detecting-attacks-on-scada-systems

bởi mukul975

detecting-attacks-on-scada-systems là một skill an ninh mạng giúp phát hiện các cuộc tấn công vào môi trường SCADA và OT/ICS. Skill này hỗ trợ phân tích lạm dụng giao thức công nghiệp, lệnh PLC trái phép, xâm nhập HMI, chỉnh sửa historian và tấn công từ chối dịch vụ, kèm hướng dẫn thực tế cho ứng phó sự cố và kiểm chứng phát hiện.

Stars0

Yêu thích0

Bình luận0

Đã thêm9 thg 5, 2026

Danh mụcIncident Response

Lệnh cài đặt

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-attacks-on-scada-systems

Điểm tuyển chọn

Skill này đạt 78/100, cho thấy đây là ứng viên khá tốt cho Agent Skills Finder. Người dùng thư mục nên xem đây là lựa chọn đáng cài đặt cho quy trình phát hiện tấn công SCADA/OT: repo cung cấp đủ phạm vi phát hiện cụ thể, điều kiện kích hoạt và tài nguyên hỗ trợ để giảm đáng kể việc phải tự đoán như với một prompt chung chung, dù vẫn chưa được hoàn thiện trọn vẹn từ đầu đến cuối.

78/100

Điểm mạnh

Các trường hợp sử dụng rõ ràng, cụ thể cho phát hiện tấn công SCADA/ICS, bao gồm MITM trên giao thức công nghiệp, chèn lệnh PLC, xâm nhập HMI, chỉnh sửa historian và DoS.
Bằng chứng vận hành mạnh: skill có một file SKILL.md khá đầy đủ với các phần quy trình, ràng buộc, khối mã và hướng dẫn trực tiếp về thời điểm không nên dùng.
Tài liệu bổ trợ giúp agent khai thác tốt hơn, gồm một script Python và một API reference với các cổng SCADA, chỉ báo và chi tiết giao thức.

Điểm cần lưu ý

SKILL.md không có lệnh cài đặt, nên việc thiết lập và kích hoạt phụ thuộc có thể cần agent hoặc người dùng tự diễn giải thủ công.
Một số nội dung quy trình còn khá khái quát, chưa đi sâu vào thao tác cụ thể, nên agent vẫn có thể cần kiến thức miền khi điều chỉnh phát hiện cho một môi trường OT cụ thể.

Scada Ics Industrial Control Ot Security Intrusion Detection Protocol Analysis Network Security Siem

Tổng quan

Tổng quan về skill detecting-attacks-on-scada-systems

detecting-attacks-on-scada-systems là một skill an ninh mạng dành cho việc phát hiện các mẫu tấn công trong SCADA và các môi trường OT/ICS khác, đặc biệt hữu ích khi giám sát IT thông thường bỏ sót hành vi lạm dụng giao thức, ghi dữ liệu không an toàn, hoặc thao túng ở cấp độ quy trình. Hãy dùng detecting-attacks-on-scada-systems skill khi bạn cần hướng dẫn phát hiện cho PLC, HMI, historian, giao thức công nghiệp, hoặc telemetry mạng OT, và muốn một quy trình thực tế hơn so với một prompt SOC chung chung.

Skill này dùng để làm gì

Skill này hướng đến các nhà phân tích và kỹ sư cần phát hiện hoạt động đáng ngờ trong môi trường điều khiển trực tiếp, viết detection đặc thù OT, hoặc sàng lọc cảnh báo từ các nền tảng an ninh công nghiệp. Nó đặc biệt hữu ích cho detecting-attacks-on-scada-systems for Incident Response khi bạn có rất ít thời gian và cần một bước đánh giá đầu tiên có thể bảo vệ được: cần kiểm tra gì, cần ghi log gì, và hành vi giao thức nào là quan trọng.

