Incident Triage

llm-trading-agent-security é um guia prático para proteger agentes autônomos de trading com autoridade sobre carteiras. Ele aborda prompt injection, limites de gasto, simulação antes do envio, circuit breakers, execução ciente de MEV e isolamento de chaves para reduzir o risco de perdas financeiras em uma Security Audit.

A skill memory-forensics para captura de RAM e análise de dumps com Volatility 3. Aborda contexto de instalação, fluxos de uso, extração de artefatos e triagem de incidentes em memória de Windows, Linux, macOS e VMs.

postmortem-writing ajuda equipes a criar post-mortems de incidentes sem culpabilização, com linha do tempo, análise de causa raiz, fatores contribuintes, impacto e itens de acompanhamento acionáveis para relatórios após indisponibilidades ou quase-incidentes.

Aprenda a usar a skill on-call-handoff-patterns para fazer transições de turno com mais confiabilidade. Use-a para estruturar handoffs de incidentes, registrar problemas ativos, mudanças recentes, estado de escalonamento e próximas ações para equipes de Reliability.

incident-runbook-templates ajuda equipes a criar runbooks estruturados de resposta a incidentes, com etapas claras de triagem, mitigação, escalonamento, comunicação e recuperação para indisponibilidades e Playbooks operacionais.

A skill detecting-shadow-it-cloud-usage ajuda a identificar uso não autorizado de SaaS e serviços de cloud a partir de logs de proxy, consultas DNS e netflow. Ela classifica domínios, compara com listas aprovadas e dá suporte a fluxos de auditoria de segurança com evidências estruturadas, conforme o guia da skill detecting-shadow-it-cloud-usage.

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

Skill de pipeline para extrair IOCs, fazer defang de URLs, IPs, domínios, e-mails e hashes, e depois converter e compartilhar tudo como STIX 2.1 via TAXII ou MISP para fluxos de auditoria de segurança e threat intelligence.

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

detecting-modbus-protocol-anomalies ajuda a detectar comportamentos suspeitos em Modbus/TCP e Modbus RTU em redes OT e ICS, incluindo códigos de função inválidos, acesso a registradores fora do intervalo, timing de polling anormal, gravações não autorizadas e frames malformados. É útil para auditoria de segurança e triagem baseada em evidências.

A skill detecting-business-email-compromise ajuda analistas, equipes de SOC e respondedores de incidentes a identificar tentativas de BEC usando checagens de cabeçalhos de e-mail, sinais de engenharia social, lógica de detecção e fluxos de trabalho voltados à resposta. Use-a como um guia prático de detecting-business-email-compromise para triagem, validação e contenção.

detecting-beaconing-patterns-with-zeek ajuda a analisar intervalos do `conn.log` do Zeek para detectar beaconing no estilo C2. Usa ZAT, agrupa fluxos por origem, destino e porta, e pontua padrões de baixo jitter com verificações estatísticas. É ideal para SOC, threat hunting, resposta a incidentes e fluxos de Security Audit com detecting-beaconing-patterns-with-zeek.

detecting-azure-service-principal-abuse ajuda a detectar, investigar e documentar atividade suspeita de service principal no Microsoft Entra ID no Azure. Use-o para Auditoria de Segurança, resposta a incidentes em nuvem e threat hunting, revisando mudanças de credenciais, abuso de consentimento de administrador, atribuições de função, caminhos de propriedade e anomalias de login.

analyzing-security-logs-with-splunk ajuda a investigar eventos de segurança no Splunk correlacionando logs do Windows, firewall, proxy e autenticação em linhas do tempo e evidências. Este skill analyzing-security-logs-with-splunk é um guia prático para auditoria de segurança, resposta a incidentes e threat hunting.

analyzing-ransomware-network-indicators ajuda a analisar `Zeek conn.log` e `NetFlow` para identificar beaconing de C2, saídas TOR, exfiltração e DNS suspeito em auditorias de segurança e resposta a incidentes.

analyzing-ransomware-leak-site-intelligence ajuda a monitorar sites de vazamento de dados de ransomware, extrair sinais de vítimas e grupos, e gerar inteligência de ameaças estruturada para resposta a incidentes, análise de risco setorial e acompanhamento de adversários.

Skill de análise de logs de atividade do Azure para consultar logs de atividade do Azure Monitor e logs de entrada, identificando ações administrativas suspeitas, impossible travel, escalada de privilégios e adulteração de recursos. Feito para triagem de incidentes, com padrões KQL, um caminho de execução e orientação prática sobre tabelas de logs do Azure.

analyzing-apt-group-with-mitre-navigator ajuda analistas a mapear técnicas de grupos APT em camadas do MITRE ATT&CK Navigator para análise de lacunas de detecção, modelagem de ameaças e fluxos repetíveis de inteligência de ameaças. Inclui orientações práticas para consultar dados do ATT&CK, gerar camadas e comparar a cobertura de TTPs de adversários.

eradicating-malware-from-infected-systems é uma habilidade de resposta a incidentes de cibersegurança para remover malware, backdoors e mecanismos de persistência após o containment. Inclui orientação de fluxo de trabalho, arquivos de referência e scripts para limpeza em Windows e Linux, rotação de credenciais, correção da causa raiz e validação.

Analise logs de WAF e auditoria para detectar campanhas de SQL injection com detecting-sql-injection-via-waf-logs. Voltado para fluxos de Security Audit e SOC, ele interpreta eventos do ModSecurity, AWS WAF e Cloudflare, classifica padrões como UNION SELECT, OR 1=1, SLEEP() e BENCHMARK(), correlaciona origens e gera achados orientados a incidentes.

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

detecting-port-scanning-with-fail2ban ajuda a configurar o Fail2ban para detectar varreduras de portas, tentativas de brute force em SSH e reconhecimento, depois banir IPs suspeitos e alertar as equipes de segurança. Este skill é indicado para endurecimento e fluxos de Security Audit com detecting-port-scanning-with-fail2ban, trazendo orientação prática sobre logs, jails, filtros e ajuste seguro.

detecting-pass-the-ticket-attacks ajuda a detectar atividade Kerberos Pass-the-Ticket correlacionando os Event IDs 4768, 4769 e 4771 do Windows Security. Use-a para threat hunting no Splunk ou Elastic e identificar reutilização de tickets, downgrades para RC4 e volumes anormais de TGS com consultas práticas e orientação de campos.