Soc

correlating-security-events-in-qradar 可協助 SOC 與偵測團隊，使用 AQL、offense 情境、自訂規則與 reference data 來關聯 IBM QRadar 的 offenses。可用這份指南來調查事件、降低誤判，並為 Incident Response 建立更強的關聯邏輯。

building-vulnerability-scanning-workflow 協助 SOC 團隊建立可重複執行的漏洞掃描流程，涵蓋資產探索、優先排序、修補追蹤與報表輸出。它支援 Security Audit 情境，提供掃描器協調、KEV 風險排序，以及超越單次掃描的工作流程指引。

building-soc-metrics-and-kpi-tracking 技能可將 SOC 活動資料轉化為 MTTD、MTTR、告警品質、分析師生產力與偵測覆蓋率等 KPI。它適合需要可重複報表、趨勢追蹤，以及由 Splunk 工作流程支撐、方便向主管呈現的指標的 SOC 領導團隊、資安營運與可觀測性團隊。

building-soc-playbook-for-ransomware 是一款適合需要結構化勒索軟體應變手冊的 SOC 團隊使用的技能。內容涵蓋偵測觸發條件、隔離、清除、復原，以及符合 NIST SP 800-61 與 MITRE ATT&CK 的稽核就緒流程。可用於實作可落地的 playbook 建置、桌上演練，以及 Security Audit 支援。

使用 building-soc-escalation-matrix 技能，建立結構化的 SOC 升級矩陣，涵蓋嚴重性分級、回應 SLA、升級路徑與通知規則。內容包含範本、標準對照、工作流程與腳本，方便在資安營運與稽核工作中實際運用 building-soc-escalation-matrix。

building-incident-response-dashboard 可協助團隊在 Splunk、Elastic 或 Grafana 中建立即時事件應變儀表板，用於追蹤進行中的事故、封鎖狀態、受影響資產、IOC 擴散情況與應變時間軸。當你需要一個專注的儀表板，供 SOC 分析師、事件指揮官與管理層使用時，就適合使用這個 building-incident-response-dashboard 技能。

building-detection-rules-with-sigma 可協助分析師從威脅情資或廠商規則建立可攜式 Sigma 偵測規則，並對應到 MITRE ATT&CK，再轉換成 Splunk、Elastic、Microsoft Sentinel 等 SIEM 可用格式。這份 building-detection-rules-with-sigma 指南適合用於 Security Audit 工作流程、規則標準化，以及 detection-as-code。

building-detection-rule-with-splunk-spl 可協助 SOC 分析師與偵測工程師建立 Splunk SPL 關聯搜尋，用於威脅偵測、調校與 Security Audit 審查。它能把偵測需求簡報轉成可部署的規則，並提供 MITRE 對應、資料增補與驗證指引。

analyzing-windows-event-logs-in-splunk skill 協助 SOC 分析師在 Splunk 中調查 Windows Security、System 與 Sysmon 記錄，找出驗證攻擊、權限提升、持續化與橫向移動行為。適合用於事件初步研判、偵測工程與時間軸分析，並提供對應的 SPL 模式與 Event ID 指引。