Threat Intelligence

analyzing-campaign-attribution-evidence는 분석가가 인프라 중복, ATT&CK 일관성, 멀웨어 유사성, 시점, 언어적 흔적을 함께 검토해 방어 가능한 캠페인 귀속 판단을 내리도록 돕습니다. CTI, 인시던트 분석, Security Audit 검토에 이 analyzing-campaign-attribution-evidence 가이드를 활용하세요.

Azure Monitor 활동 로그와 로그인 로그를 쿼리해 수상한 관리자 작업, 불가능한 이동, 권한 상승, 리소스 변조를 찾아내는 `analyzing-azure-activity-logs-for-threats` 스킬입니다. KQL 패턴, 실행 경로, 실무 중심의 Azure 로그 테이블 가이드를 함께 제공해 사고 초기 대응과 트리아지에 적합하게 설계되었습니다.

analyzing-apt-group-with-mitre-navigator는 분석가가 APT 그룹의 기법을 MITRE ATT&CK Navigator 레이어로 매핑해 탐지 공백 분석, 위협 모델링, 반복 가능한 위협 인텔리전스 워크플로를 수행할 수 있도록 돕습니다. ATT&CK 데이터 조회, 레이어 생성, 공격자 TTP 커버리지 비교를 위한 실무 가이드를 포함합니다.

detecting-cloud-threats-with-guardduty는 AWS 팀이 Amazon GuardDuty를 활성화하고, 탐지 결과를 검토하며, 계정과 워크로드 전반의 클라우드 위협에 자동 대응을 구축하도록 안내합니다. GuardDuty의 설치, 사용, 그리고 Cloud Architecture에서의 운영 단계까지 살펴보는 데 유용합니다.

detecting-aws-cloudtrail-anomalies는 AWS CloudTrail 활동을 분석해 비정상적인 API 출처, 최초 실행 작업, 고빈도 호출, 그리고 자격 증명 탈취나 권한 상승과 연관된 의심스러운 행위를 찾아내는 데 도움을 줍니다. boto3, 기준선(baselining), 이벤트 필드 분석을 활용한 체계적인 이상 탐지에 적합합니다.

conducting-phishing-incident-response skill은 의심스러운 이메일을 조사하고, 지표를 추출하며, 인증 상태를 점검하고, 피싱 대응 조치를 권고하는 데 도움을 줍니다. 메시지 1차 분류, 자격 증명 피싱 사례, URL 및 첨부파일 검사, 사서함 정리까지 아우르는 Incident Response 워크플로를 지원합니다. 범용 프롬프트 대신 구조화된 가이드가 필요할 때 사용하세요.

conducting-malware-incident-response는 IR 팀이 의심스러운 악성코드를 분류하고, 감염 여부를 확인하며, 확산 범위를 파악하고, 엔드포인트를 차단한 뒤, 제거와 복구를 지원하도록 돕습니다. 증거 기반 단계, 텔레메트리 중심 의사결정, 실무적인 격리 지침을 바탕으로 사고 대응 워크플로에서 conducting-malware-incident-response를 수행할 수 있도록 설계되었습니다.

collecting-threat-intelligence-with-misp 스킬은 MISP에서 위협 인텔리전스를 수집, 정규화, 검색, 내보내기 하는 데 도움을 줍니다. 이 collecting-threat-intelligence-with-misp 가이드는 피드, PyMISP 워크플로, 이벤트 필터링, warninglist 축소, 그리고 Threat Modeling과 CTI 운영에 유용한 실무형 collecting-threat-intelligence-with-misp 활용법을 다룹니다.

MISP, OpenCTI, TheHive, Cortex, STIX/TAXII, Elasticsearch를 활용해 위협 인텔리전스 플랫폼을 설계, 배포, 검토하는 데 쓰는 building-threat-intelligence-platform 스킬입니다. 설치 안내, 사용 워크플로, 그리고 저장소 참조와 스크립트로 뒷받침되는 Security Audit 계획 수립에 활용할 수 있습니다.

automating-ioc-enrichment은 VirusTotal, AbuseIPDB, Shodan, STIX 2.1을 활용한 IOC 보강을 자동화해 SOAR 플레이북, Python 파이프라인, Workflow Automation에서 사용할 수 있도록 돕습니다. 이 automating-ioc-enrichment skill을 사용하면 분석가가 바로 활용할 수 있는 문맥을 표준화하고, 트리아지 시간을 줄이며, 반복 가능한 보강 결과를 만들 수 있습니다.

analyzing-threat-intelligence-feeds는 CTI 피드를 수집하고, 지표를 정규화하며, 피드 품질을 평가하고, STIX 2.1 워크플로를 위한 IOC를 보강하는 데 도움을 줍니다. 이 analyzing-threat-intelligence-feeds 스킬은 위협 인텔 운영과 데이터 분석에 맞춰 설계되었으며, TAXII, MISP, 상용 피드를 실무적으로 다루는 방법을 제공합니다.

analyzing-persistence-mechanisms-in-linux skill은 침해 이후 Linux 지속성을 조사하는 데 도움을 줍니다. 여기에는 crontab 작업, systemd 유닛, LD_PRELOAD 악용, 셸 프로필 변경, SSH authorized_keys 백도어가 포함됩니다. auditd와 파일 무결성 점검을 활용하는 사고 대응, 위협 헌팅, 보안 감사 워크플로우에 맞게 설계되었습니다.