Incident Triage

llm-trading-agent-security là một hướng dẫn thực tiễn để bảo vệ các tác nhân giao dịch tự động có quyền truy cập ví. Nội dung bao gồm chống prompt injection, giới hạn chi tiêu, mô phỏng trước khi gửi, cơ chế ngắt mạch, thực thi có tính đến MEV và cô lập khóa nhằm giảm rủi ro thua lỗ tài chính trong một Security Audit.

Skill memory-forensics dành cho thu thập RAM và phân tích memory dump bằng Volatility 3. Nội dung bao gồm bối cảnh cài đặt, quy trình sử dụng, trích xuất artifact và triage sự cố trên Windows, Linux, macOS và bộ nhớ máy ảo.

postmortem-writing giúp các nhóm xây dựng báo cáo postmortem sự cố theo hướng không đổ lỗi, với mốc thời gian, phân tích nguyên nhân gốc rễ, các yếu tố góp phần, mức độ ảnh hưởng và hạng mục theo dõi có thể hành động sau sự cố ngừng dịch vụ hoặc tình huống suýt xảy ra lỗi.

Tìm hiểu skill on-call-handoff-patterns để bàn giao ca trực ổn định và đáng tin cậy. Dùng skill này để chuẩn hóa bàn giao sự cố, ghi lại vấn đề đang mở, thay đổi gần đây, trạng thái leo thang xử lý và các bước tiếp theo cho đội Reliability.

incident-runbook-templates giúp các nhóm xây dựng runbook ứng phó sự cố có cấu trúc rõ ràng, với các bước phân loại ban đầu, giảm thiểu tác động, leo thang, truyền thông và khôi phục cho sự cố gián đoạn và Playbooks vận hành.

detecting-shadow-it-cloud-usage giúp phát hiện việc sử dụng SaaS và dịch vụ cloud trái phép từ proxy logs, DNS queries và netflow. Skill này phân loại domain, đối chiếu với danh sách được phê duyệt, và hỗ trợ quy trình kiểm tra an ninh bằng bằng chứng có cấu trúc từ hướng dẫn của detecting-shadow-it-cloud-usage skill.

detecting-service-account-abuse là một skill săn tìm mối đe doạ để phát hiện việc lạm dụng service account trên dữ liệu telemetry từ Windows, AD, SIEM và EDR. Skill này tập trung vào các đăng nhập tương tác đáng ngờ, leo thang đặc quyền, di chuyển ngang và các bất thường trong truy cập, đồng thời cung cấp mẫu săn tìm, event ID và tham chiếu quy trình để hỗ trợ điều tra lặp lại, nhất quán.

Kỹ năng building-ioc-defanging-and-sharing-pipeline giúp trích xuất IOC, defang URL, IP, domain, email và hash, sau đó chuyển đổi và chia sẻ chúng dưới dạng STIX 2.1 qua TAXII hoặc MISP cho quy trình kiểm toán bảo mật và threat intel.

building-incident-timeline-with-timesketch giúp các đội DFIR xây dựng dòng thời gian sự cố cộng tác trong Timesketch bằng cách nạp dữ liệu bằng chứng Plaso, CSV hoặc JSONL, chuẩn hóa dấu thời gian, đối chiếu sự kiện và ghi lại chuỗi tấn công cho việc phân tích, xử lý ban đầu và báo cáo sự cố.

building-incident-response-playbook giúp các đội ngũ bảo mật tạo playbook ứng phó sự cố có thể tái sử dụng, với các giai đoạn từng bước, cây quyết định, tiêu chí leo thang, phân công RACI và cấu trúc sẵn sàng cho SOAR. Công cụ này được thiết kế cho tài liệu quy trình ứng phó sự cố, luồng triage sự cố và các kế hoạch phản ứng vận hành thân thiện với kiểm toán.

detecting-modbus-protocol-anomalies giúp phát hiện hành vi đáng ngờ của Modbus/TCP và Modbus RTU trong mạng OT và ICS, bao gồm function code không hợp lệ, truy cập register ngoài phạm vi, thời gian polling bất thường, ghi trái phép và frame bị lỗi định dạng. Hữu ích cho Security Audit và triage dựa trên bằng chứng.

