conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Estrelas0

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaIncident Response

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill conducting-malware-incident-response

Pontuação editorial

Este skill recebe 85/100, o que indica que é um bom candidato para a lista do diretório, com conteúdo suficiente de workflow real de resposta a incidentes para o usuário instalar com confiança. O repositório mostra um caso de uso de resposta a malware claramente acionável, automação concreta em um script complementar e estrutura operacional suficiente para reduzir suposições em comparação com um prompt genérico, embora ainda seja mais voltado para triagem e contenção do que para um fluxo totalmente ponta a ponta.

85/100

Pontos fortes

Condições explícitas de ativação para infecções por malware, comportamento suspeito, beaconing de C2 e resultados maliciosos de sandbox facilitam o reconhecimento do gatilho pelos agentes.
O script complementar e a referência da API oferecem alavancagem real de workflow: gerar hashes de amostras, consultar VirusTotal/MalwareBazaar/ThreatFox, isolar endpoints e produzir relatórios de IR.
O conteúdo do skill inclui orientação de ciclo de vida e um limite claro de não uso, o que melhora a clareza operacional para casos de resposta a incidentes versus pesquisa de malware.

Pontos de atenção

As evidências expostas sugerem dependência de ferramentas e credenciais externas (EDR, VirusTotal, CrowdStrike, Splunk), então a adoção pode depender do ambiente.
A prévia do repositório não mostra um comando de instalação simples nem um passo a passo completo de ponta a ponta, então os usuários podem precisar de algum trabalho de integração antes de usar.

Malware Forensics Threat Intelligence Siem Edr

Visão geral

Visão geral da skill conducting-malware-incident-response

O que esta skill faz

A skill conducting-malware-incident-response ajuda você a responder a um incidente ativo ou suspeito de malware em endpoints: confirmar a infecção, identificar a família provável, delimitar os sistemas afetados, conter a propagação e apoiar a erradicação e a recuperação. Ela é mais indicada para fluxos de Incident Response em que velocidade, rastreabilidade e contenção prática importam mais do que engenharia reversa profunda.

Quem deve usar

Use esta skill conducting-malware-incident-response se você é analista de IR, responder de SOC, administrador de endpoints ou engenheiro de segurança lidando com um host infectado, um arquivo suspeito ou uma campanha com risco de movimento lateral. Ela se encaixa em equipes que já têm acesso a EDR, AV, threat intel ou SIEM e precisam de um caminho estruturado de resposta.

Por que ela se destaca

Esta skill conducting-malware-incident-response para Incident Response é mais operacional do que um prompt genérico de malware: o repositório inclui um script real de triagem e contenção, material de referência de API e fontes externas claras como VirusTotal, MalwareBazaar, ThreatFox e CrowdStrike. Isso a torna útil quando você precisa de decisões baseadas em evidências, e não apenas de um resumo narrativo do comportamento do malware.

Como usar a skill conducting-malware-incident-response

Instale a skill

Use o fluxo de instalação da conducting-malware-incident-response com:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill conducting-malware-incident-response

Depois da instalação, confirme se o caminho da skill está em skills/conducting-malware-incident-response e leia SKILL.md primeiro para entender quando ela deve ser acionada e quando não deve.

O que ler primeiro

Para usar a conducting-malware-incident-response na prática, comece por SKILL.md, depois revise references/api-reference.md para entender o fluxo de trabalho do agente e scripts/agent.py para ver a implementação chamável. Se você precisar adaptar as saídas ao seu ambiente, examine o exemplo de CLI e os nomes das funções antes de pedir ao modelo que atue no seu incidente.

Como formular bons prompts

Passe à skill dados concretos do incidente: quantidade de endpoints, sintomas, hash da amostra, texto do alerta do EDR, família suspeita e restrições de contenção. Um bom pedido seria: “Use a skill conducting-malware-incident-response para fazer a triagem de um endpoint Windows com um dropper suspeito em PowerShell, hash disponível no VirusTotal, acesso ao CrowdStrike habilitado, e eu preciso de contenção, extração de IOCs e próximos passos de remediação.” Evite prompts vagos como “trate o malware”; eles normalmente geram escopo mais fraco e recomendações de contenção menos acionáveis.

Melhor fluxo de trabalho

Comece pela confirmação da detecção, depois peça atribuição de família, hipóteses de vetor de infecção, avaliação de propagação e passos de contenção. Se você tiver telemetria, inclua hashes, nomes de arquivo, árvores de processo, indicadores de rede e hostnames afetados para que a skill consiga separar comportamento provável de malware de orientação genérica de hardening. Se quiser um relatório, peça um resumo conciso do incidente e uma checklist de remediação alinhada às suas ferramentas.

Perguntas frequentes sobre a skill conducting-malware-incident-response

Isso é só para incidentes em andamento?

Sim, o foco principal é resposta e remediação. Se o seu objetivo for pesquisa offline de malware, unpacking de amostras ou engenharia reversa, este guia de conducting-malware-incident-response não é o melhor encaixe, e uma skill dedicada de análise ou um fluxo de laboratório vai funcionar melhor.

Preciso de chaves de API ou ferramentas de segurança?

