building-incident-timeline-with-timesketch

por mukul975

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

Estrelas6.1k

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaIncident Triage

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill building-incident-timeline-with-timesketch

Pontuação editorial

Esta skill tem nota 79/100. É uma boa candidata para agentes de resposta a incidentes porque traz um fluxo de trabalho real centrado no Timesketch, com scripts de apoio e documentação de referência que reduzem a incerteza na montagem de linhas do tempo. Ainda assim, quem usa o diretório deve esperar alguma fricção na adoção por causa do disparo exato e da configuração, já que o trecho de SKILL.md não mostra um comando de instalação dedicado nem um ponto de entrada bem claro passo a passo.

79/100

Pontos fortes

Conteúdo de fluxo de trabalho baseado em evidências: references/workflows.md detalha coleta de evidências, processamento com Plaso, importação no Timesketch, analyzers e marcação manual para construir a linha do tempo.
Boa sustentação operacional: scripts/agent.py e scripts/process.py indicam que há mais do que texto, com automação para autenticação, criação de sketch, upload e processamento.
Bom contexto para decisão de instalação: SKILL.md traz frontmatter válido, metadados de domínio/subdomínio, tags de cibersegurança e uma descrição detalhada de Timesketch/Plaso.

Pontos de atenção

A disparabilidade ainda não está totalmente refinada: o trecho de SKILL.md mostra uma orientação ampla de 'When to Use', mas não há comando de instalação e a redação em alguns pontos parece genérica ou pouco natural, o que pode tornar a invocação do agente menos óbvia.
As evidências são fortes, mas irregulares: o repositório tem bastante material de referência, porém o usuário do diretório talvez precise inspecionar código e documentação para entender os inputs, outputs e as premissas exatas de ambiente.

Timesketch Dfir Incident Response Forensics Timeline Analysis Plaso

Visão geral

Visão geral da skill building-incident-timeline-with-timesketch

O que esta skill faz

A skill building-incident-timeline-with-timesketch ajuda você a transformar evidências dispersas em uma linha do tempo colaborativa de incidente no Timesketch. Ela é ideal para trabalhos de DFIR e resposta a incidentes em que você precisa ingerir logs, normalizar timestamps, correlacionar eventos e documentar uma cadeia de ataque com clareza suficiente para triagem e reporte.

Quem deve usar

Use a skill building-incident-timeline-with-timesketch se você estiver montando a linha do tempo de um caso a partir de logs do Windows, saída do Plaso, dados de eventos em CSV/JSONL ou evidências de múltiplas origens e quiser chegar à análise mais rápido do que fazendo isso manualmente em planilhas. Ela é uma ótima opção para responders de incidente, threat hunters e analistas forenses que fazem building-incident-timeline-with-timesketch para triagem de incidentes.

O que a diferencia

Diferentemente de um prompt genérico sobre linhas do tempo, esta skill é ancorada em detalhes reais do fluxo de trabalho do Timesketch: estrutura de upload, padrões de busca e anotação, e saídas no formato de relatório. O principal valor é operacional — sair das evidências brutas para um sketch utilizável com menos etapas perdidas, especialmente quando há várias linhas do tempo, várias fontes e vários investigadores envolvidos.

Como usar a skill building-incident-timeline-with-timesketch

Instale e inspecione o repositório

Para a instalação do building-incident-timeline-with-timesketch, comece pelo caminho da skill e leia os arquivos de orientação antes de fazer prompts:
skills/building-incident-timeline-with-timesketch/SKILL.md, references/workflows.md, references/api-reference.md, references/standards.md e assets/template.md.
Se você estiver usando um skill runner, instale-o a partir do repositório pai e depois confirme que o nome local da skill corresponde a building-incident-timeline-with-timesketch.

Forneça a entrada certa para a skill

O padrão de uso do building-incident-timeline-with-timesketch funciona melhor quando você informa:

fontes e formatos de evidência (.plaso, .csv, .jsonl)
objetivo do caso, como acesso inicial, movimento lateral ou persistência
janela de tempo, fuso horário e nomes de hosts
indicadores conhecidos, contas suspeitas ou hashes
formato de saída desejado, como notas do sketch, saved searches ou um relatório

Um pedido fraco é: “faça uma linha do tempo do incidente.”
Um pedido mais forte é: “monte uma linha do tempo no Timesketch para uma intrusão em Windows usando logs EVTX, Prefetch e PowerShell de 2024-01-03 a 2024-01-05 UTC, priorize eventos de logon e execução, e produza uma narrativa de ataque pronta para triagem.”

