Incident Response

building-incident-timeline-with-timesketch 帮助 DFIR 团队在 Timesketch 中构建协作式事件时间线，通过导入 Plaso、CSV 或 JSONL 证据，统一时间戳，关联事件，并记录攻击链，支持事件分诊和报告输出。

building-incident-response-playbook 可帮助安全团队创建可复用的事件响应 playbook，涵盖分阶段步骤、决策树、升级标准、RACI 责任分配以及可直接用于 SOAR 的结构。它适用于事件响应流程文档、事件分诊工作流和便于审计的运营响应方案。

detecting-beaconing-patterns-with-zeek 可帮助分析 Zeek `conn.log` 的时间间隔，以检测 C2 风格的 beaconing。它使用 ZAT，按源、目的和端口对流量分组，并通过统计检查为低抖动模式打分。适合 SOC、威胁狩猎、事件响应，以及 Security Audit 工作流中的 detecting-beaconing-patterns-with-zeek 使用场景。

building-phishing-reporting-button-workflow skill 可帮助你设计钓鱼邮件举报按钮工作流：保留原始邮件、提取 IOC、对举报分类，并为 Microsoft 365 或类似的邮件安全环境路由分诊与反馈。

analyzing-supply-chain-malware-artifacts 是一项用于分析恶意软件的技能，专门用于追踪被植入木马的更新、被投毒的依赖项以及构建流水线篡改。可用它来对比可信与不可信工件、提取 IOC、评估受影响范围，并减少猜测地输出调查结果。

analyzing-security-logs-with-splunk 通过将 Windows、防火墙、代理和身份验证日志关联成时间线与证据，帮助在 Splunk 中调查安全事件。这份 analyzing-security-logs-with-splunk skill 是面向安全审计、事件响应和威胁狩猎的实用指南。

analyzing-ransomware-network-indicators 可帮助分析 Zeek `conn.log` 和 NetFlow，识别 C2 beaconing、TOR 出口、数据外传以及可疑 DNS，适用于安全审计和事件响应。

analyzing-ransomware-leak-site-intelligence 可帮助监控勒索软件数据泄露站点，提取受害者与团伙信号，并生成结构化威胁情报，用于事件响应、行业风险研判和对手追踪。

使用 detecting-sql-injection-via-waf-logs 分析 WAF 和审计日志，识别 SQL 注入攻击活动。它面向 Security Audit 和 SOC 工作流，可解析 ModSecurity、AWS WAF 和 Cloudflare 事件，分类 UNION SELECT、OR 1=1、SLEEP() 和 BENCHMARK() 等模式，关联来源并输出面向事件处置的发现结果。

analyzing-golang-malware-with-ghidra 帮助分析人员在 Ghidra 中对 Go 编译的恶意软件进行逆向分析，覆盖函数恢复、字符串提取、构建元数据和依赖映射等工作流。analyzing-golang-malware-with-ghidra 适合恶意软件初筛、事件响应和安全审计中需要实用 Go 专项分析步骤的场景。

containing-active-breach 是一项面向实时泄露遏制的事件响应技能。它通过结构化的 containing-active-breach 指南，并结合实用的 API 与脚本引用，帮助隔离主机、阻断可疑流量、禁用受影响账户，并减缓横向移动。

collecting-indicators-of-compromise 技能用于从事件证据中提取、丰富、评分并导出 IOC。适合安全审计流程、威胁情报共享，以及需要 STIX 2.1 输出的场景；当你需要的是一份实用的 collecting-indicators-of-compromise 指南，而不是泛化的事件响应提示词时，它会更合适。

building-vulnerability-scanning-workflow 帮助 SOC 团队设计一套可重复的漏洞扫描流程，用于资产发现、优先级排序、修复跟踪和报告。它支持安全审计场景，提供扫描编排、基于 KEV 的风险排序以及超越一次性扫描的工作流指导。

面向需要结构化勒索软件响应手册的 SOC 团队的 building-soc-playbook-for-ransomware 技能。它涵盖检测触发、遏制、清除、恢复，以及符合 NIST SP 800-61 和 MITRE ATT&CK 的审计就绪流程。可用于实用的手册编写、桌面推演和 Security Audit 支持。

使用 building-soc-escalation-matrix 技能构建结构化的 SOC 升级矩阵，涵盖严重级别分层、响应 SLA、升级路径和通知规则。它包含模板、标准映射、工作流程以及脚本，适合在安全运营和审计工作中实际使用 building-soc-escalation-matrix。

building-incident-response-dashboard 可帮助团队在 Splunk、Elastic 或 Grafana 中构建实时事件响应仪表盘，用于跟踪正在进行的事件、遏制状态、受影响资产、IOC 扩散情况和响应时间线。当你需要一个面向 SOC 分析师、事件指挥官和管理层的专用仪表盘时，可以使用这个 building-incident-response-dashboard skill。

analyzing-windows-registry-for-artifacts 可帮助分析人员从 Windows Registry hive 中提取证据，用于识别用户活动、已安装软件、自动运行项、USB 历史和入侵迹象，支持事件响应或 Security Audit 工作流。

analyzing-windows-prefetch-with-python 使用 windowsprefetch 解析 Windows Prefetch（.pf）文件，重建程序执行历史，识别重命名或伪装的二进制文件，并支持事件分诊与恶意软件分析。

analyzing-windows-amcache-artifacts 技能会解析 Windows 的 Amcache.hve 数据，用于还原程序执行痕迹、已安装软件、设备活动和驱动加载信息，适合 DFIR 和安全审计流程。它结合 AmcacheParser 和基于 regipy 的指导，支持提取取证工件、做 SHA-1 关联分析以及时间线回溯。

analyzing-threat-actor-ttps-with-mitre-attack 技能可帮助将威胁报告映射到 MITRE ATT&CK 的战术、技术和子技术，构建覆盖视图，并优先识别检测缺口。它包含报告模板、ATT&CK 参考资料，以及用于技术查询和缺口分析的脚本，因此很适合 CTI、SOC、检测工程和威胁建模场景。

analyzing-powershell-empire-artifacts 技能帮助安全审计团队借助 Script Block Logging、Base64 启动器特征、stager IOC、模块签名和检测参考，在 Windows 日志中识别 PowerShell Empire 相关痕迹，并用于初步研判和规则编写。

analyzing-powershell-script-block-logging 技能用于解析 Windows PowerShell Script Block Logging 的 Event ID 4104（来自 EVTX 文件），重建被拆分的脚本块，并标记混淆命令、编码载荷、Invoke-Expression 滥用、下载器手法以及 AMSI 绕过尝试，适合安全审计工作。

analyzing-persistence-mechanisms-in-linux skill 可用于调查 Linux 机器在被入侵后的持久化迹象，包括 crontab 任务、systemd 单元、LD_PRELOAD 滥用、shell profile 修改以及 SSH authorized_keys 后门。它面向 incident response、threat hunting 和安全审计流程，并结合 auditd 和文件完整性检查使用。

analyzing-mft-for-deleted-file-recovery 可通过分析 NTFS $MFT 记录、$LogFile、$UsnJrnl 和 MFT slack space，帮助恢复已删除文件的元数据，以及可能的路径或内容证据。面向 DFIR 和 Security Audit 工作流，配合 MFTECmd、analyzeMFT 和 X-Ways Forensics 使用。