detection-sigma

이 스킬은 Velociraptor Query Language(VQL)을 사용하여 대규모 엔드포인트 포렌식 및 사고 대응을 가능하게 합니다. 증거 수집, 위협 헌팅, 다중 시스템 간 실시간 대응을 위해 설계되었습니다. 개발자는 이를 통해 원격 측정 데이터를 수집하고, 보안 이벤트를 모니터링하며, 조사를 위한 맞춤형 포렌식 아티팩트를 생성할 수 있습니다.

이 스킬은 osquery를 통해 엔드포인트 운영 체제를 관계형 데이터베이스처럼 쿼리하여 SQL 기반 포렌식 조사와 위협 헌팅을 가능하게 합니다. Linux, macOS, Windows에서 프로세스, 네트워크 연결, 파일 해시 같은 시스템 아티팩트를 신속한 증거 수집, 사고 대응 및 분석에 활용하도록 설계되었습니다. 실시간 포렌식, 탐지 쿼리 구축, 보안 사고 시 침해 지표를 찾는 헌팅 작업에 사용하세요.

이 스킬은 시그마 형식을 사용하여 범용적이고 벤더 중립적인 SIEM 탐지 규칙을 생성하고 관리할 수 있게 합니다. 개발자가 한 번만 규칙을 작성하고 Splunk, Elastic, QRadar, Sentinel과 같은 플랫폼에 맞게 변환할 수 있어, 위협 헌팅 및 탐지-코드 파이프라인을 용이하게 합니다. 주요 기능으로는 탐지 내용을 MITRE ATT&CK에 매핑하고 규정 준수 모니터링을 구현하는 것이 포함됩니다.

layout-analyzer 스킬은 surya 라이브러리를 사용하여 이미지나 PDF에서 텍스트 블록, 표, 읽기 순서와 같은 문서 구조 요소를 감지합니다. 개발자는 복잡한 문서 레이아웃을 프로그래밍 방식으로 분석하여 처리하거나 추출 작업을 수행해야 할 때 이 스킬을 사용해야 합니다. 제목, 그림 등 다양한 영역 감지를 지원하며 올바른 읽기 순서를 결정합니다.