Incident Response

building-incident-timeline-with-timesketch 可協助 DFIR 團隊在 Timesketch 中建立可協作的事件時間線，透過匯入 Plaso、CSV 或 JSONL 證據，標準化時間戳、關聯事件，並記錄攻擊鏈，支援事件初步分流與報告撰寫。

building-incident-response-playbook 可協助資安團隊建立可重複使用的事件應變 playbook，內容涵蓋逐步階段、決策樹、升級標準、RACI 權責分工，以及可直接對接 SOAR 的架構。它適合用來撰寫事件應變程序文件、事件分流流程，以及便於稽核的營運應變計畫。

detecting-beaconing-patterns-with-zeek 可協助分析 Zeek `conn.log` 的時間間隔，用來偵測 C2 風格的 beaconing。它使用 ZAT，依來源、目的地與埠號分組流量，並透過統計檢查評分低抖動模式。很適合 SOC、威脅狩獵、事件應變，以及在 Security Audit 工作流程中使用 detecting-beaconing-patterns-with-zeek。

building-phishing-reporting-button-workflow 技能可協助你設計釣魚郵件回報按鈕工作流程，保留原始郵件、擷取 IOC、分類回報，並將分流處理與回饋導向 Microsoft 365 或類似的電子郵件資安環境。

analyzing-supply-chain-malware-artifacts 是一個用於追查木馬化更新、遭投毒的依賴項與建置流程竄改的惡意軟體分析技能。可用來比對可信與不可信的工件、擷取指標、評估受影響範圍，並以更少猜測完成回報。

analyzing-security-logs-with-splunk 可協助你在 Splunk 中調查資安事件，將 Windows、防火牆、proxy 與驗證紀錄關聯成時間軸與證據。這個 analyzing-security-logs-with-splunk 技能是 Security Audit、事件回應與威脅獵捕的實用指南。

analyzing-ransomware-network-indicators 可協助分析 Zeek conn.log 與 NetFlow，找出 C2 beaconing、TOR 出口、資料外傳，以及可疑 DNS，適用於安全稽核與事件應變。

analyzing-ransomware-leak-site-intelligence 可用來監控勒索軟體資料外洩站、擷取受害者與團伙訊號，並產出結構化威脅情資，支援事件應變、產業風險檢視與對手追蹤。

使用 detecting-sql-injection-via-waf-logs 分析 WAF 與稽核日誌，偵測 SQL injection 攻擊活動。此技能為 Security Audit 與 SOC 工作流程設計，可解析 ModSecurity、AWS WAF 與 Cloudflare 事件，分類 UNION SELECT、OR 1=1、SLEEP() 與 BENCHMARK() 模式，關聯來源並產出以事件為導向的調查結果。

analyzing-golang-malware-with-ghidra 可協助分析人員在 Ghidra 中逆向 Go 編譯的惡意軟體，提供函式還原、字串擷取、建置中繼資料與依賴關係映射等工作流程。這個 analyzing-golang-malware-with-ghidra 技能特別適合惡意程式初步判讀、事件回應，以及需要實用 Go 專屬分析步驟的 Security Audit 任務。

containing-active-breach 是一個用於即時入侵封控的 incident-response 技能。它能透過結構化的 containing-active-breach 指南，並搭配實用的 API 與腳本參考，協助隔離主機、封鎖可疑流量、停用遭入侵帳號，以及減緩橫向移動。

collecting-indicators-of-compromise 技能可用來從事件證據中擷取、豐富、評分並匯出 IOC。當你需要的是一份實用的 collecting-indicators-of-compromise 指南，而不是通用的事件應變提示詞時，可用於 Security Audit 工作流程、威脅情報分享，以及 STIX 2.1 輸出。

building-vulnerability-scanning-workflow 協助 SOC 團隊建立可重複執行的漏洞掃描流程，涵蓋資產探索、優先排序、修補追蹤與報表輸出。它支援 Security Audit 情境，提供掃描器協調、KEV 風險排序，以及超越單次掃描的工作流程指引。

building-soc-playbook-for-ransomware 是一款適合需要結構化勒索軟體應變手冊的 SOC 團隊使用的技能。內容涵蓋偵測觸發條件、隔離、清除、復原，以及符合 NIST SP 800-61 與 MITRE ATT&CK 的稽核就緒流程。可用於實作可落地的 playbook 建置、桌上演練，以及 Security Audit 支援。

