Nist

conducting-post-incident-lessons-learned 技能帮助 Incident Response 团队开展结构化的事后复盘，构建基于事实的时间线，识别根因，记录哪些做法有效、哪些失效，并通过负责人、截止日期和 playbook 更新，把每次事件转化为可衡量的改进。

面向需要结构化勒索软件响应手册的 SOC 团队的 building-soc-playbook-for-ransomware 技能。它涵盖检测触发、遏制、清除、恢复，以及符合 NIST SP 800-61 和 MITRE ATT&CK 的审计就绪流程。可用于实用的手册编写、桌面推演和 Security Audit 支持。