Siga o fluxo de trabalho na prática

O guia building-incident-timeline-with-timesketch é mais útil quando você trabalha nesta ordem:

identifique as fontes de evidência que valem a pena importar primeiro
converta ou filtre essas fontes em linhas do tempo compatíveis com Timesketch
crie o sketch e faça upload de cada linha do tempo com nomes descritivos
rode os analyzers e depois busque os eventos de maior sinal
marque e anote os eventos por fase do ataque antes de escrever a narrativa final

Use references/workflows.md para escolher entre processamento completo das evidências e triagem rápida. Em casos urgentes, priorize primeiro o conjunto de artefatos mais rápido de gerar, em vez de tentar processar tudo.

Leia estes arquivos primeiro

Se você quer uma saída confiável, dê uma olhada nos arquivos que mais influenciam as decisões:

references/workflows.md para o caminho de processamento
references/api-reference.md para a estrutura de upload, busca e anotação
references/standards.md para expectativas de linha do tempo e forense
assets/template.md para a estrutura de relatório para a qual a skill foi otimizada
scripts/agent.py e scripts/process.py se você precisar de automação ou execução orientada por API

FAQ da skill building-incident-timeline-with-timesketch

Esta skill é só para usuários do Timesketch?

Sim, esta skill é voltada especificamente para investigações centradas em Timesketch. Se você não pretende importar, buscar ou anotar linhas do tempo no Timesketch, um prompt genérico de resposta a incidentes pode ser mais adequado do que building-incident-timeline-with-timesketch.

Preciso do Plaso para usá-la?

Não. O Plaso é importante para a análise profunda de artefatos, mas a skill também suporta ingestão direta de CSV e JSONL. Isso torna o building-incident-timeline-with-timesketch útil tanto para processamento forense completo quanto para linhas do tempo de triagem mais rápidas.

Ela é amigável para iniciantes?

Ela pode ser usada por iniciantes, mas os melhores resultados vêm de quem consegue informar fontes de evidência, intervalos de tempo e objetivos da investigação. Sem isso, a skill ainda pode ajudar a estruturar o trabalho, mas não consegue escolher por você o escopo certo da linha do tempo.

Quando eu não devo usar esta skill?

Não use building-incident-timeline-with-timesketch se a sua tarefa for apenas escrever um resumo do incidente, revisar logs estáticos ou criar regras de detecção. Ela é mais valiosa quando o entregável é uma linha do tempo pesquisável, com correlação de evidências e anotações do investigador.

Como melhorar a skill building-incident-timeline-with-timesketch

Forneça um briefing de evidências mais preciso

O maior ganho de qualidade vem de detalhes melhores sobre as fontes. Inclua tipo de fonte, host, intervalo de datas e o que você já suspeita. Por exemplo, especifique “Security.evtx, Sysmon, histórico do navegador e logs de auditoria do M365 de uma única estação de trabalho” em vez de “logs do endpoint”. Isso ajuda a skill building-incident-timeline-with-timesketch a escolher melhores prioridades de parsing e de busca.

Peça uma decisão, não só uma linha do tempo

A skill funciona melhor quando o objetivo da saída está explícito: confirmar acesso inicial, identificar abuso de conta, mapear movimentação ou documentar persistência. Isso muda quais eventos importam, quais analyzers executar primeiro e como a linha do tempo deve ser narrada.

Use a primeira saída como rascunho de triagem

Trate o primeiro resultado como um sketch de trabalho e depois refine com limites de tempo ausentes, indicadores melhores ou linhas do tempo adicionais. O modo de falha mais comum é restringir pouco demais: fontes demais, cronologia de menos e nenhuma ordem de prioridade. Enxugar a janela e adicionar IOCs conhecidos costuma melhorar o uso da building-incident-timeline-with-timesketch mais do que pedir “mais detalhes”.

