Windows

analyzing-usb-device-connection-history는 레지스트리 하이브, 이벤트 로그, `setupapi.dev.log`를 활용해 Windows의 USB 장치 연결 기록을 조사하는 데 도움이 됩니다. 디지털 포렌식, 내부자 위협 대응, 사고 대응에 적합하며, 타임라인 재구성, 장치 상관분석, 이동식 미디어 증거 분석을 지원합니다.

Wazuh, OSSEC, AIDE를 활용해 HIDS를 구축하고 파일 무결성, 시스템 변경 사항, 규정 준수 중심의 엔드포인트 보안을 모니터링하기 위한 configuring-host-based-intrusion-detection 가이드입니다. Security Audit 워크플로에 맞춰 설계되었습니다.

windows-vm 스킬을 사용하면 Docker와 KVM 가속을 활용해 headless Windows 11 VM을 만들고, 관리하고, SSH로 접속할 수 있습니다. 실제 Windows 환경이 필요하지만 수동 RDP 없이도 되는 데스크톱 자동화, Windows 앱 설정, 반복 가능한 에이전트 워크플로에 적합합니다.

extracting-windows-event-logs-artifacts는 디지털 포렌식, 사고 대응, 위협 헌팅을 위해 Windows Event Logs(EVTX)를 추출, 파싱, 분석하는 데 도움을 줍니다. Chainsaw, Hayabusa, EvtxECmd를 사용해 로그온, 프로세스 생성, 서비스 설치, 예약 작업, 권한 변경, 로그 삭제를 체계적으로 검토할 수 있습니다.

detecting-wmi-persistence 스킬은 위협 헌터와 DFIR 분석가가 Sysmon Event ID 19, 20, 21을 활용해 Windows 텔레메트리에서 WMI 이벤트 구독 지속성을 탐지하도록 돕습니다. 악성 EventFilter, EventConsumer, FilterToConsumerBinding 활동을 식별하고, 결과를 검증하며, 공격자의 지속성 기법과 정상 관리 자동화를 구분하는 데 사용할 수 있습니다.

detecting-process-hollowing-technique는 Windows 텔레메트리에서 일시 중단된 실행, 메모리 변조, 부모-자식 프로세스 이상 징후, API 증거를 상관 분석해 프로세스 할로잉(T1055.012)을 추적하는 데 도움을 줍니다. 위협 헌터, 탐지 엔지니어, 대응 담당자가 Threat Hunting 워크플로에서 실무적으로 활용할 수 있는 detecting-process-hollowing-technique를 찾을 때 적합합니다.

analyzing-memory-dumps-with-volatility는 Windows, Linux, macOS의 RAM 덤프에서 메모리 포렌식, 악성코드 1차 분류, 숨겨진 프로세스, 인젝션, 네트워크 활동, 자격 증명 확인에 쓰는 Volatility 3 스킬입니다. 사고 대응과 악성코드 분석을 위해 재현 가능한 analyzing-memory-dumps-with-volatility 가이드가 필요할 때 적합합니다.

detecting-lateral-movement-in-network는 Windows 이벤트 로그, Zeek 텔레메트리, SMB, RDP, SIEM 상관분석을 활용해 침해 이후 기업 네트워크에서의 측면 이동을 탐지하는 데 도움이 됩니다. 위협 헌팅, 사고 대응, Security Audit 검토를 위한 detecting-lateral-movement-in-network에 유용하며, 실무적인 탐지 워크플로를 제공합니다.

엔드포인트 가시성, 전체 자산 모니터링, SQL 기반 위협 헌팅을 위해 osquery를 배포하고 구성하는 deploying-osquery-for-endpoint-monitoring 가이드입니다. 설치 계획을 세우고, 워크플로와 API 참고 자료를 검토하며, Windows, macOS, Linux 엔드포인트 전반에서 예약 쿼리, 로그 수집, 중앙 집중식 검토를 운영하는 데 활용하세요.

deploying-edr-agent-with-crowdstrike는 Windows, macOS, Linux 엔드포인트 전반에 CrowdStrike Falcon sensor를 배포할 때 계획, 설치, 검증을 돕습니다. 설치 안내, 정책 설정, telemetry-to-SIEM 연동, Incident Response 준비가 필요할 때 이 deploying-edr-agent-with-crowdstrike skill을 활용하세요.

