detecting-attacks-on-scada-systems

por mukul975

detecting-attacks-on-scada-systems é um skill de cibersegurança para identificar ataques em ambientes SCADA e OT/ICS. Ele ajuda a analisar abuso de protocolos industriais, comandos não autorizados em PLCs, comprometimento de HMI, adulteração de historian e negação de serviço, com orientações práticas para resposta a incidentes e validação de detecções.

Estrelas0

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaIncident Response

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-attacks-on-scada-systems

Pontuação editorial

Este skill recebe 78/100, o que indica que é um candidato sólido para a Agent Skills Finder. Para usuários do diretório, ele vale a pena para fluxos de trabalho de detecção de ataques em SCADA/OT: o repositório traz escopo de detecção concreto, condições de acionamento e artefatos de apoio suficientes para reduzir a incerteza em comparação com um prompt genérico, embora ainda não esteja totalmente refinado de ponta a ponta.

78/100

Pontos fortes

Casos de uso claros e específicos para detecção de ataques em SCADA/ICS, incluindo MITM em protocolos industriais, injeção de comandos em PLCs, comprometimento de HMI, adulteração de historian e DoS.
Boa evidência operacional: o skill inclui um SKILL.md robusto com seções de fluxo de trabalho, restrições, blocos de código e orientação direta sobre quando não usá-lo.
Materiais de apoio aumentam a utilidade para o agente, incluindo um script em Python e uma referência de API com portas SCADA, indicadores e detalhes de protocolos.

Pontos de atenção

Não há comando de instalação no SKILL.md, então a configuração e a ativação de dependências podem exigir interpretação manual do agente ou do usuário.
Parte do conteúdo de fluxo de trabalho parece ampla em vez de profundamente procedimental, então os agentes ainda podem precisar de conhecimento de domínio ao adaptar as detecções a um ambiente OT específico.

Scada Ics Industrial Control Ot Security Intrusion Detection Protocol Analysis Network Security Siem

Visão geral

Visão geral da skill detecting-attacks-on-scada-systems

detecting-attacks-on-scada-systems é uma skill de cibersegurança para identificar padrões de ataque em SCADA e outros ambientes OT/ICS, especialmente quando o monitoramento tradicional de TI deixa passar abuso de protocolo, writes inseguros ou manipulação em nível de processo. Use a detecting-attacks-on-scada-systems skill quando você precisar de orientação de detecção para PLCs, HMIs, historians, protocolos industriais ou telemetria de rede OT e quiser um fluxo de trabalho mais prático do que um prompt genérico de SOC.

Para que esta skill serve

Esta skill foi pensada para analistas e engenheiros que precisam detectar atividade suspeita em ambientes de controle ao vivo, criar detecções específicas para OT ou fazer triagem de alertas de plataformas de segurança industrial. Ela é especialmente útil para detecting-attacks-on-scada-systems for Incident Response quando o tempo é curto e você precisa de uma primeira análise defensável sobre o que verificar, o que registrar e qual comportamento de protocolo importa.

O que a torna diferente

O principal valor de detecting-attacks-on-scada-systems é que ela coloca o comportamento de protocolos industriais e o contexto do processo no centro da análise, e não apenas assinaturas. O repositório aponta para Modbus, S7comm, EtherNet/IP, DNP3, OPC-UA e superfícies de ataque semelhantes, o que importa porque muitas detecções em OT dependem do tipo de comando, do function code, do papel da estação ou de caminhos de escrita inesperados, e não só de indicadores de malware.

Quando ela é uma boa escolha

Use esta skill quando a tarefa for confirmar se o tráfego SCADA, os comandos dos dispositivos ou os dados do historian parecem anormais; mapear caminhos de ataque prováveis; ou transformar um alerta vago em passos concretos de verificação. Ela é uma escolha mais forte do que um prompt genérico de segurança de rede quando o ambiente inclui PLCs, dados em tempo real ou ferramentas de monitoramento OT, e você precisa de uma lógica de detecção que respeite as restrições operacionais.

Como usar a skill detecting-attacks-on-scada-systems

Instale e localize os arquivos centrais

Para detecting-attacks-on-scada-systems install, adicione a skill a partir do repositório e depois leia os arquivos que definem comportamento, exemplos e referências de apoio. Comece por SKILL.md e, em seguida, examine references/api-reference.md e scripts/agent.py para entender quais protocolos, indicadores e verificações a skill realmente suporta.

Dê à skill a entrada certa

O melhor detecting-attacks-on-scada-systems usage começa com um cenário bem delimitado: tipo de ativo, protocolo, sintomas observados, janela de tempo e quais evidências você já tem. Um prompt fraco é “verifique ataques SCADA”; um prompt mais forte é “faça a triagem de writes Modbus TCP para PLCs na porta 502 vindos de uma estação de engenharia, identifique function codes possivelmente maliciosos e liste os logs necessários para confirmar mudanças de controle não autorizadas.”

Padrão de prompt que funciona bem

Use um prompt que declare o ambiente, o comportamento suspeito e o resultado que você quer. Exemplo: “Usando o guia detecting-attacks-on-scada-systems, analise tráfego S7comm suspeito de um HMI para um PLC Siemens, priorize hipóteses de ataque e devolva passos de validação, checagens de falso positivo e notas de resposta a incidente.” Isso dá estrutura suficiente para a skill gerar lógica de detecção específica, em vez de conselhos genéricos de OT.