Skill phát hiện BEC giúp nhà phân tích, đội SOC và người ứng phó sự cố nhận diện các cuộc tấn công Business Email Compromise (BEC) bằng kiểm tra header email, dấu hiệu lừa đảo xã hội, logic phát hiện và quy trình xử lý theo hướng phản ứng. Hãy dùng đây như một hướng dẫn thực hành về phát hiện BEC cho việc triage, xác thực và cô lập sự cố.

detecting-beaconing-patterns-with-zeek giúp phân tích các khoảng thời gian trong Zeek `conn.log` để phát hiện beaconing kiểu C2. Kỹ năng này dùng ZAT, nhóm các luồng theo nguồn, đích và cổng, rồi chấm điểm các mẫu có độ dao động thấp bằng các kiểm tra thống kê. Phù hợp cho SOC, threat hunting, ứng phó sự cố, và các quy trình Security Audit cần detecting-beaconing-patterns-with-zeek.

detecting-azure-service-principal-abuse giúp phát hiện, điều tra và ghi lại hoạt động đáng ngờ của Microsoft Entra ID service principal trong Azure. Hãy dùng nó cho Security Audit, ứng phó sự cố trên cloud và threat hunting để rà soát thay đổi thông tin xác thực, lạm dụng admin consent, gán vai trò, đường dẫn sở hữu và bất thường đăng nhập.

analyzing-security-logs-with-splunk giúp điều tra các sự kiện bảo mật trong Splunk bằng cách đối chiếu log Windows, firewall, proxy và xác thực thành dòng thời gian cùng bằng chứng. Skill analyzing-security-logs-with-splunk này là một hướng dẫn thực tiễn cho Security Audit, ứng phó sự cố và threat hunting.

analyzing-ransomware-network-indicators giúp phân tích `Zeek conn.log` và `NetFlow` để phát hiện beaconing C2, TOR exit, exfiltration và DNS đáng ngờ cho kiểm toán bảo mật và ứng phó sự cố.

analyzing-ransomware-leak-site-intelligence giúp theo dõi các site rò rỉ dữ liệu của ransomware, trích xuất tín hiệu về nạn nhân và nhóm tấn công, đồng thời tạo ra tình báo mối đe dọa có cấu trúc cho ứng phó sự cố, đánh giá rủi ro theo ngành và theo dõi đối thủ.

Kỹ năng analyzing-azure-activity-logs-for-threats dùng để truy vấn nhật ký hoạt động và nhật ký đăng nhập của Azure Monitor, nhằm phát hiện các hành động quản trị đáng ngờ, di chuyển bất khả thi, leo thang đặc quyền và can thiệp tài nguyên. Được xây dựng cho giai đoạn triage sự cố với các mẫu KQL, luồng thực thi và hướng dẫn thực tế về bảng nhật ký Azure.

analyzing-apt-group-with-mitre-navigator giúp nhà phân tích ánh xạ các kỹ thuật của nhóm APT vào các layer MITRE ATT&CK Navigator để phân tích khoảng trống phát hiện, mô hình hóa mối đe dọa và xây dựng quy trình tình báo mối đe dọa có thể lặp lại. Nội dung đi kèm hướng dẫn thực tế về tra cứu dữ liệu ATT&CK, tạo layer và so sánh mức độ bao phủ TTP của đối thủ.

eradicating-malware-from-infected-systems là một kỹ năng ứng phó sự cố an ninh mạng để loại bỏ malware, backdoor và các cơ chế bám trụ sau khi đã cô lập. Kỹ năng này bao gồm hướng dẫn quy trình, các tệp tham chiếu và script cho việc dọn dẹp trên Windows và Linux, xoay vòng thông tin đăng nhập, khắc phục nguyên nhân gốc và xác minh kết quả.

Phân tích log WAF và audit để phát hiện các chiến dịch SQL injection bằng detecting-sql-injection-via-waf-logs. Được xây dựng cho quy trình Security Audit và SOC, skill này đọc các sự kiện từ ModSecurity, AWS WAF và Cloudflare, phân loại các mẫu UNION SELECT, OR 1=1, SLEEP() và BENCHMARK(), tương quan nguồn tấn công và tạo ra các phát hiện theo hướng xử lý sự cố.

detecting-privilege-escalation-attempts giúp săn tìm leo thang đặc quyền trên Windows và Linux, bao gồm thao túng token, UAC bypass, đường dẫn dịch vụ không được đặt trong dấu ngoặc kép, khai thác kernel và lạm dụng sudo/doas. Phù hợp cho các đội threat hunting cần một quy trình thực chiến, truy vấn tham chiếu và script hỗ trợ.

detecting-port-scanning-with-fail2ban giúp cấu hình Fail2ban để phát hiện quét cổng, các попыт thử brute force SSH và hoạt động do thám, sau đó chặn các IP đáng ngờ và cảnh báo cho đội ngũ an ninh. Skill này phù hợp với các workflow tăng cường bảo mật và phát hiện quét cổng trong quy trình Security Audit, với hướng dẫn thực tiễn về log, jail, filter và tinh chỉnh an toàn.

detecting-pass-the-ticket-attacks giúp phát hiện hoạt động Kerberos Pass-the-Ticket bằng cách tương quan các Windows Security Event ID 4768, 4769 và 4771. Hãy dùng nó để threat hunting trong Splunk hoặc Elastic nhằm phát hiện việc tái sử dụng ticket, hạ cấp RC4 và lưu lượng TGS bất thường, kèm truy vấn thực tế và hướng dẫn về field.