Điều gì khiến skill này khác biệt

Giá trị chính của detecting-attacks-on-scada-systems là nó đặt trọng tâm vào hành vi giao thức công nghiệp và ngữ cảnh của quy trình, chứ không chỉ dựa vào signature. Repository này nhắc tới Modbus, S7comm, EtherNet/IP, DNP3, OPC-UA và các bề mặt tấn công tương tự, điều này rất quan trọng vì nhiều detection OT phụ thuộc vào loại lệnh, function code, vai trò của station, hoặc đường ghi dữ liệu bất thường, thay vì chỉ dựa vào dấu hiệu malware đơn giản.

Khi nào đây là lựa chọn phù hợp

Hãy dùng skill này khi nhiệm vụ là xác nhận liệu lưu lượng SCADA, lệnh trên thiết bị, hoặc dữ liệu historian có bất thường hay không; dựng bản đồ các đường tấn công có khả năng xảy ra; hoặc biến một cảnh báo mơ hồ thành các bước xác minh cụ thể. Nó phù hợp hơn một prompt an ninh mạng chung khi môi trường có PLC, dữ liệu thời gian thực, hoặc công cụ giám sát OT và bạn cần logic detection tôn trọng các ràng buộc vận hành.

Cách dùng skill detecting-attacks-on-scada-systems

Cài đặt và xác định các tệp lõi

Với detecting-attacks-on-scada-systems install, hãy thêm skill từ repository rồi đọc các tệp định nghĩa hành vi, ví dụ, và tài liệu tham chiếu hỗ trợ. Bắt đầu với SKILL.md, sau đó xem references/api-reference.md và scripts/agent.py để hiểu các giao thức, chỉ báo, và kiểm tra mà skill này thực sự hỗ trợ.

Cung cấp đúng đầu vào cho skill

Cách dùng detecting-attacks-on-scada-systems usage hiệu quả nhất là bắt đầu từ một tình huống hẹp: loại tài sản, giao thức, triệu chứng quan sát được, khung thời gian, và bằng chứng bạn đã có. Một prompt yếu là “kiểm tra SCADA có bị tấn công không”; prompt tốt hơn là “xử lý các lần ghi Modbus TCP tới PLC trên cổng 502 từ một engineering workstation, xác định function code nào có khả năng độc hại, và liệt kê các log cần có để xác nhận thay đổi điều khiển trái phép.”

Mẫu prompt hoạt động tốt

Hãy dùng một prompt nêu rõ môi trường, hành vi đáng ngờ, và đầu ra bạn muốn. Ví dụ: “Dùng hướng dẫn detecting-attacks-on-scada-systems, phân tích lưu lượng S7comm đáng ngờ từ HMI đến một Siemens PLC, ưu tiên các giả thuyết tấn công, và trả về các bước xác minh, kiểm tra false positive, cùng ghi chú cho incident response.” Cách này cho skill đủ cấu trúc để tạo ra logic detection cụ thể thay vì chỉ đưa lời khuyên OT chung chung.

Đọc repository theo thứ tự này

Nếu muốn đầu ra tốt hơn, hãy đọc SKILL.md để nắm workflow, references/api-reference.md để xem port và indicator của giao thức, rồi scripts/agent.py để hiểu logic detection mà repository thực sự mã hóa. Thứ tự tệp này rất quan trọng vì nó cho thấy các giả định của skill: dịch vụ SCADA lộ ra ngoài, bất thường giao thức, và các chỉ báo tấn công như ghi dữ liệu bất thường, mẫu recon, và dịch vụ bị phơi bày.

Câu hỏi thường gặp về skill detecting-attacks-on-scada-systems

Đây chỉ dành cho SCADA hay còn rộng hơn cả OT?

Skill này tập trung vào SCADA nhưng cũng hữu ích cho các tác vụ detection OT/ICS khác có liên quan đến giao thức công nghiệp và quy trình điều khiển. Nếu môi trường có PLC, HMI, thiết bị hiện trường, historian, hoặc vấn đề phân đoạn mạng điều khiển, detecting-attacks-on-scada-systems vẫn có thể là một lựa chọn phù hợp.

Tôi có cần là chuyên gia OT mới dùng được không?

