Threat Intelligence

analyzing-campaign-attribution-evidence giúp analyst cân nhắc độ chồng lấn hạ tầng, mức độ nhất quán với ATT&CK, độ tương đồng của malware, thời điểm và dấu vết ngôn ngữ để đưa ra kết luận quy kết chiến dịch có cơ sở vững chắc. Dùng hướng dẫn analyzing-campaign-attribution-evidence này cho CTI, phân tích sự cố và rà soát Security Audit.

Kỹ năng analyzing-azure-activity-logs-for-threats dùng để truy vấn nhật ký hoạt động và nhật ký đăng nhập của Azure Monitor, nhằm phát hiện các hành động quản trị đáng ngờ, di chuyển bất khả thi, leo thang đặc quyền và can thiệp tài nguyên. Được xây dựng cho giai đoạn triage sự cố với các mẫu KQL, luồng thực thi và hướng dẫn thực tế về bảng nhật ký Azure.

analyzing-apt-group-with-mitre-navigator giúp nhà phân tích ánh xạ các kỹ thuật của nhóm APT vào các layer MITRE ATT&CK Navigator để phân tích khoảng trống phát hiện, mô hình hóa mối đe dọa và xây dựng quy trình tình báo mối đe dọa có thể lặp lại. Nội dung đi kèm hướng dẫn thực tế về tra cứu dữ liệu ATT&CK, tạo layer và so sánh mức độ bao phủ TTP của đối thủ.

detecting-cloud-threats-with-guardduty hướng dẫn các đội AWS cách bật Amazon GuardDuty, rà soát findings và xây dựng phản ứng tự động trước các mối đe dọa cloud trên nhiều account và workload. Skill này hữu ích cho việc cài đặt, sử dụng GuardDuty và vận hành hằng ngày trong Cloud Architecture.

detecting-aws-cloudtrail-anomalies giúp phân tích hoạt động AWS CloudTrail để phát hiện nguồn API bất thường, các hành động xuất hiện lần đầu, các lệnh gọi tần suất cao và hành vi đáng ngờ liên quan đến lộ thông tin xác thực hoặc leo thang đặc quyền. Dùng cho phát hiện bất thường có cấu trúc với boto3, thiết lập đường cơ sở và phân tích các trường sự kiện.

Skill conducting-phishing-incident-response giúp điều tra email đáng ngờ, trích xuất indicator, đánh giá xác thực và đề xuất hành động ứng phó phishing. Skill này hỗ trợ các quy trình Incident Response cho phân loại thư, các ca phishing nhắm vào thông tin đăng nhập, kiểm tra URL và tệp đính kèm, cũng như xử lý hộp thư. Hãy dùng khi bạn cần một hướng dẫn có cấu trúc thay vì một prompt chung chung.

conducting-malware-incident-response giúp các nhóm IR sàng lọc nghi ngờ nhiễm mã độc, xác nhận lây nhiễm, khoanh vùng mức độ lan rộng, cô lập endpoint và hỗ trợ loại bỏ cùng khôi phục. Skill này được thiết kế cho conducting-malware-incident-response trong quy trình Incident Response, với các bước dựa trên bằng chứng, quyết định dựa trên telemetry và hướng dẫn cô lập thực tế.

Skill collecting-threat-intelligence-with-misp giúp bạn thu thập, chuẩn hóa, tìm kiếm và xuất threat intelligence trong MISP. Dùng hướng dẫn collecting-threat-intelligence-with-misp này cho feeds, quy trình PyMISP, lọc sự kiện, giảm warninglist và các thao tác collecting-threat-intelligence-with-misp thực tế cho Threat Modeling và vận hành CTI.

Skill building-threat-intelligence-platform dành cho việc thiết kế, triển khai và rà soát một threat intelligence platform với MISP, OpenCTI, TheHive, Cortex, STIX/TAXII và Elasticsearch. Phù hợp cho hướng dẫn cài đặt, quy trình sử dụng và lập kế hoạch Security Audit, dựa trên tham chiếu từ repository và các script đi kèm.

automating-ioc-enrichment giúp tự động hóa việc làm giàu IOC với VirusTotal, AbuseIPDB, Shodan và STIX 2.1 cho playbook SOAR, pipeline Python và Workflow Automation. Dùng skill automating-ioc-enrichment này để chuẩn hóa ngữ cảnh sẵn sàng cho nhà phân tích, giảm thời gian triage và tạo đầu ra enrichment có thể lặp lại một cách nhất quán.

Analyzing-threat-intelligence-feeds giúp bạn nạp các CTI feeds, chuẩn hóa chỉ báo, đánh giá chất lượng feed và làm giàu IOC cho quy trình STIX 2.1. Skill analyzing-threat-intelligence-feeds này được xây dựng cho nghiệp vụ threat intel và Data Analysis, với hướng dẫn thực hành cho TAXII, MISP và các feed thương mại.

Kỹ năng phân tích cơ chế bám trụ trong Linux giúp điều tra các dấu hiệu bám trụ sau khi hệ thống bị xâm nhập, bao gồm các tác vụ crontab, unit systemd, lạm dụng LD_PRELOAD, thay đổi hồ sơ shell và backdoor qua SSH authorized_keys. Kỹ năng này được thiết kế cho quy trình ứng phó sự cố, săn tìm mối đe dọa và kiểm tra an ninh, với auditd và các bước kiểm tra toàn vẹn tệp.