Threat Intelligence

Skill de pipeline para extrair IOCs, fazer defang de URLs, IPs, domínios, e-mails e hashes, e depois converter e compartilhar tudo como STIX 2.1 via TAXII ou MISP para fluxos de auditoria de segurança e threat intelligence.

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

A skill de detecção de comportamento de malware móvel analisa apps suspeitos para Android e iOS em busca de abuso de permissões, atividade em tempo de execução, indicadores de rede e padrões semelhantes aos de malware. Use-a para triagem, resposta a incidentes e detecção de comportamento de malware móvel em fluxos de trabalho de Security Audit, com análise móvel apoiada por evidências.

A skill detecting-business-email-compromise ajuda analistas, equipes de SOC e respondedores de incidentes a identificar tentativas de BEC usando checagens de cabeçalhos de e-mail, sinais de engenharia social, lógica de detecção e fluxos de trabalho voltados à resposta. Use-a como um guia prático de detecting-business-email-compromise para triagem, validação e contenção.

detecting-beaconing-patterns-with-zeek ajuda a analisar intervalos do `conn.log` do Zeek para detectar beaconing no estilo C2. Usa ZAT, agrupa fluxos por origem, destino e porta, e pontua padrões de baixo jitter com verificações estatísticas. É ideal para SOC, threat hunting, resposta a incidentes e fluxos de Security Audit com detecting-beaconing-patterns-with-zeek.

analyzing-supply-chain-malware-artifacts é uma skill de análise de malware voltada a rastrear atualizações trojanizadas, dependências contaminadas e adulteração em pipelines de build. Use-a para comparar artefatos confiáveis e não confiáveis, extrair indicadores, avaliar a extensão da comprometimento e relatar as descobertas com menos achismos.

analyzing-ransomware-network-indicators ajuda a analisar `Zeek conn.log` e `NetFlow` para identificar beaconing de C2, saídas TOR, exfiltração e DNS suspeito em auditorias de segurança e resposta a incidentes.

analyzing-ransomware-payment-wallets é uma habilidade de forense em blockchain, em modo somente leitura, para rastrear carteiras de pagamento de ransomware, acompanhar o movimento dos fundos e agrupar endereços relacionados para auditoria de segurança e resposta a incidentes. Use-a quando você tiver um endereço BTC, um hash de transação ou uma carteira suspeita e precisar de suporte à atribuição com base em evidências.

analyzing-ransomware-leak-site-intelligence ajuda a monitorar sites de vazamento de dados de ransomware, extrair sinais de vítimas e grupos, e gerar inteligência de ameaças estruturada para resposta a incidentes, análise de risco setorial e acompanhamento de adversários.

analyzing-cloud-storage-access-patterns ajuda equipes de segurança a detectar acessos suspeitos a armazenamento em nuvem no AWS S3, GCS e Azure Blob Storage. Ele analisa logs de auditoria em busca de downloads em massa, novos IPs de origem, chamadas de API incomuns, enumeração de buckets, acessos fora do expediente e possível exfiltração usando verificações de linha de base e anomalias.

hunting-advanced-persistent-threats é uma skill de caça a ameaças para detectar atividades no estilo APT em telemetria de endpoint, rede e memória. Ela ajuda analistas a criar hunts guiados por hipóteses, mapear descobertas para o MITRE ATT&CK e transformar inteligência de ameaças em consultas práticas e passos de investigação, em vez de buscas ad hoc.

A skill generating-threat-intelligence-reports transforma dados cibernéticos analisados em relatórios estratégicos, operacionais, táticos ou flash de threat intelligence para executivos, equipes de SOC, líderes de IR e analistas. Ela oferece suporte a inteligência finalizada, uso de linguagem de confiança, tratamento de TLP e recomendações claras para Report Writing.

Guia da skill extracting-iocs-from-malware-samples para análise de malware: extraia hashes, IPs, domínios, URLs, artefatos de host e sinais de validação de amostras para threat intel e detecção.

evaluating-threat-intelligence-platforms ajuda você a comparar produtos TIP por ingestão de feeds, suporte a STIX/TAXII, automação, fluxo de trabalho do analista, integrações e custo total de propriedade. Use este guia de evaluating-threat-intelligence-platforms para compras, migração ou planejamento de maturidade, incluindo evaluating-threat-intelligence-platforms para Threat Modeling quando a escolha da plataforma afetar rastreabilidade e compartilhamento de evidências.

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Skill de detecção de ataques Living off the Land para Auditoria de Segurança, threat hunting e resposta a incidentes. Detecta o abuso de binários legítimos do Windows, como certutil, mshta, rundll32 e regsvr32, usando telemetria de criação de processo, linha de comando e relação entre processo pai e filho. O guia foca em padrões acionáveis de detecção de LOLBins, e não em hardening amplo do Windows.

A skill detecting-kerberoasting-attacks ajuda a caçar Kerberoasting ao identificar solicitações suspeitas de TGS do Kerberos, criptografia fraca de tickets e padrões de contas de serviço. Use-a em fluxos de trabalho de SIEM, EDR, EVTX e Threat Modeling com modelos práticos de detecção e orientações de ajuste.

detecting-insider-threat-with-ueba ajuda você a criar detecções de UEBA no Elasticsearch ou OpenSearch para casos de ameaça interna, incluindo linhas de base comportamentais, pontuação de anomalias, análise de grupos de pares e alertas correlacionados para exfiltração de dados, abuso de privilégios e acesso não autorizado. Ele se encaixa em fluxos de trabalho de Resposta a Incidentes com detecting-insider-threat-with-ueba.

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

A skill detecting-email-account-compromise ajuda analistas de SOC e de resposta a incidentes a investigar a invasão de caixas de correio no Microsoft 365 e no Google Workspace, verificando logins suspeitos, abuso de regras da caixa de entrada, encaminhamento externo, concessões de OAuth e atividade em logs de Graph/auditoria. Use-a como um guia prático de detecting-email-account-compromise para triagem rápida.

detecting-dll-sideloading-attacks ajuda equipes de Security Audit, threat hunting e resposta a incidentes a detectar DLL sideloading com Sysmon, EDR, MDE e Splunk. Este guia de detecting-dll-sideloading-attacks inclui notas de fluxo de trabalho, templates de hunting, mapeamento para padrões e scripts para transformar carregamentos suspeitos de DLL em detecções repetíveis.

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

detecting-command-and-control-over-dns é uma skill de cibersegurança para identificar C2 sobre DNS, incluindo tunneling, beaconing, domínios DGA e abuso de TXT/CNAME. Ela apoia analistas de SOC, threat hunters e auditorias de segurança com checagem de entropia, correlação com passive DNS e fluxos de detecção no estilo Zeek ou Suricata.

Detecte comprometimento de e-mail corporativo (BEC) com IA usando NLP, estilometria, sinais comportamentais e contexto de relacionamento. Esta skill de detecting-business-email-compromise-with-ai ajuda equipes de SOC, fraude e Auditoria de Segurança a pontuar e-mails suspeitos, explicar sinais de risco e decidir se devem colocar em quarentena, avisar ou escalar.