使用 building-soc-escalation-matrix 技能，建立結構化的 SOC 升級矩陣，涵蓋嚴重性分級、回應 SLA、升級路徑與通知規則。內容包含範本、標準對照、工作流程與腳本，方便在資安營運與稽核工作中實際運用 building-soc-escalation-matrix。

building-incident-response-dashboard 可協助團隊在 Splunk、Elastic 或 Grafana 中建立即時事件應變儀表板，用於追蹤進行中的事故、封鎖狀態、受影響資產、IOC 擴散情況與應變時間軸。當你需要一個專注的儀表板，供 SOC 分析師、事件指揮官與管理層使用時，就適合使用這個 building-incident-response-dashboard 技能。

analyzing-windows-registry-for-artifacts 可協助分析人員從 Windows Registry hive 中擷取證據，用來辨識使用者活動、已安裝軟體、Autoruns、USB 歷史，以及入侵跡象，支援事件回應或 Security Audit 工作流程。

analyzing-windows-prefetch-with-python 會使用 windowsprefetch 解析 Windows Prefetch（.pf）檔案，重建執行歷史、找出重新命名或偽裝的二進位檔，並支援事件初步分流與惡意程式分析。

analyzing-windows-amcache-artifacts 技能會解析 Windows 的 Amcache.hve 資料，用於還原程式執行、已安裝軟體、裝置活動與驅動程式載入的證據，支援 DFIR 與安全稽核流程。它結合 AmcacheParser 與基於 regipy 的操作指引，協助進行 artifact 擷取、SHA-1 關聯與時間軸檢視。

analyzing-threat-actor-ttps-with-mitre-attack 技能可協助將威脅報告對應到 MITRE ATT&CK 的戰術、技術與子技術，建立涵蓋度視圖，並優先排序偵測缺口。內容包含報告範本、ATT&CK 參考資料，以及用於技術查找與缺口分析的腳本，適合 CTI、SOC、偵測工程與威脅建模使用。

analyzing-powershell-empire-artifacts 技能可協助資安稽核團隊透過 Script Block Logging、Base64 啟動器樣式、stager IOC、模組特徵與偵測參考，在 Windows 日誌中找出 PowerShell Empire 相關工件，方便進行初步判讀與規則撰寫。

這個 analyzing-powershell-script-block-logging 技能可用來解析 Windows PowerShell Script Block Logging 的 Event ID 4104（來自 EVTX 檔案），重建被拆分的 script block，並標記混淆指令、編碼 payload、Invoke-Expression 濫用、download cradle，以及 AMSI bypass 嘗試，適合 Security Audit 工作。

analyzing-persistence-mechanisms-in-linux skill 可協助分析遭入侵後的 Linux 持久化手法，包括 crontab 工作、systemd 單元、LD_PRELOAD 濫用、shell 設定檔變更，以及 SSH authorized_keys 後門。它適用於 incident response、threat hunting 與 security audit 工作流程，並可搭配 auditd 與檔案完整性檢查使用。

analyzing-mft-for-deleted-file-recovery 可透過分析 NTFS 的 $MFT 記錄、$LogFile、$UsnJrnl 與 MFT slack space，協助找回已刪除檔案的中繼資料，以及可能的路徑或內容證據。適用於 DFIR 與 Security Audit 工作流程，並搭配 MFTECmd、analyzeMFT 和 X-Ways Forensics 使用。