. ZAT를 사용해 흐름을 출발지, 목적지, 포트별로 그룹화하고, 통계적 검증을 통해 지터가 낮은 패턴에 점수를 매깁니다. SOC, 위협 헌팅, 사고 대응, 그리고 Security Audit 워크플로에서 detecting-beaconing-patterns-with-zeek를 활용하려는 경우에 적합합니다.

building-phishing-reporting-button-workflow skill은 원본 이메일을 보존하고, IOC를 추출하며, 신고를 분류하고, Microsoft 365 또는 유사한 이메일 보안 환경에서 트리아지와 피드백을 연결하는 피싱 신고 버튼 워크플로우를 설계하는 데 도움을 줍니다.

analyzing-supply-chain-malware-artifacts는 트로이목마화된 업데이트, 오염된 의존성, 빌드 파이프라인 변조를 추적하는 악성코드 분석 스킬입니다. 신뢰 가능한 아티팩트와 의심 아티팩트를 비교하고, 지표를 추출하며, 침해 범위를 평가하고, 추측을 줄인 상태로 조사 결과를 보고할 때 사용하세요.

analyzing-security-logs-with-splunk는 Windows, 방화벽, 프록시, 인증 로그를 타임라인과 증거로 연결해 Splunk에서 보안 이벤트를 조사하는 데 도움을 줍니다. 이 analyzing-security-logs-with-splunk 스킬은 Security Audit, 인시던트 대응, 위협 헌팅에 적합한 실무형 가이드입니다.

analyzing-ransomware-network-indicators는 Zeek conn.log와 NetFlow를 분석해 C2 비콘 통신, TOR 종료 노드, 데이터 유출, 수상한 DNS를 찾아 Security Audit와 사고 대응을 지원합니다.

analyzing-ransomware-leak-site-intelligence는 랜섬웨어 데이터 유출 사이트를 모니터링하고, 피해자 및 공격 그룹 신호를 추출하며, 사고 대응, 업종별 위험 검토, 공격자 추적에 활용할 수 있는 구조화된 위협 인텔리전스를 생성하는 데 도움을 줍니다.

detecting-sql-injection-via-waf-logs로 WAF 및 감사 로그를 분석해 SQL 인젝션 캠페인을 탐지합니다. Security Audit와 SOC 워크플로우에 맞춰 설계되었으며, ModSecurity, AWS WAF, Cloudflare 이벤트를 파싱하고 UNION SELECT, OR 1=1, SLEEP(), BENCHMARK() 패턴을 분류한 뒤, 출처를 상관 분석해 사건 중심의 조사 결과를 제공합니다.

analyzing-golang-malware-with-ghidra는 분석가가 Ghidra에서 Go로 컴파일된 악성코드를 리버스 엔지니어링할 수 있도록, 함수 복구, 문자열 추출, 빌드 메타데이터 확인, 의존성 매핑 중심의 워크플로를 제공합니다. 이 분석 스킬은 악성코드 1차 분류, 인시던트 대응, 그리고 실무적인 Go 전용 분석 단계가 필요한 Security Audit 작업에 특히 유용합니다.

containing-active-breach는 진행 중인 침해를 신속히 차단하기 위한 사고 대응 스킬입니다. 체계적인 containing-active-breach 가이드를 통해 호스트 격리, 의심스러운 트래픽 차단, 침해된 계정 비활성화, 횡적 이동 억제를 지원하며, 실무에 바로 쓰는 API와 스크립트 참고 정보도 제공합니다.

인시던트 증거에서 IOC를 추출, 보강, 점수화, 내보내기 위한 collecting-indicators-of-compromise 스킬입니다. Security Audit 워크플로, 위협 인텔 공유, STIX 2.1 출력이 필요할 때, 일반적인 인시던트 대응 프롬프트보다 실용적인 collecting-indicators-of-compromise 가이드가 필요하다면 적합합니다.

building-vulnerability-scanning-workflow는 SOC 팀이 자산 전반에 걸쳐 취약점 탐색, 우선순위 지정, 조치 추적, 보고까지 반복 가능한 취약점 스캐닝 프로세스를 설계하도록 돕습니다. 이 스킬은 스캐너 오케스트레이션, CISA KEV를 반영한 위험 순위화, 그리고 단발성 스캔을 넘어서는 워크플로 안내를 통해 보안 감사(Security Audit) 활용 사례를 지원합니다.

