Windows

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Guia de configuração de HIDS para implementar monitoramento de integridade de arquivos, mudanças no sistema e segurança de endpoint voltada à conformidade com Wazuh, OSSEC ou AIDE, no contexto de fluxos de trabalho de Auditoria de Segurança.

Use a skill windows-vm para criar, gerenciar e acessar via SSH uma VM Windows 11 headless no Docker com aceleração KVM. Ela é indicada para automação de desktop, configuração de aplicativos Windows e fluxos de trabalho repetíveis com agentes quando você precisa de um ambiente Windows real sem usar RDP manualmente.

A skill extracting-windows-event-logs-artifacts ajuda você a extrair, interpretar e analisar Windows Event Logs (EVTX) para perícia digital, resposta a incidentes e threat hunting. Ela dá suporte à revisão estruturada de logons, criação de processos, instalação de serviços, tarefas agendadas, alterações de privilégios e limpeza de logs com Chainsaw, Hayabusa e EvtxECmd.

A skill detecting-wmi-persistence ajuda threat hunters e analistas de DFIR a detectar persistência por WMI Event Subscription em telemetria do Windows usando os Sysmon Event IDs 19, 20 e 21. Use-a para identificar atividade maliciosa de EventFilter, EventConsumer e FilterToConsumerBinding, validar achados e separar persistência de atacante de automação administrativa legítima.

detecting-process-hollowing-technique ajuda a caçar process hollowing (T1055.012) em telemetria do Windows correlacionando execuções suspensas, adulteração de memória, anomalias entre processo pai e filho e evidências de API. Feita para threat hunters, detection engineers e responders que precisam de um detecting-process-hollowing-technique prático para o fluxo de trabalho de Threat Hunting.

analyzing-memory-dumps-with-volatility é uma skill do Volatility 3 para forense de memória, triagem de malware, processos ocultos, injeção, atividade de rede e credenciais em dumps de RAM no Windows, Linux ou macOS. Use-a quando precisar de um guia repetível de analyzing-memory-dumps-with-volatility para resposta a incidentes e análise de malware.

detecting-lateral-movement-in-network ajuda a detectar movimentação lateral pós-comprometimento em redes corporativas usando logs de eventos do Windows, telemetria do Zeek, SMB, RDP e correlação com SIEM. É útil para threat hunting, resposta a incidentes e revisões de Security Audit com fluxos práticos de detecção.

Guia de deploying-osquery-for-endpoint-monitoring para implantar e configurar o osquery com visibilidade de endpoints, monitoramento em toda a frota e threat hunting orientado por SQL. Use para planejar a instalação, consultar o fluxo de trabalho e as referências de API e operacionalizar consultas agendadas, coleta de logs e revisão केंदralizada em endpoints Windows, macOS e Linux.

deploying-edr-agent-with-crowdstrike ajuda a planejar, instalar e verificar a implantação do sensor CrowdStrike Falcon em endpoints Windows, macOS e Linux. Use este skill de deploying-edr-agent-with-crowdstrike para orientar a instalação, configurar políticas, integrar a telemetria ao SIEM e preparar a resposta a incidentes.

Skill de configuração avançada do Windows Defender para hardening do Microsoft Defender for Endpoint. Cobre regras ASR, acesso controlado a pastas, proteção de rede, proteção contra exploração, planejamento de implantação e orientação de rollout com foco inicial em auditoria para engenheiros de segurança, administradores de TI e fluxos de trabalho de auditoria de segurança.

analyzing-windows-registry-for-artifacts ajuda analistas a extrair evidências de hives do Windows Registry para identificar atividade de usuários, software instalado, autoruns, histórico de USB e indicadores de comprometimento em fluxos de resposta a incidentes ou auditoria de segurança.

analyzing-windows-prefetch-with-python analisa arquivos Windows Prefetch (.pf) com windowsprefetch para reconstruir o histórico de execução, identificar binários renomeados ou que tentam se passar por outros e apoiar a triagem de incidentes e a análise de malware.

A skill de análise de logs de eventos do Windows no Splunk ajuda analistas de SOC a investigar logs de Security, System e Sysmon no Splunk para ataques de autenticação, elevação de privilégio, persistência e movimento lateral. Use-a para triagem de incidentes, engenharia de detecção e análise de linha do tempo, com padrões SPL mapeados e orientação por IDs de evento.

A skill analyzing-windows-amcache-artifacts faz o parsing dos dados do Windows Amcache.hve para recuperar evidências de execução de programas, software instalado, atividade de dispositivos e carregamento de drivers em fluxos de trabalho de DFIR e auditoria de segurança. Ela usa o AmcacheParser e orientações baseadas em regipy para apoiar a extração de artefatos, a correlação por SHA-1 e a revisão de linha do tempo.

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Skill de análise de PowerShell Script Block Logging para analisar o Event ID 4104 do Windows PowerShell a partir de arquivos EVTX, reconstruir blocos de script fragmentados e sinalizar comandos ofuscados, payloads codificados, abuso de Invoke-Expression, download cradles e tentativas de bypass do AMSI em trabalhos de auditoria de segurança.

A skill winui-app ajuda você a iniciar, construir e resolver problemas de apps desktop WinUI 3 com C# e o Windows App SDK. Use-a para verificar se o ambiente está pronto, configurar um novo app, decidir entre shell e navegação, lidar com controles XAML, temas, acessibilidade, implantação e fluxos de correção de inicialização no Desenvolvimento Frontend.

A skill screenshot ajuda a capturar a tela inteira, uma janela de app ou uma região de pixels quando você precisa de uma imagem no nível do sistema operacional, em vez de uma captura apenas do navegador. Use-a para uso de screenshot em Workflow Automation, com regras de local de salvamento, tratamento de permissões no macOS e orientações claras de instalação para garantir capturas de desktop confiáveis.