Incident Response

building-incident-timeline-with-timesketch giúp các đội DFIR xây dựng dòng thời gian sự cố cộng tác trong Timesketch bằng cách nạp dữ liệu bằng chứng Plaso, CSV hoặc JSONL, chuẩn hóa dấu thời gian, đối chiếu sự kiện và ghi lại chuỗi tấn công cho việc phân tích, xử lý ban đầu và báo cáo sự cố.

building-incident-response-playbook giúp các đội ngũ bảo mật tạo playbook ứng phó sự cố có thể tái sử dụng, với các giai đoạn từng bước, cây quyết định, tiêu chí leo thang, phân công RACI và cấu trúc sẵn sàng cho SOAR. Công cụ này được thiết kế cho tài liệu quy trình ứng phó sự cố, luồng triage sự cố và các kế hoạch phản ứng vận hành thân thiện với kiểm toán.

detecting-beaconing-patterns-with-zeek giúp phân tích các khoảng thời gian trong Zeek `conn.log` để phát hiện beaconing kiểu C2. Kỹ năng này dùng ZAT, nhóm các luồng theo nguồn, đích và cổng, rồi chấm điểm các mẫu có độ dao động thấp bằng các kiểm tra thống kê. Phù hợp cho SOC, threat hunting, ứng phó sự cố, và các quy trình Security Audit cần detecting-beaconing-patterns-with-zeek.

Kỹ năng building-phishing-reporting-button-workflow giúp bạn thiết kế quy trình nút báo cáo phishing, giữ nguyên email gốc, trích xuất IOC, phân loại báo cáo và điều phối triage cùng phản hồi cho Microsoft 365 hoặc các hệ thống bảo mật email tương tự.

analyzing-supply-chain-malware-artifacts là một skill phân tích malware dùng để truy vết các bản cập nhật bị cài trojan, dependency bị đầu độc và việc can thiệp vào pipeline build. Hãy dùng nó để so sánh artefact đáng tin cậy và không đáng tin cậy, trích xuất chỉ dấu, đánh giá phạm vi bị xâm nhập, và báo cáo phát hiện với ít phải phỏng đoán hơn.

analyzing-security-logs-with-splunk giúp điều tra các sự kiện bảo mật trong Splunk bằng cách đối chiếu log Windows, firewall, proxy và xác thực thành dòng thời gian cùng bằng chứng. Skill analyzing-security-logs-with-splunk này là một hướng dẫn thực tiễn cho Security Audit, ứng phó sự cố và threat hunting.

analyzing-ransomware-network-indicators giúp phân tích `Zeek conn.log` và `NetFlow` để phát hiện beaconing C2, TOR exit, exfiltration và DNS đáng ngờ cho kiểm toán bảo mật và ứng phó sự cố.

analyzing-ransomware-leak-site-intelligence giúp theo dõi các site rò rỉ dữ liệu của ransomware, trích xuất tín hiệu về nạn nhân và nhóm tấn công, đồng thời tạo ra tình báo mối đe dọa có cấu trúc cho ứng phó sự cố, đánh giá rủi ro theo ngành và theo dõi đối thủ.

Phân tích log WAF và audit để phát hiện các chiến dịch SQL injection bằng detecting-sql-injection-via-waf-logs. Được xây dựng cho quy trình Security Audit và SOC, skill này đọc các sự kiện từ ModSecurity, AWS WAF và Cloudflare, phân loại các mẫu UNION SELECT, OR 1=1, SLEEP() và BENCHMARK(), tương quan nguồn tấn công và tạo ra các phát hiện theo hướng xử lý sự cố.

analyzing-golang-malware-with-ghidra giúp nhà phân tích reverse engineer malware biên dịch bằng Go trong Ghidra, với các quy trình khôi phục hàm, trích xuất chuỗi, đọc metadata bản dựng và ánh xạ phụ thuộc. Skill analyzing-golang-malware-with-ghidra hữu ích cho triage malware, ứng phó sự cố và các tác vụ Security Audit cần bước phân tích thực tế, đặc thù cho Go.

containing-active-breach là một kỹ năng ứng phó sự cố dành cho việc cô lập vi phạm đang diễn ra. Kỹ năng này giúp cô lập máy chủ, chặn lưu lượng đáng ngờ, vô hiệu hóa tài khoản bị xâm nhập và làm chậm chuyển động ngang bằng một hướng dẫn containing-active-breach có cấu trúc, kèm tham chiếu API và script thực tiễn.

Skill collecting-indicators-of-compromise dùng để trích xuất, làm giàu, chấm điểm và xuất IOC từ bằng chứng sự cố. Hãy dùng nó cho quy trình Security Audit, chia sẻ threat intel, và xuất STIX 2.1 khi bạn cần một hướng dẫn collecting-indicators-of-compromise thực dụng thay vì một prompt ứng phó sự cố chung chung.

building-vulnerability-scanning-workflow giúp các đội SOC thiết kế một quy trình quét lỗ hổng có thể lặp lại để phát hiện, ưu tiên xử lý, theo dõi khắc phục và báo cáo trên nhiều tài sản. Kỹ năng này hỗ trợ các tình huống Security Audit với điều phối trình quét, xếp hạng rủi ro theo KEV và hướng dẫn quy trình vượt ra ngoài một lần quét đơn lẻ.