Itere com follow-ups direcionados

Depois da primeira passagem, peça um destes refinamentos:

“reconstrua a linha do tempo em torno do primeiro logon suspeito”
“separe eventos de execução, persistência e exfiltração”
“marque os eventos por fase do ATT&CK”
“converta isso para o template de relatório em assets/template.md”

Isso mantém a skill focada na qualidade da análise, em vez de cair em sumarização genérica, e torna o guia building-incident-timeline-with-timesketch mais útil em fluxos reais de resposta a incidentes.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

building-incident-response-playbook

por mukul975

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

Incident Triage

Favoritos 0GitHub 6.1k

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-insider-threat-behaviors

por mukul975

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

Threat Modeling

Favoritos 0GitHub 0

detecting-command-and-control-over-dns

por mukul975

detecting-command-and-control-over-dns é uma skill de cibersegurança para identificar C2 sobre DNS, incluindo tunneling, beaconing, domínios DGA e abuso de TXT/CNAME. Ela apoia analistas de SOC, threat hunters e auditorias de segurança com checagem de entropia, correlação com passive DNS e fluxos de detecção no estilo Zeek ou Suricata.

Security Audit

Favoritos 0GitHub 0

deploying-osquery-for-endpoint-monitoring

por mukul975

Guia de deploying-osquery-for-endpoint-monitoring para implantar e configurar o osquery com visibilidade de endpoints, monitoramento em toda a frota e threat hunting orientado por SQL. Use para planejar a instalação, consultar o fluxo de trabalho e as referências de API e operacionalizar consultas agendadas, coleta de logs e revisão केंदralizada em endpoints Windows, macOS e Linux.

Monitoring

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ajuda equipes de SOC e detecção a correlacionar offenses do IBM QRadar com AQL, contexto de offenses, regras personalizadas e dados de referência. Use este guia para investigar incidentes, reduzir falsos positivos e criar uma lógica de correlação mais forte para resposta a incidentes.

Incident Response

Favoritos 0GitHub 0

analyzing-windows-event-logs-in-splunk

por mukul975

A skill de análise de logs de eventos do Windows no Splunk ajuda analistas de SOC a investigar logs de Security, System e Sysmon no Splunk para ataques de autenticação, elevação de privilégio, persistência e movimento lateral. Use-a para triagem de incidentes, engenharia de detecção e análise de linha do tempo, com padrões SPL mapeados e orientação por IDs de evento.

Incident Triage

Favoritos 0GitHub 0

analyzing-windows-amcache-artifacts

por mukul975

A skill analyzing-windows-amcache-artifacts faz o parsing dos dados do Windows Amcache.hve para recuperar evidências de execução de programas, software instalado, atividade de dispositivos e carregamento de drivers em fluxos de trabalho de DFIR e auditoria de segurança. Ela usa o AmcacheParser e orientações baseadas em regipy para apoiar a extração de artefatos, a correlação por SHA-1 e a revisão de linha do tempo.

Security Audit

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Security Audit

Favoritos 0GitHub 0

analyzing-network-traffic-of-malware

por mukul975

A skill analyzing-network-traffic-of-malware ajuda a inspecionar PCAPs e telemetria de execuções em sandbox ou de resposta a incidentes para encontrar C2, exfiltração, downloads de payload, DNS tunneling e ideias de detecção. É um guia prático de analyzing-network-traffic-of-malware para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-linux-system-artifacts

por mukul975

A skill analyzing-linux-system-artifacts ajuda a investigar hosts Linux comprometidos por meio da análise de logs de autenticação, histórico do shell, jobs do cron, serviços do systemd, chaves SSH e outros pontos de persistência. Use este guia de analyzing-linux-system-artifacts para Security Audit, resposta a incidentes e triagem forense. Ele traz orientação prática de instalação e uso.

Security Audit

Favoritos 0GitHub 0

analyzing-indicators-of-compromise

por mukul975

O skill analyzing-indicators-of-compromise ajuda a fazer triagem de IOCs como IPs, domínios, URLs, hashes de arquivos e artefatos de e-mail. Ele oferece suporte a fluxos de inteligência de ameaças para enriquecimento, pontuação de confiança e decisões de bloquear/monitorar/listar como confiável, usando verificações apoiadas por fontes e contexto claro para o analista.

Threat Intelligence

Favoritos 0GitHub 0

analyzing-docker-container-forensics

por mukul975

A skill analyzing-docker-container-forensics ajuda a investigar contêineres Docker comprometidos analisando imagens, camadas, volumes, logs e artefatos de runtime para identificar atividade maliciosa e preservar evidências. Use esta skill analyzing-docker-container-forensics em uma auditoria de segurança, revisão de incidente ou avaliação de hardening de contêineres.

Security Audit

Favoritos 0GitHub 0