Không, nhưng bạn sẽ nhận được kết quả tốt hơn nhiều nếu có thể nêu rõ giao thức, vai trò của tài sản, và hành vi quan sát được. Người mới vẫn có thể dùng detecting-attacks-on-scada-systems skill hiệu quả khi cung cấp đầu vào cụ thể như cổng 502, một hãng PLC cụ thể, hành vi ghi bất thường, hoặc nguồn cảnh báo từ OT IDS.

Skill này khác gì so với một prompt thông thường?

Một prompt thông thường thường chỉ hỏi “ý tưởng phát hiện tấn công” và nhận lại lời khuyên chung chung. detecting-attacks-on-scada-systems hữu ích hơn khi bạn muốn mô hình tập trung vào hành vi giao thức công nghiệp, mẫu tấn công có khả năng xảy ra, và các bước phản ứng phù hợp với ràng buộc SCADA thay vì các playbook an ninh IT tổng quát.

Khi nào không nên dùng skill này?

Đừng dùng nó cho môi trường chỉ có IT, bảo mật ứng dụng web chung, hoặc các trường hợp chỉ cần triage malware ở mức rộng mà không có thành phần SCADA/ICS nào. Nếu không có giao thức công nghiệp, tài sản điều khiển, hay tác động đến quy trình để phân tích, skill này sẽ kém hiệu quả hơn một workflow detection hoặc cybersecurity tổng quát.

Cách cải thiện skill detecting-attacks-on-scada-systems

Cung cấp bằng chứng theo từng giao thức

Cải thiện chất lượng lớn nhất đến từ việc nêu tên giao thức và hành động chính xác đã quan sát được. Ví dụ: “ghi Modbus vào coils từ một host không phải engineering,” “các yêu cầu kết nối S7comm bất thường,” hoặc “spike polling DNP3 từ một nguồn mới” sẽ cho mô hình dữ liệu thực để phân tích, trong khi “có thể SCADA bị xâm nhập” thì không.

Bổ sung ngữ cảnh vận hành và các ràng buộc

Hãy nói cho skill biết site này đáng lẽ phải làm gì, chứ không chỉ cái gì trông lạ. Cho biết liệu thao tác ghi đó có được bảo trì phê duyệt hay không, host đó là HMI hay historian, asset có thuộc nhóm an toàn quan trọng hay không, và có được phép downtime hay không; điều này giúp detecting-attacks-on-scada-systems phân biệt lạm dụng với hoạt động hợp lệ.

Hãy yêu cầu xác minh, không chỉ phát hiện

Những đầu ra tốt nhất thường bao gồm các bước kiểm chứng: trường packet nào cần xem, log nào cần lấy, so sánh baseline ra sao, và bài test nào giúp loại trừ false positive. Nếu câu trả lời đầu tiên còn quá rộng, hãy tinh chỉnh bằng câu như “ưu tiên ba giả thuyết hàng đầu, liệt kê bằng chứng xác nhận từng giả thuyết, và chỉ ra điều gì sẽ bác bỏ nó.”

Lặp lại với một tài sản và một câu hỏi

Đừng yêu cầu skill bao quát mọi nhà máy, mọi giao thức, và mọi mối đe dọa trong một lượt. Hãy thu hẹp mỗi vòng lặp vào một nhóm tài sản hoặc một giai đoạn của sự cố, rồi chỉ mở rộng sau khi câu trả lời đầu tiên đã hữu ích; cách này tạo ra các detection sắc hơn và một hướng dẫn detecting-attacks-on-scada-systems thực dụng hơn cho đội của bạn.

Đánh giá & nhận xét

Chưa có đánh giá nào

Chia sẻ nhận xét của bạn

Đăng nhập để chấm điểm và để lại nhận xét cho skill này.

0/10000

Nhận xét mới nhất

Đang lưu...

Thêm skill trong danh mục này

conducting-malware-incident-response

bởi mukul975

conducting-malware-incident-response giúp các nhóm IR sàng lọc nghi ngờ nhiễm mã độc, xác nhận lây nhiễm, khoanh vùng mức độ lan rộng, cô lập endpoint và hỗ trợ loại bỏ cùng khôi phục. Skill này được thiết kế cho conducting-malware-incident-response trong quy trình Incident Response, với các bước dựa trên bằng chứng, quyết định dựa trên telemetry và hướng dẫn cô lập thực tế.