Skill building-soc-playbook-for-ransomware dành cho các đội SOC cần một playbook ứng phó ransomware có cấu trúc rõ ràng. Nội dung bao gồm các tín hiệu phát hiện, cô lập, xử lý triệt để, khôi phục và quy trình sẵn sàng cho kiểm toán, bám sát NIST SP 800-61 và MITRE ATT&CK. Phù hợp cho việc xây dựng playbook thực tế, diễn tập tabletop và hỗ trợ Audit bảo mật.

Dùng skill building-soc-escalation-matrix để xây dựng một ma trận leo thang SOC có cấu trúc, với các mức độ nghiêm trọng, SLA phản hồi, luồng leo thang và quy tắc thông báo. Skill này bao gồm mẫu, ánh xạ theo tiêu chuẩn, quy trình làm việc và các script để áp dụng building-soc-escalation-matrix vào vận hành an ninh và công việc kiểm toán một cách thực tế.

building-incident-response-dashboard giúp các nhóm xây dựng dashboard ứng phó sự cố theo thời gian thực trong Splunk, Elastic hoặc Grafana để theo dõi sự cố đang diễn ra, trạng thái cô lập, tài sản bị ảnh hưởng, mức độ lan truyền IOC và mốc thời gian xử lý. Hãy dùng skill building-incident-response-dashboard này khi bạn cần một dashboard tập trung cho nhà phân tích SOC, trưởng điều phối sự cố và ban lãnh đạo.

analyzing-windows-registry-for-artifacts giúp nhà phân tích trích xuất bằng chứng từ các hive của Windows Registry để xác định hoạt động người dùng, phần mềm đã cài, autoruns, lịch sử USB và các chỉ dấu xâm nhập phục vụ quy trình điều tra sự cố hoặc Security Audit.

analyzing-windows-prefetch-with-python phân tích các tệp Windows Prefetch (.pf) bằng windowsprefetch để dựng lại lịch sử thực thi, phát hiện các binary bị đổi tên hoặc ngụy trang, và hỗ trợ phân loại sự cố cùng phân tích mã độc.

Kỹ năng analyzing-windows-amcache-artifacts phân tích dữ liệu Windows Amcache.hve để truy xuất bằng chứng về việc chương trình đã chạy, phần mềm đã cài đặt, hoạt động của thiết bị và việc nạp driver cho quy trình DFIR và kiểm tra bảo mật. Kỹ năng này dùng hướng dẫn dựa trên AmcacheParser và regipy để hỗ trợ trích xuất artifact, đối chiếu SHA-1 và rà soát dòng thời gian.

Kỹ năng analyzing-threat-actor-ttps-with-mitre-attack giúp ánh xạ các báo cáo mối đe dọa sang các tactic, technique và sub-technique của MITRE ATT&CK, xây dựng chế độ xem mức độ bao phủ và ưu tiên các khoảng trống phát hiện. Bộ kỹ năng này có sẵn mẫu báo cáo, tham chiếu ATT&CK, cùng các script để tra cứu technique và phân tích khoảng trống, nên rất hữu ích cho CTI, SOC, kỹ thuật phát hiện và mô hình hóa mối đe dọa.

Kỹ năng analyzing-powershell-empire-artifacts giúp các nhóm Security Audit phát hiện dấu vết PowerShell Empire trong nhật ký Windows bằng Script Block Logging, mẫu launcher Base64, IOC của stager, chữ ký module và các tham chiếu phát hiện để hỗ trợ triage và viết rule.

Kỹ năng analyzing-powershell-script-block-logging dùng để phân tích Windows PowerShell Script Block Logging Event ID 4104 từ file EVTX, tái tạo các script block bị chia nhỏ, và phát hiện lệnh bị làm rối, payload mã hóa, lạm dụng `Invoke-Expression`, download cradle, cùng các nỗ lực vượt qua AMSI cho công việc Security Audit.

Kỹ năng phân tích cơ chế bám trụ trong Linux giúp điều tra các dấu hiệu bám trụ sau khi hệ thống bị xâm nhập, bao gồm các tác vụ crontab, unit systemd, lạm dụng LD_PRELOAD, thay đổi hồ sơ shell và backdoor qua SSH authorized_keys. Kỹ năng này được thiết kế cho quy trình ứng phó sự cố, săn tìm mối đe dọa và kiểm tra an ninh, với auditd và các bước kiểm tra toàn vẹn tệp.

analyzing-mft-for-deleted-file-recovery giúp khôi phục metadata của file đã xóa và các dấu vết về đường dẫn hoặc nội dung bằng cách phân tích các bản ghi NTFS $MFT, $LogFile, $UsnJrnl và vùng slack của MFT. Được xây dựng cho quy trình DFIR và Security Audit với MFTECmd, analyzeMFT và X-Ways Forensics.