SOC 팀을 위한 building-soc-playbook-for-ransomware 스킬로, 구조화된 랜섬웨어 대응 플레이북이 필요할 때 적합합니다. 탐지 트리거, 차단, 제거, 복구, 그리고 NIST SP 800-61 및 MITRE ATT&CK에 맞춘 감사 대응 절차까지 다룹니다. 실무적인 플레이북 작성, 테이블탑 훈련, Security Audit 지원에 활용할 수 있습니다.

building-soc-escalation-matrix 스킬을 사용해 심각도 등급, 대응 SLA, 에스컬레이션 경로, 알림 규칙을 갖춘 구조화된 SOC 에스컬레이션 매트릭스를 만들 수 있습니다. 보안 운영과 감사 업무에서 실용적으로 building-soc-escalation-matrix를 활용할 수 있도록 템플릿, 표준 매핑, 워크플로, 스크립트가 포함되어 있습니다.

building-incident-response-dashboard는 Splunk, Elastic, Grafana에서 실시간 사고 대응 대시보드를 구축하도록 돕습니다. 활성 사고 추적, 차단 상태, 영향받은 자산, IOC 확산, 대응 타임라인을 한눈에 볼 수 있게 구성할 수 있습니다. SOC 분석가, 인시던트 커맨더, 경영진을 위한 집중형 대시보드가 필요할 때 이 building-incident-response-dashboard 스킬을 사용하세요.

analyzing-windows-registry-for-artifacts는 분석가가 Windows Registry 하이브에서 증거를 추출해 사용자 활동, 설치된 소프트웨어, 자동 실행, USB 기록, 침해 지표를 식별하고, 사고 대응 또는 보안 감사 워크플로에 활용할 수 있도록 돕습니다.

analyzing-windows-prefetch-with-python는 windowsprefetch를 사용해 Windows Prefetch(.pf) 파일을 파싱하고, 실행 이력을 복원하며, 이름이 바뀌었거나 위장된 바이너리를 식별해 사고 대응 트리아지와 악성코드 분석을 지원합니다.

analyzing-windows-amcache-artifacts skill은 Windows Amcache.hve 데이터를 파싱해 프로그램 실행 흔적, 설치된 소프트웨어, 장치 활동, 드라이버 로딩 증거를 복원하며, DFIR 및 보안 감사 워크플로에 활용됩니다. AmcacheParser와 regipy 기반 가이드를 사용해 아티팩트 추출, SHA-1 상관 분석, 타임라인 검토를 지원합니다.

analyzing-threat-actor-ttps-with-mitre-attack skill은 위협 보고서를 MITRE ATT&CK의 전술, 기법, 하위 기법에 연결하고, 커버리지 뷰를 만들며, 탐지 공백의 우선순위를 정하는 데 도움을 줍니다. 보고서 템플릿, ATT&CK 참조 자료, 기법 조회 및 공백 분석용 스크립트를 포함해 CTI, SOC, 탐지 엔지니어링, 위협 모델링에 유용합니다.

analyzing-powershell-empire-artifacts 스킬은 Security Audit 팀이 Script Block Logging, Base64 launcher 패턴, stager IOC, module signature, 탐지 참고 자료를 활용해 Windows 로그에서 PowerShell Empire 아티팩트를 식별하고 triage 및 룰 작성에 활용할 수 있도록 돕습니다.

EVTX 파일에서 Windows PowerShell Script Block Logging 이벤트 ID 4104를 파싱하고, 분할된 스크립트 블록을 복원하며, 난독화된 명령, 인코딩된 페이로드, Invoke-Expression 남용, 다운로드 크래들, AMSI 우회 시도를 식별해 Security Audit 작업에 활용하는 analyzing-powershell-script-block-logging 스킬입니다.

analyzing-persistence-mechanisms-in-linux skill은 침해 이후 Linux 지속성을 조사하는 데 도움을 줍니다. 여기에는 crontab 작업, systemd 유닛, LD_PRELOAD 악용, 셸 프로필 변경, SSH authorized_keys 백도어가 포함됩니다. auditd와 파일 무결성 점검을 활용하는 사고 대응, 위협 헌팅, 보안 감사 워크플로우에 맞게 설계되었습니다.

analyzing-mft-for-deleted-file-recovery는 NTFS의 $MFT 레코드, $LogFile, $UsnJrnl, 그리고 MFT slack space를 분석해 삭제된 파일의 메타데이터와 가능한 경로나 내용 증거를 복구하는 데 도움을 줍니다. MFTECmd, analyzeMFT, X-Ways Forensics를 활용하는 DFIR 및 Security Audit 워크플로에 맞게 설계되었습니다.