Microsoft Defender for Endpoint 강화용 configuring-windows-defender-advanced-settings skill입니다. ASR 규칙, 제어된 폴더 액세스, 네트워크 보호, 취약점 차단 보호, 배포 계획, 보안 엔지니어·IT 관리자·Security Audit 워크플로우를 위한 감사 우선 롤아웃 가이드를 다룹니다.

analyzing-windows-registry-for-artifacts는 분석가가 Windows Registry 하이브에서 증거를 추출해 사용자 활동, 설치된 소프트웨어, 자동 실행, USB 기록, 침해 지표를 식별하고, 사고 대응 또는 보안 감사 워크플로에 활용할 수 있도록 돕습니다.

analyzing-windows-prefetch-with-python는 windowsprefetch를 사용해 Windows Prefetch(.pf) 파일을 파싱하고, 실행 이력을 복원하며, 이름이 바뀌었거나 위장된 바이너리를 식별해 사고 대응 트리아지와 악성코드 분석을 지원합니다.

analyzing-windows-event-logs-in-splunk skill은 SOC 분석가가 Splunk에서 Windows Security, System, Sysmon 로그를 조사해 인증 공격, 권한 상승, 지속성, 측면 이동을 파악하도록 돕습니다. 인시던트 분류, 탐지 엔지니어링, 타임라인 분석에 활용할 수 있으며, 매핑된 SPL 패턴과 이벤트 ID 가이드를 함께 제공합니다.

analyzing-windows-amcache-artifacts skill은 Windows Amcache.hve 데이터를 파싱해 프로그램 실행 흔적, 설치된 소프트웨어, 장치 활동, 드라이버 로딩 증거를 복원하며, DFIR 및 보안 감사 워크플로에 활용됩니다. AmcacheParser와 regipy 기반 가이드를 사용해 아티팩트 추출, SHA-1 상관 분석, 타임라인 검토를 지원합니다.

analyzing-powershell-empire-artifacts 스킬은 Security Audit 팀이 Script Block Logging, Base64 launcher 패턴, stager IOC, module signature, 탐지 참고 자료를 활용해 Windows 로그에서 PowerShell Empire 아티팩트를 식별하고 triage 및 룰 작성에 활용할 수 있도록 돕습니다.

EVTX 파일에서 Windows PowerShell Script Block Logging 이벤트 ID 4104를 파싱하고, 분할된 스크립트 블록을 복원하며, 난독화된 명령, 인코딩된 페이로드, Invoke-Expression 남용, 다운로드 크래들, AMSI 우회 시도를 식별해 Security Audit 작업에 활용하는 analyzing-powershell-script-block-logging 스킬입니다.

winui-app skill은 C#과 Windows App SDK로 WinUI 3 데스크톱 앱을 부트스트랩하고, 빌드하고, 문제를 해결하는 데 도움을 줍니다. 환경 준비 상태 점검, 새 앱 설정, 셸과 내비게이션 선택, XAML 컨트롤, 테마, 접근성, 배포, 실행 실패 복구 흐름 등 Frontend Development 작업에 활용하세요.

screenshot 스킬은 브라우저 화면만이 아니라 OS 수준의 이미지를 캡처해야 할 때 전체 화면, 앱 창, 또는 픽셀 영역을 잡아주는 도구입니다. Workflow Automation에서 screenshot 사용 시, 저장 위치 규칙과 macOS 권한 처리, 그리고 안정적인 데스크톱 캡처를 위한 명확한 설치 안내까지 함께 제공해 바로 적용하기 좋습니다.