Soc

correlating-security-events-in-qradar 可帮助 SOC 和检测团队结合 AQL、offense 上下文、自定义规则和 reference data 来关联 IBM QRadar offenses。可用本指南调查事件、降低误报，并为 Incident Response 构建更强的关联逻辑。

building-vulnerability-scanning-workflow 帮助 SOC 团队设计一套可重复的漏洞扫描流程，用于资产发现、优先级排序、修复跟踪和报告。它支持安全审计场景，提供扫描编排、基于 KEV 的风险排序以及超越一次性扫描的工作流指导。

building-soc-metrics-and-kpi-tracking 这项技能可将 SOC 活动数据转化为 MTTD、MTTR、告警质量、分析师效率和检测覆盖率等 KPI。它适合需要可重复报表、趋势跟踪以及基于 Splunk 工作流、便于向管理层汇报的指标的 SOC 领导层、安全运营和可观测性团队。

面向需要结构化勒索软件响应手册的 SOC 团队的 building-soc-playbook-for-ransomware 技能。它涵盖检测触发、遏制、清除、恢复，以及符合 NIST SP 800-61 和 MITRE ATT&CK 的审计就绪流程。可用于实用的手册编写、桌面推演和 Security Audit 支持。

使用 building-soc-escalation-matrix 技能构建结构化的 SOC 升级矩阵，涵盖严重级别分层、响应 SLA、升级路径和通知规则。它包含模板、标准映射、工作流程以及脚本，适合在安全运营和审计工作中实际使用 building-soc-escalation-matrix。

building-incident-response-dashboard 可帮助团队在 Splunk、Elastic 或 Grafana 中构建实时事件响应仪表盘，用于跟踪正在进行的事件、遏制状态、受影响资产、IOC 扩散情况和响应时间线。当你需要一个面向 SOC 分析师、事件指挥官和管理层的专用仪表盘时，可以使用这个 building-incident-response-dashboard skill。

building-detection-rules-with-sigma 可帮助分析师从威胁情报或厂商规则构建可移植的 Sigma 检测规则，将其映射到 MITRE ATT&CK，并转换为 Splunk、Elastic 和 Microsoft Sentinel 等 SIEM 可用的格式。将这份 building-detection-rules-with-sigma 指南用于安全审计流程、标准化建设和 detection-as-code。

building-detection-rule-with-splunk-spl 帮助 SOC 分析师和检测工程师构建用于威胁检测、调优和 Security Audit 审查的 Splunk SPL 关联搜索。可将一份检测简报转化为可部署的规则，并提供 MITRE 映射、富化和验证指导。

analyzing-windows-event-logs-in-splunk skill 可帮助 SOC 分析师在 Splunk 中调查 Windows Security、System 和 Sysmon 日志，识别认证攻击、权限提升、持久化和横向移动。它适用于事件初判、检测工程和时间线分析，并提供映射好的 SPL 模式与 event ID 指引。