Installation
Pick a client and clone the repository into its skills directory.
Installation
About this skill
Expert guidance for deep security investigations. Use this when the user asks to \
How to use
Zainstaluj umiejętność w swoim środowisku MCP, upewniając się, że masz dostęp do narzędzi zdalnych (np. udm_search, get_case) lub lokalnych (np. search_security_events, get_case_full_details) zgodnie z konfiguracją Twojego systemu. Sprawdź plik TOOL_MAPPING.md w repozytorium, aby zidentyfikować dostępne narzędzia w Twoim środowisku.
Wyzwól umiejętność poleceniem /security:investigate, gdy użytkownik poprosi o zbadanie przypadku, jednostki lub incydentu. Podaj niezbędne dane wejściowe: hash pliku (SHA256 lub MD5), identyfikator przypadku lub szczegóły incydentu do analizy.
Umiejętność automatycznie sprawdzi, które narzędzia są dostępne w Twoim środowisku. Jeśli dostępne są narzędzia zdalne, będzie ich preferować; w przeciwnym razie przełączy się na narzędzia lokalne. Nie musisz ręcznie wybierać — system dostosuje się do Twojej konfiguracji.
Dla śledztwa malware'u umiejętność pobierze kontekst przypadku, sprawdzi rozpowszechnienie hash'a w SIEM, wyszuka zdarzenia PROCESS_LAUNCH lub FILE_CREATION zawierające dany hash, a następnie zidentyfikuje wszystkie dotkniętych hosty. Jeśli używasz narzędzi zdalnych, najpierw przetłumaczy zapytanie na format UDM, a następnie je wykona.
Przeanalizuj wyniki: umiejętność zwróci listę hostów, na których plik się pojawił, czasowe ramy wykonania oraz powiązane zdarzenia sieciowe. Użyj tych informacji do oceny zakresu incydentu i podjęcia działań zaradczych.
W razie potrzeby rozszerz śledztwo, badając aktywność sieciową z dotkniętych hostów lub powiązane jednostki. Umiejętność wspiera wieloetapowe procedury — możesz iteracyjnie dodawać nowe kryteria wyszukiwania bez konieczności ręcznego przełączania między narzędziami.