Leia o repositório nesta ordem

Se você quiser uma saída melhor, leia SKILL.md para entender o fluxo de trabalho, references/api-reference.md para portas e indicadores de protocolo e scripts/agent.py para a lógica de detecção que o repositório realmente codifica. A ordem dos arquivos importa porque ela revela as suposições da skill: serviços SCADA expostos, anomalias de protocolo e indicadores de ataque como writes incomuns, padrões de reconhecimento e exposição de serviços.

FAQ da skill detecting-attacks-on-scada-systems

Ela serve só para SCADA ou também para OT mais amplo?

Ela é centrada em SCADA, mas também é relevante para tarefas de detecção em OT/ICS em que protocolos industriais e processos de controle estão envolvidos. Se o ambiente tem PLCs, HMIs, dispositivos de campo, historians ou problemas de segmentação de rede de controle, detecting-attacks-on-scada-systems ainda pode ser uma boa escolha.

Preciso ser especialista em OT para usar?

Não, mas os resultados ficam muito melhores se você conseguir nomear o protocolo, o papel do ativo e o comportamento observável. Iniciantes podem usar a detecting-attacks-on-scada-systems skill com eficiência quando trazem entradas concretas como porta 502, um fornecedor específico de PLC, atividade suspeita de write ou uma fonte de alerta de um OT IDS.

Em que ela difere de um prompt normal?

Um prompt comum normalmente pede “ideias de detecção de ataque” e recebe orientações genéricas. detecting-attacks-on-scada-systems é mais útil quando você quer que o modelo foque no comportamento de protocolos industriais, em padrões de ataque prováveis e em passos de resposta compatíveis com as restrições de SCADA, em vez de playbooks gerais de segurança de TI.

Quando não devo usá-la?

Não use em ambientes só de TI, segurança de aplicações web genéricas ou casos em que você só precisa de triagem ampla de malware sem nenhum componente SCADA/ICS. Se não houver protocolo industrial, ativo de controle ou impacto de processo para analisar, esta skill será menos eficiente do que um fluxo de trabalho geral de cibersegurança ou detecção de rede.

Como melhorar a skill detecting-attacks-on-scada-systems

Forneça evidências específicas do protocolo

O maior ganho de qualidade vem de nomear o protocolo e a ação exata observada. Por exemplo, “write Modbus para coils a partir de um host que não é de engenharia”, “unexpected S7comm connection requests” ou “picos de polling DNP3 de uma nova origem” dão ao modelo algo real para analisar, enquanto “possível comprometimento SCADA” não ajuda muito.

Inclua contexto operacional e restrições

Conte à skill o que o site deveria estar fazendo, não apenas o que parece estranho. Indique se um write foi aprovado para manutenção, se o host é um HMI ou historian, se o ativo é crítico para segurança e se downtime é permitido; isso ajuda detecting-attacks-on-scada-systems a distinguir abuso de operação legítima.

Peça validação, não só detecção

As melhores respostas normalmente incluem checagens confirmatórias: campos de pacote para inspecionar, logs para coletar, comparações com baseline e testes de falso positivo. Se a primeira resposta vier genérica demais, refine com “priorize as três hipóteses principais, liste as evidências que confirmariam cada uma e diga o que as descartaria.”

Itere com um ativo e uma pergunta por vez

Não tente fazer a skill cobrir toda a planta, todos os protocolos e todas as ameaças de uma só vez. Delimite cada iteração para uma única classe de ativo ou fase do incidente e só expanda depois que a primeira resposta for útil; essa abordagem produz detecções mais precisas e um guia detecting-attacks-on-scada-systems mais acionável para sua equipe.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

Digital Forensics

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ajuda equipes de SOC e detecção a correlacionar offenses do IBM QRadar com AQL, contexto de offenses, regras personalizadas e dados de referência. Use este guia para investigar incidentes, reduzir falsos positivos e criar uma lógica de correlação mais forte para resposta a incidentes.

Incident Response

Favoritos 0GitHub 0

containing-active-breach

por mukul975

containing-active-breach é uma skill de resposta a incidentes para contenção de violações em andamento. Ela ajuda a isolar hosts, bloquear tráfego suspeito, desativar contas comprometidas e desacelerar o movimento lateral usando um guia estruturado de containing-active-breach com referências práticas de API e scripts.

Incident Response

Favoritos 0GitHub 0

configuring-suricata-for-network-monitoring

por mukul975

A skill configuring-suricata-for-network-monitoring ajuda a implantar e ajustar o Suricata para monitoramento IDS/IPS, registro em EVE JSON, gerenciamento de regras e saída pronta para SIEM. Ela é indicada para o fluxo de Security Audit com configuring-suricata-for-network-monitoring quando você precisa de configuração prática, validação e redução de falsos positivos.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-business-email-compromise

por mukul975

A skill detecting-business-email-compromise ajuda analistas, equipes de SOC e respondedores de incidentes a identificar tentativas de BEC usando checagens de cabeçalhos de e-mail, sinais de engenharia social, lógica de detecção e fluxos de trabalho voltados à resposta. Use-a como um guia prático de detecting-business-email-compromise para triagem, validação e contenção.

Incident Response

Favoritos 0GitHub 6.1k

detecting-email-forwarding-rules-attack

por mukul975

A skill detecting-email-forwarding-rules-attack ajuda equipes de Security Audit, threat hunting e resposta a incidentes a encontrar regras maliciosas de encaminhamento de caixa de correio usadas para persistência e coleta de e-mails. Ela orienta analistas em evidências do Microsoft 365 e Exchange, padrões suspeitos de regras e triagem prática de comportamentos de forwarding, redirect, delete e hide.

Security Audit

Favoritos 0GitHub 0