M
detecting-s3-data-exfiltration-attempts
作者 mukul975
detecting-s3-data-exfiltration-attempts 可協助針對可能的 AWS S3 資料外洩進行調查,方法是關聯 CloudTrail S3 data events、GuardDuty findings、Amazon Macie alerts 與 S3 存取模式。適用於安全稽核、事件回應,以及可疑大量下載分析等情境。
安全稽核
收藏 0GitHub 6.2k
異常检测
瀏覽 安全 下與 異常检测 相關的 Agent Skill,並比較相近工作流、工具與使用情境。
21 個技能
M
detecting-rdp-brute-force-attacks
作者 mukul975
detecting-rdp-brute-force-attacks 可協助分析 Windows Security Event Logs 中的 RDP 暴力破解模式,包括重複的 4625 失敗、4624 在失敗後成功登入、與 NLA 相關的登入,以及來源 IP 集中現象。可用於 Security Audit、威脅狩獵,以及可重複的 EVTX 式調查。
安全稽核
收藏 0GitHub 6.2k
M
detecting-network-anomalies-with-zeek
作者 mukul975
detecting-network-anomalies-with-zeek skill 可協助部署 Zeek 進行被動式網路監控、檢視結構化日誌,並建立自訂偵測規則來找出 beaconing、DNS tunneling 與異常協定活動。這個 skill 很適合威脅狩獵、事件回應、可直接供 SIEM 使用的網路中繼資料,以及 Security Audit 工作流程,但不適用於 inline prevention。
安全稽核
收藏 0GitHub 6.1k
M
detecting-modbus-protocol-anomalies
作者 mukul975
detecting-modbus-protocol-anomalies 可協助偵測 OT 與 ICS 網路中的可疑 Modbus/TCP 與 Modbus RTU 行為,包括無效的功能碼、超出範圍的暫存器存取、異常輪詢時序、未授權寫入,以及格式異常的封包。適合用於資安稽核與以證據為基礎的初步判讀。
安全稽核
收藏 0GitHub 6.1k
M
detecting-beaconing-patterns-with-zeek
作者 mukul975
detecting-beaconing-patterns-with-zeek 可協助分析 Zeek `conn.log` 的時間間隔,用來偵測 C2 風格的 beaconing。它使用 ZAT,依來源、目的地與埠號分組流量,並透過統計檢查評分低抖動模式。很適合 SOC、威脅狩獵、事件應變,以及在 Security Audit 工作流程中使用 detecting-beaconing-patterns-with-zeek。
安全稽核
收藏 0GitHub 6.1k
M
analyzing-cloud-storage-access-patterns
作者 mukul975
analyzing-cloud-storage-access-patterns 協助資安團隊偵測 AWS S3、GCS 與 Azure Blob Storage 中可疑的雲端儲存存取行為。它會分析稽核記錄,找出大量下載、新來源 IP、不尋常的 API 呼叫、儲存貯體列舉、非上班時段存取,以及透過基準值與異常檢查判斷可能的資料外洩。
安全稽核
收藏 0GitHub 6.1k
M
analyzing-azure-activity-logs-for-threats
作者 mukul975
analyzing-azure-activity-logs-for-threats 技能,用於查詢 Azure Monitor 活動記錄與登入記錄,找出可疑的系統管理動作、不可能旅行、權限提升與資源竄改。專為事件初步分流而設計,提供 KQL 模式、執行路徑,以及實用的 Azure 記錄資料表指引。
事件分诊
收藏 0GitHub 6.1k
A
alert-manager
作者 aaron-he-zhu
alert-manager skill 可協助團隊為 SEO 與 GEO 建立警示框架,涵蓋排名下滑、流量異常、技術問題、競品變化與 AI 可見度波動,並提供門檻設定指引與可重複使用的範本,方便規劃與落地。
監控
收藏 0GitHub 679
M
detecting-stuxnet-style-attacks
作者 mukul975
detecting-stuxnet-style-attacks 技能可協助防禦者偵測類 Stuxnet 的 OT 與 ICS 入侵模式,包括 PLC 邏輯竄改、感測器資料偽造、工程工作站遭入侵,以及 IT 到 OT 的橫向移動。適合用於威脅狩獵、事件初步分流與製程完整性監控,並可結合通訊協定、主機與程序層證據進行判讀。
Threat Hunting
收藏 0GitHub 0
M
detecting-ransomware-encryption-behavior
作者 mukul975
detecting-ransomware-encryption-behavior 可協助防守方透過熵值分析、檔案 I/O 監控與行為式啟發規則,辨識類勒索軟體的加密行為。適合事件應變、SOC 調校與紅隊驗證等情境,當你需要快速偵測大量檔案變更、批次重新命名與可疑程序活動時特別有用。
Incident Response
收藏 0GitHub 0
M
detecting-arp-poisoning-in-network-traffic
作者 mukul975
detecting-arp-poisoning-in-network-traffic 可使用 ARPWatch、Dynamic ARP Inspection、Wireshark 與 Python 檢查,協助在即時流量或 PCAP 中偵測 ARP 欺騙。適合事件應變、SOC 初步分流,以及針對 IP 對 MAC 變更、gratuitous ARPs 與 MITM 指標進行可重複分析。
