Incident Response

building-incident-timeline-with-timesketch ajuda equipes de DFIR a montar linhas do tempo colaborativas de incidentes no Timesketch, ingerindo evidências em Plaso, CSV ou JSONL, normalizando timestamps, correlacionando eventos e documentando cadeias de ataque para triagem e elaboração de relatórios de incidentes.

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

detecting-beaconing-patterns-with-zeek ajuda a analisar intervalos do `conn.log` do Zeek para detectar beaconing no estilo C2. Usa ZAT, agrupa fluxos por origem, destino e porta, e pontua padrões de baixo jitter com verificações estatísticas. É ideal para SOC, threat hunting, resposta a incidentes e fluxos de Security Audit com detecting-beaconing-patterns-with-zeek.

A skill building-phishing-reporting-button-workflow ajuda a desenhar um fluxo de botão para reportar phishing que preserva o e-mail original, extrai IOCs, classifica os relatos e direciona a triagem e o feedback para Microsoft 365 ou configurações de segurança de e-mail semelhantes.

analyzing-supply-chain-malware-artifacts é uma skill de análise de malware voltada a rastrear atualizações trojanizadas, dependências contaminadas e adulteração em pipelines de build. Use-a para comparar artefatos confiáveis e não confiáveis, extrair indicadores, avaliar a extensão da comprometimento e relatar as descobertas com menos achismos.

analyzing-security-logs-with-splunk ajuda a investigar eventos de segurança no Splunk correlacionando logs do Windows, firewall, proxy e autenticação em linhas do tempo e evidências. Este skill analyzing-security-logs-with-splunk é um guia prático para auditoria de segurança, resposta a incidentes e threat hunting.

analyzing-ransomware-network-indicators ajuda a analisar `Zeek conn.log` e `NetFlow` para identificar beaconing de C2, saídas TOR, exfiltração e DNS suspeito em auditorias de segurança e resposta a incidentes.

analyzing-ransomware-leak-site-intelligence ajuda a monitorar sites de vazamento de dados de ransomware, extrair sinais de vítimas e grupos, e gerar inteligência de ameaças estruturada para resposta a incidentes, análise de risco setorial e acompanhamento de adversários.

Analise logs de WAF e auditoria para detectar campanhas de SQL injection com detecting-sql-injection-via-waf-logs. Voltado para fluxos de Security Audit e SOC, ele interpreta eventos do ModSecurity, AWS WAF e Cloudflare, classifica padrões como UNION SELECT, OR 1=1, SLEEP() e BENCHMARK(), correlaciona origens e gera achados orientados a incidentes.

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

containing-active-breach é uma skill de resposta a incidentes para contenção de violações em andamento. Ela ajuda a isolar hosts, bloquear tráfego suspeito, desativar contas comprometidas e desacelerar o movimento lateral usando um guia estruturado de containing-active-breach com referências práticas de API e scripts.

Skill collecting-indicators-of-compromise para extrair, enriquecer, pontuar e exportar IOCs a partir de evidências de incidentes. Use em fluxos de Auditoria de Segurança, compartilhamento de threat intel e saída em STIX 2.1 quando você precisar de um guia prático de collecting-indicators-of-compromise em vez de um prompt genérico de resposta a incidentes.

O building-vulnerability-scanning-workflow ajuda equipes de SOC a estruturar um processo repetível de varredura de vulnerabilidades para descoberta, priorização, acompanhamento de correções e relatórios em todos os ativos. Ele atende casos de uso de Security Audit com orquestração de scanners, priorização de risco com base no KEV e orientação de fluxo de trabalho que vai além de uma varredura pontual.

Skill building-soc-playbook-for-ransomware para equipes de SOC que precisam de um playbook estruturado de resposta a ransomware. Cobre gatilhos de detecção, contenção, erradicação, recuperação e procedimentos prontos para auditoria, alinhados à NIST SP 800-61 e ao MITRE ATT&CK. Use para criação prática de playbooks, exercícios tabletop e apoio a auditorias de segurança.

Use a skill building-soc-escalation-matrix para criar uma matriz de escalonamento SOC estruturada, com níveis de severidade, SLAs de resposta, fluxos de escalonamento e regras de notificação. Ela inclui modelo, mapeamento para padrões, fluxos de trabalho e scripts para uso prático do building-soc-escalation-matrix em operações de segurança e trabalho de auditoria.

building-incident-response-dashboard ajuda equipes a criar dashboards de resposta a incidentes em tempo real no Splunk, Elastic ou Grafana, com acompanhamento de incidentes ativos, status de contenção, ativos afetados, propagação de IOCs e linha do tempo da resposta. Use este skill building-incident-response-dashboard quando precisar de um dashboard focado para analistas de SOC, comandantes de incidente e liderança.

analyzing-windows-registry-for-artifacts ajuda analistas a extrair evidências de hives do Windows Registry para identificar atividade de usuários, software instalado, autoruns, histórico de USB e indicadores de comprometimento em fluxos de resposta a incidentes ou auditoria de segurança.

analyzing-windows-prefetch-with-python analisa arquivos Windows Prefetch (.pf) com windowsprefetch para reconstruir o histórico de execução, identificar binários renomeados ou que tentam se passar por outros e apoiar a triagem de incidentes e a análise de malware.

A skill analyzing-windows-amcache-artifacts faz o parsing dos dados do Windows Amcache.hve para recuperar evidências de execução de programas, software instalado, atividade de dispositivos e carregamento de drivers em fluxos de trabalho de DFIR e auditoria de segurança. Ela usa o AmcacheParser e orientações baseadas em regipy para apoiar a extração de artefatos, a correlação por SHA-1 e a revisão de linha do tempo.

A skill de análise de TTPs de threat actors com MITRE ATT&CK ajuda a mapear relatórios de ameaças para táticas, técnicas e sub-técnicas do MITRE ATT&CK, construir visões de cobertura e priorizar lacunas de detecção. Ela inclui um modelo de relatório, referências do ATT&CK e scripts para consulta de técnicas e análise de gaps, sendo útil para CTI, SOC, engenharia de detecção e modelagem de ameaças.

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Skill de análise de PowerShell Script Block Logging para analisar o Event ID 4104 do Windows PowerShell a partir de arquivos EVTX, reconstruir blocos de script fragmentados e sinalizar comandos ofuscados, payloads codificados, abuso de Invoke-Expression, download cradles e tentativas de bypass do AMSI em trabalhos de auditoria de segurança.

A skill de análise de mecanismos de persistência no Linux ajuda a investigar persistência em sistemas Linux após comprometimento, incluindo jobs de crontab, unidades systemd, abuso de LD_PRELOAD, alterações em perfis de shell e backdoors em SSH authorized_keys. Ela foi pensada para workflows de resposta a incidentes, threat hunting e auditoria de segurança com auditd e verificações de integridade de arquivos.

analyzing-mft-for-deleted-file-recovery ajuda a recuperar metadados de arquivos deletados e possíveis indícios de caminho ou conteúdo, analisando registros NTFS de $MFT, $LogFile, $UsnJrnl e o espaço slack do MFT. Foi criado para fluxos de trabalho de DFIR e Security Audit com MFTECmd, analyzeMFT e X-Ways Forensics.