Threat Intelligence

analyzing-campaign-attribution-evidence ajuda analistas a ponderar sobreposição de infraestrutura, consistência com ATT&CK, similaridade de malware, timing e traços de linguagem para uma atribuição de campanha defensável. Use este guia do analyzing-campaign-attribution-evidence em CTI, análise de incidentes e revisões de Security Audit.

Skill de análise de logs de atividade do Azure para consultar logs de atividade do Azure Monitor e logs de entrada, identificando ações administrativas suspeitas, impossible travel, escalada de privilégios e adulteração de recursos. Feito para triagem de incidentes, com padrões KQL, um caminho de execução e orientação prática sobre tabelas de logs do Azure.

analyzing-apt-group-with-mitre-navigator ajuda analistas a mapear técnicas de grupos APT em camadas do MITRE ATT&CK Navigator para análise de lacunas de detecção, modelagem de ameaças e fluxos repetíveis de inteligência de ameaças. Inclui orientações práticas para consultar dados do ATT&CK, gerar camadas e comparar a cobertura de TTPs de adversários.

detecting-cloud-threats-with-guardduty orienta equipes AWS a habilitar o Amazon GuardDuty, revisar findings e montar respostas automatizadas para ameaças na nuvem em várias contas e workloads. É útil para instalação, uso e operações do dia a dia do GuardDuty em Cloud Architecture.

detecting-aws-cloudtrail-anomalies ajuda a analisar a atividade do AWS CloudTrail em busca de origens incomuns de chamadas de API, ações executadas pela primeira vez, chamadas em alta frequência e comportamentos suspeitos ligados a comprometimento de credenciais ou escalada de privilégios. Use-o para detecção estruturada de anomalias com boto3, definição de baseline e análise de campos dos eventos.

A skill conducting-phishing-incident-response ajuda a investigar emails suspeitos, extrair indicadores, avaliar autenticação e recomendar ações de resposta a phishing. Ela dá suporte a fluxos de Trabalho de Resposta a Incidentes para triagem de mensagens, casos de phishing de credenciais, checagem de URLs e anexos e remediação de caixa de correio. Use quando precisar de um guia estruturado em vez de um prompt genérico.

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

A skill collecting-threat-intelligence-with-misp ajuda você a coletar, normalizar, pesquisar e exportar inteligência de ameaças no MISP. Use este guia de collecting-threat-intelligence-with-misp para feeds, fluxos de trabalho com PyMISP, filtragem de eventos, redução de warninglists e aplicações práticas de collecting-threat-intelligence-with-misp para Threat Modeling e operações de CTI.

Skill building-threat-intelligence-platform para projetar, implantar e revisar uma plataforma de inteligência de ameaças com MISP, OpenCTI, TheHive, Cortex, STIX/TAXII e Elasticsearch. Use-a para orientação de instalação, fluxos de uso e planejamento de Security Audit com base em referências de repositório e scripts.

A skill automating-ioc-enrichment ajuda a automatizar o enriquecimento de IOCs com VirusTotal, AbuseIPDB, Shodan e STIX 2.1 para playbooks de SOAR, pipelines em Python e Workflow Automation. Use esta skill automating-ioc-enrichment para padronizar contexto pronto para analistas, reduzir o tempo de triagem e gerar saídas de enriquecimento repetíveis.

O analyzing-threat-intelligence-feeds ajuda você a ingerir feeds de CTI, normalizar indicadores, avaliar a qualidade dos feeds e enriquecer IOCs para fluxos de trabalho com STIX 2.1. Este skill analyzing-threat-intelligence-feeds foi criado para operações de threat intel e análise de dados, com orientações práticas para TAXII, MISP e feeds comerciais.

A skill de análise de mecanismos de persistência no Linux ajuda a investigar persistência em sistemas Linux após comprometimento, incluindo jobs de crontab, unidades systemd, abuso de LD_PRELOAD, alterações em perfis de shell e backdoors em SSH authorized_keys. Ela foi pensada para workflows de resposta a incidentes, threat hunting e auditoria de segurança com auditd e verificações de integridade de arquivos.