事件分诊

llm-trading-agent-security 是一份面向带有钱包权限的自主交易代理的实用安全指南。内容涵盖提示注入、防止超额支出、发送前模拟、熔断机制、考虑 MEV 的执行以及密钥隔离，帮助降低 Security Audit 中的资金损失风险。

memory-forensics skill 用于 RAM 采集与内存转储分析，结合 Volatility 3 覆盖安装背景、使用流程、工件提取，以及面向 Windows、Linux、macOS 和虚拟机内存的事件分诊。

postmortem-writing 可帮助团队撰写无责事故复盘，覆盖时间线、根因分析、影响范围、促成因素以及可执行的后续行动项，适用于服务中断或险些发生事故后的报告编写。

了解 on-call-handoff-patterns 技能，帮助值班交接更可靠。可用于规范事故交接，记录当前问题、近期变更、升级状态和后续行动，适合 Reliability 团队使用。

incident-runbook-templates 可帮助团队创建结构化的事故响应 runbook，为故障处理和运维 Playbook 提供清晰的分诊、缓解、升级、沟通与恢复步骤。

detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能，适用于威胁狩猎和事件响应。它可借助 Zeek 日志（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log）来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。

detecting-shadow-it-cloud-usage 可帮助你从代理日志、DNS 查询和 netflow 中识别未经授权的 SaaS 和云服务使用情况。它会对域名进行分类，并与已批准清单进行比对，同时借助 detecting-shadow-it-cloud-usage 技能指南中的结构化证据，支持安全审计工作流。

detecting-service-account-abuse 是一款威胁狩猎技能，用于在 Windows、AD、SIEM 和 EDR 遥测中发现服务账号滥用。它重点关注可疑的交互式登录、权限提升、横向移动和访问异常，并提供狩猎模板、事件 ID 和工作流参考，便于重复开展调查。

building-ioc-defanging-and-sharing-pipeline 技能，用于提取 IOC，去武装 URL、IP、域名、邮箱和哈希值，然后通过 TAXII 或 MISP 将其转换为 STIX 2.1 并共享，适用于安全审计和威胁情报工作流。

building-incident-timeline-with-timesketch 帮助 DFIR 团队在 Timesketch 中构建协作式事件时间线，通过导入 Plaso、CSV 或 JSONL 证据，统一时间戳，关联事件，并记录攻击链，支持事件分诊和报告输出。

building-incident-response-playbook 可帮助安全团队创建可复用的事件响应 playbook，涵盖分阶段步骤、决策树、升级标准、RACI 责任分配以及可直接用于 SOAR 的结构。它适用于事件响应流程文档、事件分诊工作流和便于审计的运营响应方案。

detecting-modbus-protocol-anomalies 可帮助检测 OT 和 ICS 网络中的可疑 Modbus/TCP 与 Modbus RTU 行为，包括无效功能码、越界寄存器访问、异常轮询时序、未经授权的写入以及格式异常的数据帧。适用于安全审计和基于证据的初步分诊。

detecting-business-email-compromise 技能可帮助分析师、SOC 团队和事件响应人员通过邮件头检查、社工线索、检测逻辑和面向响应的工作流识别 BEC 尝试。可将其作为一份实用的 detecting-business-email-compromise 指南，用于分诊、验证和遏制。

detecting-beaconing-patterns-with-zeek 可帮助分析 Zeek `conn.log` 的时间间隔，以检测 C2 风格的 beaconing。它使用 ZAT，按源、目的和端口对流量分组，并通过统计检查为低抖动模式打分。适合 SOC、威胁狩猎、事件响应，以及 Security Audit 工作流中的 detecting-beaconing-patterns-with-zeek 使用场景。

detecting-azure-service-principal-abuse 可帮助你在 Azure 中检测、调查并记录可疑的 Microsoft Entra ID 服务主体活动。适用于安全审计、云事件响应和威胁狩猎，帮助排查凭据变更、管理员同意滥用、角色分配、所有权路径和登录异常。

analyzing-security-logs-with-splunk 通过将 Windows、防火墙、代理和身份验证日志关联成时间线与证据，帮助在 Splunk 中调查安全事件。这份 analyzing-security-logs-with-splunk skill 是面向安全审计、事件响应和威胁狩猎的实用指南。

analyzing-ransomware-network-indicators 可帮助分析 Zeek `conn.log` 和 NetFlow，识别 C2 beaconing、TOR 出口、数据外传以及可疑 DNS，适用于安全审计和事件响应。

analyzing-ransomware-leak-site-intelligence 可帮助监控勒索软件数据泄露站点，提取受害者与团伙信号，并生成结构化威胁情报，用于事件响应、行业风险研判和对手追踪。

用于查询 Azure Monitor 活动日志和登录日志、发现可疑管理员操作、异地不可能登录、权限提升和资源篡改的 analyzing-azure-activity-logs-for-threats 技能。面向事件初筛，提供 KQL 模式、执行路径和实用的 Azure 日志表使用指南。

analyzing-apt-group-with-mitre-navigator 帮助分析师将 APT 组织的技术映射到 MITRE ATT&CK Navigator 图层，用于检测缺口分析、威胁建模和可重复的威胁情报工作流。它提供了实用指导，涵盖 ATT&CK 数据查询、图层生成，以及对比对手 TTP 覆盖情况。

detecting-container-escape-with-falco-rules 帮助使用 Falco 运行时安全规则检测容器逃逸尝试。它聚焦 syscall 信号、特权容器、host-path 滥用、验证以及 Kubernetes 和 Linux 容器环境中的事件响应工作流。

eradicating-malware-from-infected-systems 是一项面向网络安全事件响应的技能，用于在隔离完成后清除恶意软件、后门和持久化机制。它提供工作流程指导、参考文件，以及用于 Windows 和 Linux 清理、凭据轮换、根因修复和验证的脚本。

使用 detecting-sql-injection-via-waf-logs 分析 WAF 和审计日志，识别 SQL 注入攻击活动。它面向 Security Audit 和 SOC 工作流，可解析 ModSecurity、AWS WAF 和 Cloudflare 事件，分类 UNION SELECT、OR 1=1、SLEEP() 和 BENCHMARK() 等模式，关联来源并输出面向事件处置的发现结果。

detecting-privilege-escalation-attempts 可帮助排查 Windows 和 Linux 上的权限提升行为，包括 token 操作、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 sudo/doas 滥用。它面向需要实用工作流、参考查询和辅助脚本的威胁狩猎团队。