Incident Response

Yêu thích 0GitHub 0

detecting-s3-data-exfiltration-attempts

bởi mukul975

detecting-s3-data-exfiltration-attempts giúp điều tra các khả năng đánh cắp dữ liệu trên AWS S3 bằng cách đối chiếu các sự kiện dữ liệu S3 trong CloudTrail, các finding của GuardDuty, cảnh báo Amazon Macie và mẫu truy cập S3. Hãy dùng skill detecting-s3-data-exfiltration-attempts này cho kiểm toán bảo mật, ứng phó sự cố và phân tích các đợt tải xuống hàng loạt đáng ngờ.

Security Audit

Yêu thích 0GitHub 6.2k

analyzing-usb-device-connection-history

bởi mukul975

analyzing-usb-device-connection-history giúp điều tra lịch sử kết nối thiết bị USB trên Windows bằng các hive registry, event log và `setupapi.dev.log` cho forensic số, điều tra mối đe doạ nội gián và ứng phó sự cố. Skill này hỗ trợ dựng lại timeline, đối chiếu thiết bị và phân tích bằng chứng từ thiết bị lưu trữ rời.

Digital Forensics

Yêu thích 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

bởi mukul975

analyzing-bootkit-and-rootkit-samples là một kỹ năng phân tích malware dành cho các cuộc điều tra MBR, VBR, UEFI và rootkit. Hãy dùng nó để kiểm tra boot sector, các mô-đun firmware và các dấu hiệu chống anti-rootkit khi sự xâm nhập vẫn tồn tại bên dưới lớp hệ điều hành. Kỹ năng này phù hợp với nhà phân tích cần một hướng dẫn thực dụng, quy trình rõ ràng và cách phân loại ưu tiên dựa trên bằng chứng cho Malware Analysis.

Malware Analysis

Yêu thích 0GitHub 6.2k

extracting-browser-history-artifacts

bởi mukul975

extracting-browser-history-artifacts là một kỹ năng Digital Forensics dùng để trích xuất lịch sử duyệt web, cookie, cache, lượt tải xuống và dấu trang từ Chrome, Firefox và Edge. Hãy dùng nó để chuyển các tệp hồ sơ trình duyệt thành chứng cứ sẵn sàng cho mốc thời gian, với quy trình hướng dẫn có thể lặp lại và bám sát từng vụ việc.

Digital Forensics

Yêu thích 0GitHub 0

detecting-ransomware-encryption-behavior

bởi mukul975

detecting-ransomware-encryption-behavior giúp người phòng thủ phát hiện kiểu mã hóa của ransomware bằng phân tích entropy, giám sát I/O tệp và các heuristic hành vi. Skill này phù hợp cho ứng cứu sự cố, tinh chỉnh SOC và kiểm chứng red-team khi bạn cần nhanh chóng phát hiện thay đổi hàng loạt trên tệp, các đợt đổi tên dồn dập và hoạt động đáng ngờ của tiến trình.

Incident Response

Yêu thích 0GitHub 0

detecting-privilege-escalation-attempts

bởi mukul975

detecting-privilege-escalation-attempts giúp săn tìm leo thang đặc quyền trên Windows và Linux, bao gồm thao túng token, UAC bypass, đường dẫn dịch vụ không được đặt trong dấu ngoặc kép, khai thác kernel và lạm dụng sudo/doas. Phù hợp cho các đội threat hunting cần một quy trình thực chiến, truy vấn tham chiếu và script hỗ trợ.

Threat Hunting

Yêu thích 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

bởi mukul975

Skill detecting-evasion-techniques-in-endpoint-logs giúp săn tìm kỹ thuật né tránh phòng thủ trong log endpoint Windows, bao gồm xóa log, timestomping, chèn tiến trình và vô hiệu hóa công cụ bảo mật. Hãy dùng nó cho threat hunting, detection engineering và triage sự cố với Sysmon, Windows Security hoặc telemetry từ EDR.