Incident Response
收藏 0GitHub 0
M
detecting-insider-threat-with-ueba
作者 mukul975
detecting-insider-threat-with-ueba 可協助你在 Elasticsearch 或 OpenSearch 中建立 UEBA 偵測,涵蓋內部威脅情境所需的行為基線、異常分數、同儕群組分析,以及針對資料外洩、權限濫用與未授權存取的關聯式警示。適合用於 Incident Response 工作流程中的 detecting-insider-threat-with-ueba。
Incident Response
收藏 0GitHub 0
M
detecting-insider-threat-behaviors
作者 mukul975
detecting-insider-threat-behaviors 可協助分析師追查內部威脅風險訊號,例如異常資料存取、非上班時段活動、大量下載、權限濫用,以及與離職相關的資料竊取。這份 detecting-insider-threat-behaviors 指南適合用於威脅狩獵、UEBA 風格的分流判讀與威脅建模,內含工作流程範本、SIEM 查詢範例與風險權重。
威胁建模
收藏 0GitHub 0
M
detecting-dnp3-protocol-anomalies
作者 mukul975
detecting-dnp3-protocol-anomalies 可協助分析 SCADA 環境中的 DNP3 流量,找出未經授權的控制命令、協定違規、重新啟動嘗試,以及偏離基準行為的異常。若你要進行資安稽核、IDS 調校,或檢視 Zeek 日誌與封包擷取,這個 detecting-dnp3-protocol-anomalies 技能會很實用。
安全稽核
收藏 0GitHub 0
M
detecting-cryptomining-in-cloud
作者 mukul975
detecting-cryptomining-in-cloud 可協助資安團隊透過關聯雲端工作負載中的成本暴增、挖礦連接埠流量、GuardDuty 加密貨幣偵測結果與執行階段程序證據,偵測未經授權的雲端挖礦。可用於分流判斷、偵測工程,以及 Security Audit 工作流程中的 detecting-cryptomining-in-cloud。
安全稽核
收藏 0GitHub 0
M
detecting-aws-cloudtrail-anomalies
作者 mukul975
detecting-aws-cloudtrail-anomalies 可協助分析 AWS CloudTrail 活動,找出異常的 API 來源、首次出現的操作、高頻呼叫,以及與憑證外洩或權限升級相關的可疑行為。適合搭配 boto3、基準行為建立與事件欄位分析,進行結構化的異常偵測。
異常检测
收藏 0GitHub 0
M
detecting-anomalous-authentication-patterns
作者 mukul975
detecting-anomalous-authentication-patterns 可協助分析驗證登入紀錄,找出不可能移動、暴力破解、密碼噴灑、憑證填充,以及帳號遭入侵等可疑活動。它適用於 Security Audit、SOC、IAM 與事件回應工作流程,具備會參考基準的偵測能力與有證據支撐的登入分析。
安全稽核
收藏 0GitHub 0
M
deploying-osquery-for-endpoint-monitoring
作者 mukul975
deploying-osquery-for-endpoint-monitoring 指南,說明如何部署與設定 osquery,以提升端點可視性、進行全機群監控,並用 SQL 進行威脅狩獵。可用來規劃安裝、閱讀工作流程與 API 參考,並在 Windows、macOS 與 Linux 端點上落實排程查詢、日誌蒐集與集中檢視。
監控
收藏 0GitHub 0
M
building-detection-rules-with-sigma
作者 mukul975
building-detection-rules-with-sigma 可協助分析師從威脅情資或廠商規則建立可攜式 Sigma 偵測規則,並對應到 MITRE ATT&CK,再轉換成 Splunk、Elastic、Microsoft Sentinel 等 SIEM 可用格式。這份 building-detection-rules-with-sigma 指南適合用於 Security Audit 工作流程、規則標準化,以及 detection-as-code。
安全稽核
收藏 0GitHub 0
M
analyzing-web-server-logs-for-intrusion
作者 mukul975
這個 analyzing-web-server-logs-for-intrusion 技能會解析 Apache 與 Nginx 存取日誌,偵測 SQL injection、local file inclusion、directory traversal、掃描器指紋、暴力破解突發流量,以及異常請求模式。適合用於入侵分流處置、威脅狩獵與 Security Audit 工作流程,並結合 GeoIP 增強與以特徵簽章為基礎的偵測。
安全稽核
收藏 0GitHub 0
M
analyzing-dns-logs-for-exfiltration
作者 mukul975
analyzing-dns-logs-for-exfiltration 可協助 SOC 分析師從 SIEM 或 Zeek 日誌中偵測 DNS 隧道、類 DGA 網域、TXT 濫用與隱蔽的 C2 模式。當你在 Security Audit 流程中需要雜湊/熵分析、查詢量異常偵測與實用的初步排查指引時,這個技能特別適合使用。
安全稽核
收藏 0GitHub 0