A skill é mais útil quando combinada com fontes de telemetria e serviços externos de reputação. O material de referência do repositório mostra padrões de integração com VirusTotal, MalwareBazaar, ThreatFox e CrowdStrike, então ter acesso a pelo menos parte dessas ferramentas melhora a qualidade da saída, embora a skill ainda possa ajudar a estruturar uma resposta manual.

Ela é amigável para iniciantes?

Sim, desde que você já saiba que o incidente tem relação com malware e consiga descrever o caso em linguagem simples. Ela é menos amigável para iniciantes se você não conseguir fornecer nenhum dado de artefato, porque a conducting-malware-incident-response depende do contexto do incidente para decidir os passos de contenção e enriquecimento.

Em que ela difere de um prompt normal?

Um prompt comum pode dar orientações genéricas de limpeza. Esta skill é melhor quando você quer um fluxo de trabalho repetível para triagem, atribuição, avaliação de propagação e contenção, com referências a APIs reais e um processo apoiado por script que reduz suposições.

Como melhorar a skill conducting-malware-incident-response

Forneça artefatos melhores do incidente

Os melhores resultados vêm de hashes, linhas de comando de processos, caminhos de arquivo, timestamps, usernames, hostnames e indicadores de rede. Se você tiver apenas “malware suspeito”, o modelo precisa inferir demais; se você fornecer o texto do alerta e os metadados da amostra, ele consegue estreitar a família e propor ações de contenção mais específicas.

Especifique suas restrições de resposta

Diga à skill o que ela pode e não pode fazer: isolar hosts, desabilitar contas, bloquear hashes, consultar o VT ou apenas recomendar ações para um ambiente com controle de mudanças. Isso importa porque o uso da conducting-malware-incident-response muda dependendo de você precisar de contenção rápida, preservação de evidências ou um plano de resposta com baixa interrupção.

Peça a saída de que você precisa

Depois da primeira passada, itere pedindo um de três formatos úteis: um resumo executivo do incidente, uma checklist para analistas ou um plano de remediação por grupo de hosts. Se a primeira resposta vier ampla demais, peça foco em “infection vector”, “spread assessment” ou “eradication steps only” em vez de pedir que ela reescreva todo o incidente.

Fique atento aos modos de falha comuns

O problema mais comum é excesso de confiança com telemetria incompleta, especialmente quando a atribuição de família se baseia em um único indicador. Outro modo de falha é pedir à skill para fazer pesquisa de malware em vez de response a incidente. Para obter melhores resultados com o guia conducting-malware-incident-response, mantenha o pedido centrado no que aconteceu, no que foi afetado, no que precisa ser contido e em quais evidências estão disponíveis.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

Digital Forensics

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ajuda equipes de SOC e detecção a correlacionar offenses do IBM QRadar com AQL, contexto de offenses, regras personalizadas e dados de referência. Use este guia para investigar incidentes, reduzir falsos positivos e criar uma lógica de correlação mais forte para resposta a incidentes.

Incident Response

Favoritos 0GitHub 0

containing-active-breach

por mukul975

containing-active-breach é uma skill de resposta a incidentes para contenção de violações em andamento. Ela ajuda a isolar hosts, bloquear tráfego suspeito, desativar contas comprometidas e desacelerar o movimento lateral usando um guia estruturado de containing-active-breach com referências práticas de API e scripts.

Incident Response

Favoritos 0GitHub 0

configuring-suricata-for-network-monitoring

por mukul975

A skill configuring-suricata-for-network-monitoring ajuda a implantar e ajustar o Suricata para monitoramento IDS/IPS, registro em EVE JSON, gerenciamento de regras e saída pronta para SIEM. Ela é indicada para o fluxo de Security Audit com configuring-suricata-for-network-monitoring quando você precisa de configuração prática, validação e redução de falsos positivos.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-business-email-compromise

por mukul975

A skill detecting-business-email-compromise ajuda analistas, equipes de SOC e respondedores de incidentes a identificar tentativas de BEC usando checagens de cabeçalhos de e-mail, sinais de engenharia social, lógica de detecção e fluxos de trabalho voltados à resposta. Use-a como um guia prático de detecting-business-email-compromise para triagem, validação e contenção.

Incident Response

Favoritos 0GitHub 6.1k

detecting-email-forwarding-rules-attack

por mukul975

A skill detecting-email-forwarding-rules-attack ajuda equipes de Security Audit, threat hunting e resposta a incidentes a encontrar regras maliciosas de encaminhamento de caixa de correio usadas para persistência e coleta de e-mails. Ela orienta analistas em evidências do Microsoft 365 e Exchange, padrões suspeitos de regras e triagem prática de comportamentos de forwarding, redirect, delete e hide.

Security Audit

Favoritos 0GitHub 0

detecting-anomalous-authentication-patterns

por mukul975

detecting-anomalous-authentication-patterns ajuda a analisar logs de autenticação em busca de impossible travel, brute force, password spraying, credential stuffing e atividade de contas comprometidas. Foi criado para workflows de Security Audit, SOC, IAM e resposta a incidentes, com detecção consciente de baseline e análise de sign-in baseada em evidências.

Security Audit

Favoritos 0GitHub 0