Threat Hunting

Yêu thích 0GitHub 0

analyzing-network-traffic-for-incidents

bởi mukul975

analyzing-network-traffic-for-incidents giúp người xử lý sự cố phân tích PCAP, flow log và bản bắt gói để xác nhận C2, di chuyển ngang, exfiltration và các nỗ lực khai thác lỗ hổng. Skill này được xây dựng cho phân tích lưu lượng mạng khi Incident Response, với Wireshark, Zeek và điều tra theo kiểu NetFlow.

Incident Response

Yêu thích 0GitHub 0

detecting-credential-dumping-techniques

bởi mukul975

Skill detecting-credential-dumping-techniques giúp bạn phát hiện truy cập LSASS, xuất SAM, đánh cắp NTDS.dit và lạm dụng comsvcs.dll MiniDump bằng Sysmon Event ID 10, Windows Security logs và các quy tắc tương quan SIEM. Skill này được xây dựng cho các quy trình threat hunting, detection engineering và Security Audit.

Security Audit

Yêu thích 0GitHub 0

correlating-security-events-in-qradar

bởi mukul975

correlating-security-events-in-qradar giúp các nhóm SOC và phát hiện mối đe dọa đối chiếu các offense trong IBM QRadar bằng AQL, ngữ cảnh offense, rules tùy chỉnh và reference data. Dùng hướng dẫn này để điều tra sự cố, giảm false positive và xây dựng logic correlation mạnh hơn cho Incident Response.

Incident Response

Yêu thích 0GitHub 0

containing-active-breach

bởi mukul975

containing-active-breach là một kỹ năng ứng phó sự cố dành cho việc cô lập vi phạm đang diễn ra. Kỹ năng này giúp cô lập máy chủ, chặn lưu lượng đáng ngờ, vô hiệu hóa tài khoản bị xâm nhập và làm chậm chuyển động ngang bằng một hướng dẫn containing-active-breach có cấu trúc, kèm tham chiếu API và script thực tiễn.

Incident Response

Yêu thích 0GitHub 0

configuring-suricata-for-network-monitoring

bởi mukul975

Kỹ năng configuring-suricata-for-network-monitoring giúp triển khai và tinh chỉnh Suricata cho giám sát IDS/IPS, ghi log EVE JSON, quản lý rules và đầu ra sẵn sàng cho SIEM. Đây là lựa chọn phù hợp cho quy trình Security Audit với configuring-suricata-for-network-monitoring khi bạn cần thiết lập thực tế, kiểm tra xác thực và giảm false positive.

Security Audit

Yêu thích 0GitHub 0

detecting-process-injection-techniques

bởi mukul975

detecting-process-injection-techniques giúp phân tích hoạt động bất thường trong bộ nhớ, xác thực cảnh báo EDR, và nhận diện process hollowing, APC injection, thread hijacking, reflective loading, cùng DLL injection cổ điển cho kiểm toán bảo mật và sàng lọc malware.

Security Audit

Yêu thích 0GitHub 0

detecting-business-email-compromise

bởi mukul975

Skill phát hiện BEC giúp nhà phân tích, đội SOC và người ứng phó sự cố nhận diện các cuộc tấn công Business Email Compromise (BEC) bằng kiểm tra header email, dấu hiệu lừa đảo xã hội, logic phát hiện và quy trình xử lý theo hướng phản ứng. Hãy dùng đây như một hướng dẫn thực hành về phát hiện BEC cho việc triage, xác thực và cô lập sự cố.

Incident Response

Yêu thích 0GitHub 6.1k

detecting-email-forwarding-rules-attack

bởi mukul975

Kỹ năng phát hiện tấn công quy tắc chuyển tiếp email giúp các nhóm Security Audit, threat hunting và incident response tìm ra các quy tắc chuyển tiếp hộp thư độc hại được dùng để duy trì hiện diện và thu thập email. Kỹ năng này hướng dẫn nhà phân tích xem xét bằng chứng trong Microsoft 365 và Exchange, nhận diện các mẫu quy tắc đáng ngờ, và triage thực tế cho các hành vi chuyển tiếp, chuyển hướng, xóa và ẩn.

Security Audit

Yêu thích 0GitHub 0