事件分诊

llm-trading-agent-security 是一份實用指南，專注於如何保護具錢包權限的自主交易代理。內容涵蓋提示注入、防止超額支出限制、送出前模擬、熔斷機制、考量 MEV 的執行，以及金鑰隔離，協助在 Security Audit 中降低財務損失風險。

memory-forensics skill 適用於 RAM 擷取與記憶體傾印分析，搭配 Volatility 3 進行調查。內容涵蓋安裝前評估、實際使用流程、artifact 擷取，以及 Windows、Linux、macOS 與 VM 記憶體的事件分流與初步研判。

postmortem-writing 可協助團隊撰寫不究責的事故檢討報告，涵蓋時間軸、根本原因分析、促成因素、影響範圍，以及可執行的後續行動項目，適合用於服務中斷或險些發生事故後的報告整理。

了解 on-call-handoff-patterns 技能，讓值班交接更可靠順暢。可用於整理事故交接內容，記錄目前進行中的問題、近期變更、升級處理狀態，以及 Reliability 團隊的下一步行動。

incident-runbook-templates 可協助團隊建立結構化的事件應變 runbook，針對服務中斷與營運 Playbooks，提供清楚的初步研判、緩解、升級通報、溝通與復原步驟。

detecting-shadow-it-cloud-usage 可協助從 proxy logs、DNS queries 與 netflow 中辨識未經授權的 SaaS 與 cloud 使用情況。它會對網域進行分類、與核准清單比對，並以 detecting-shadow-it-cloud-usage skill guide 中的結構化證據支援資安稽核工作流程。

detecting-service-account-abuse 是一個威脅狩獵技能，用於在 Windows、AD、SIEM 與 EDR 遙測中找出服務帳號濫用情況。它聚焦於可疑的互動式登入、權限提升、橫向移動與存取異常，並提供可重複執行的調查模板、事件 ID 與工作流程參考。

building-ioc-defanging-and-sharing-pipeline 技能可用來擷取 IOC，並將 URL、IP、網域、電子郵件與雜湊進行 defang，接著轉換為 STIX 2.1，透過 TAXII 或 MISP 共享，支援資安稽核與威脅情資工作流程。

building-incident-timeline-with-timesketch 可協助 DFIR 團隊在 Timesketch 中建立可協作的事件時間線，透過匯入 Plaso、CSV 或 JSONL 證據，標準化時間戳、關聯事件，並記錄攻擊鏈，支援事件初步分流與報告撰寫。

building-incident-response-playbook 可協助資安團隊建立可重複使用的事件應變 playbook，內容涵蓋逐步階段、決策樹、升級標準、RACI 權責分工，以及可直接對接 SOAR 的架構。它適合用來撰寫事件應變程序文件、事件分流流程，以及便於稽核的營運應變計畫。

detecting-modbus-protocol-anomalies 可協助偵測 OT 與 ICS 網路中的可疑 Modbus/TCP 與 Modbus RTU 行為，包括無效的功能碼、超出範圍的暫存器存取、異常輪詢時序、未授權寫入，以及格式異常的封包。適合用於資安稽核與以證據為基礎的初步判讀。

detecting-business-email-compromise 技能可協助分析師、SOC 團隊與事件應變人員，透過電子郵件標頭檢查、社交工程線索、偵測邏輯與以應變為導向的工作流程，辨識 BEC 嘗試。可將它當作一份實用的 detecting-business-email-compromise 指南，用於分流、驗證與封鎖處置。

detecting-beaconing-patterns-with-zeek 可協助分析 Zeek `conn.log` 的時間間隔，用來偵測 C2 風格的 beaconing。它使用 ZAT，依來源、目的地與埠號分組流量，並透過統計檢查評分低抖動模式。很適合 SOC、威脅狩獵、事件應變，以及在 Security Audit 工作流程中使用 detecting-beaconing-patterns-with-zeek。

detecting-azure-service-principal-abuse 可協助偵測、調查並記錄 Azure 中可疑的 Microsoft Entra ID 服務主體活動。適用於安全稽核、雲端事件應變與威脅狩獵，可檢視認證變更、管理員同意濫用、角色指派、擁有權路徑與登入異常。

analyzing-security-logs-with-splunk 可協助你在 Splunk 中調查資安事件，將 Windows、防火牆、proxy 與驗證紀錄關聯成時間軸與證據。這個 analyzing-security-logs-with-splunk 技能是 Security Audit、事件回應與威脅獵捕的實用指南。

analyzing-ransomware-network-indicators 可協助分析 Zeek conn.log 與 NetFlow，找出 C2 beaconing、TOR 出口、資料外傳，以及可疑 DNS，適用於安全稽核與事件應變。

analyzing-ransomware-leak-site-intelligence 可用來監控勒索軟體資料外洩站、擷取受害者與團伙訊號，並產出結構化威脅情資，支援事件應變、產業風險檢視與對手追蹤。

analyzing-azure-activity-logs-for-threats 技能，用於查詢 Azure Monitor 活動記錄與登入記錄，找出可疑的系統管理動作、不可能旅行、權限提升與資源竄改。專為事件初步分流而設計，提供 KQL 模式、執行路徑，以及實用的 Azure 記錄資料表指引。

analyzing-apt-group-with-mitre-navigator 可協助分析師將 APT 團體的技術映射到 MITRE ATT&CK Navigator 圖層，用於偵測缺口分析、威脅建模，以及可重複的威脅情資工作流程。內容包含 ATT&CK 資料查詢、圖層產生，以及比較對手 TTP 覆蓋範圍的實務指引。

eradicating-malware-from-infected-systems 是一項資安事件應變技能，用於在完成遏制後移除惡意軟體、後門與持久化機制。內容涵蓋工作流程指引、參考檔案，以及用於 Windows 和 Linux 清理、憑證輪替、根因修補與驗證的腳本。

使用 detecting-sql-injection-via-waf-logs 分析 WAF 與稽核日誌，偵測 SQL injection 攻擊活動。此技能為 Security Audit 與 SOC 工作流程設計，可解析 ModSecurity、AWS WAF 與 Cloudflare 事件，分類 UNION SELECT、OR 1=1、SLEEP() 與 BENCHMARK() 模式，關聯來源並產出以事件為導向的調查結果。

detecting-privilege-escalation-attempts 可協助在 Windows 與 Linux 上追查權限提升，包括 token 操作、UAC 繞過、未加引號的服務路徑、核心漏洞利用，以及 sudo/doas 濫用。專為需要實用流程、參考查詢與輔助腳本的威脅獵捕團隊打造。

detecting-port-scanning-with-fail2ban 可協助你設定 Fail2ban 偵測埠掃描、SSH 暴力破解嘗試與偵察行為，接著封鎖可疑 IP，並通知資安團隊。這項技能適合用於 Security Audit 工作流程中的加固與 detecting-port-scanning-with-fail2ban 情境，提供日誌、jail、filter 與安全調校的實用指引。

detecting-pass-the-ticket-attacks 可透過關聯 Windows 安全性事件 ID 4768、4769 與 4771，協助偵測 Kerberos Pass-the-Ticket 活動。適合在 Splunk 或 Elastic 中進行威脅狩獵，用來找出票證重用、RC4 降級與異常 TGS 流量，並提供實用查詢與欄位指引。