{"id":"4a3bcf75-0dc5-4465-b3e4-347055d40bb0","shortId":"eaAuzH","kind":"skill","title":"coff0xc-detection-response","tagline":"Use when / 当用户请求: 全面 SOC、安全运营、检测工程、威胁狩猎、威胁情报、邮件安全、恶意软件分析、取证和应急响应工作流。触发：SIEM、Sigma、YARA、Sigma/YARA、IOC、日志、告警、EDR、IR、forensics、malware、phishing、timeline、detection response、incident response、incident、威胁情报、狩猎、误报、安全告警太吵、安全告警、检测响应、事故响应、检测逻辑、降误报、验证样本、alert tuning。 Covered source aliases","description":"# coff0xc-detection-response\n\n<!-- skill-id: cs-drs-6c1f90e4 -->\n\n## 快速规则（日常任务先读这里）\n> **[时间线先行]** 先定日志源、字段、时间范围、实体、告警上下文和已知 IOC。\n> **[检测门禁]** Sigma/YARA/查询必须说明字段映射、样本、误报来源、ATT&CK 映射和测试方式。\n> **[响应边界]** 默认给 triage、保全、遏制建议；真实隔离、封禁、删除、封号或生产处置先确认。\n> **[交付标准]** 输出时间线、证据等级、规则、调优建议、缺失日志和复盘项。\n\n普通检测/响应任务按本节先推进；只有事件指挥、真实 containment 或跨团队演练时再展开完整工作流。\n\n## 能力定位\n面向 SOC、检测工程、威胁狩猎、取证和应急响应的防御运营能力。它把日志、样本线索和告警问题转成可验证检测、时间线和响应建议。\n\n## 能交付什么\n- Sigma/YARA/查询规则草案和字段映射\n- IOC、时间线、攻击阶段和 ATT&CK 映射\n- 误报分析、测试样例和调优建议\n- 应急处置、取证保全和复盘改进清单\n\n## 可以接收什么输入\n- EDR/SIEM/云日志、告警、IOC、样本摘要\n- 取证笔记、邮件头、网络流量摘要、事件时间线\n- 已有 Sigma/YARA/查询规则和误报反馈\n\n## 放心使用的边界\n- 只做防御检测、应急、取证和报告\n- 不提供未授权攻击、持久化、规避检测或恶意样本投递步骤\n- 处理真实日志时避免泄露个人信息和敏感资产细节\n- 安全类能力默认只用于授权、防御、检测、加固、验证和报告；不提供未授权攻击、凭据窃取、持久化、规避检测、C2、钓鱼收集、数据外传或破坏性步骤。\n\n## 为什么可以放心\n- 检测规则必须说明数据源、字段、测试样例和误报风险\n- IR 输出区分已观测事实和推断\n- 优先给可执行的处置和验证步骤\n\n## 典型使用方式\n```text\n使用 coff0xc-detection-response 根据这些 EDR 日志写 Sigma 和 YARA 检测规则。\n使用 coff0xc-detection-response 做一次威胁狩猎假设、日志查询和告警调优。\nUse coff0xc-detection-response to build an incident timeline from these forensics notes.\n```\n\n\n## 目标\n把告警、日志、样本、IOC 和情报转成可验证的检测、处置和复盘结果；事实、推断和未知必须分开。\n\n## 适用场景\n- 编写或评审 Sigma/YARA/SIEM 查询、检测逻辑、狩猎假设和告警处置流程。\n- 分析邮件头、IOC、日志、EDR 告警、内存/磁盘取证结果、恶意样本元数据。\n- 制定应急响应计划、时间线、影响范围、遏制恢复和复盘改进。\n\n## 触发强化\n- 自动触发主要依赖本文件 frontmatter 的 `description`；本 skill 已把中文、英文、工具名、来源别名和常见缩写写入 `description`。\n- 如果没有自动触发，手动写：`使用 coff0xc-detection-response ...`。\n- 如果用户只写了宽泛主题，可先用 `coff0xc-skill-router` 路由到本 skill。\n\n## 不适用场景\n- 不要运行未知恶意样本或提供规避检测/持久化技巧。\n- OSINT 不做骚扰、钓鱼、账号接管或隐私侵犯。\n- 不把情报传闻当已确认入侵事实。\n\n## 执行原则\n- 先读取项目文件、配置、调用点、现有风格和可用工具，再下结论或改文件。\n- 把用户目标转成可验证的完成标准；不确定但低风险的细节记录为假设并继续推进。\n- 涉及当前事实、版本、CVE、云服务、GitHub 状态、价格、外部 API 或论文时，查真实来源并标注证据等级。\n- 涉及代码改动时保持最小正确改动，优先使用现有框架、脚本、测试和本地工具。\n- 只有真实运行过的命令、测试、构建、扫描或人工检查才能写成已验证。\n- 涉及删除、远程写入、生产、凭据、付费、push、PR/Issue、CI/CD、权限或基础设施变更时，先拿到明确授权。\n\n## 安全边界\n- 只处理自有资产、明确授权资产、实验室、CTF、靶场、日志、配置、样本、代码审计、防御建设和报告写作。\n- 真实第三方目标上不提供漏洞利用、凭证获取、持久化、规避检测、C2、钓鱼收集、数据外传、破坏或未授权访问步骤。\n- 高风险请求默认转为防御输出：授权边界、风险解释、检测思路、日志查询、规则草案、加固方案、验证清单和报告结构。\n- 主动联网扫描、云账号检查、目录/租户查询或生产环境动作前，确认目标范围、速率、时间窗口、禁止动作和回滚方式。\n- 发现密钥、个人信息、样本敏感数据或客户数据时，只报告类型、位置和处置建议，不复述完整秘密值。\n\n## 能力矩阵\n| 能力域 | 覆盖范围 | 执行要点 |\n| --- | --- | --- |\n| 检测工程 | Sigma、YARA、SIEM query、EDR logic、field mapping、FP tuning | 规则含数据源和测试样例。 |\n| SOC 运营 | 告警分级、triage、升级、case notes、SLA、runbook | 处置路径清楚。 |\n| 威胁狩猎 | 假设、ATT&CK 技术、遥测、查询、结果解释 | 区分命中和未命中意义。 |\n| 威胁情报 | IOC、TTP、来源可靠性、时效、关联和可操作性 | 标注证据等级。 |\n| 邮件安全 | headers、SPF/DKIM/DMARC、URL、附件、投递链 | 保留证据链。 |\n| 取证分析 | timeline、文件、进程、网络、用户、持久化位置 | 记录来源和时间区。 |\n| 恶意软件分析 | 静态元数据、字符串、行为假设、沙箱报告、家族关联 | 不执行危险样本。 |\n| 应急响应 | 准备、识别、遏制、根除、恢复、监控、复盘 | 每步有负责人和验证。 |\n\n## 子域路由\n| 来源 skill | 并入后的处理方式 |\n| --- | --- |\n| detection-engineering | 规则编写、日志字段、误报压降和测试。 |\n| soc-operations | 告警 triage、case 流程和运营指标。 |\n| threat-hunting | 狩猎假设、查询和 ATT&CK 映射。 |\n| threat-intelligence | 情报源评估、IOC/TTP 关联和时效判断。 |\n| email-security | 钓鱼邮件分析、认证记录和附件/URL 风险。 |\n| forensics-analysis | 主机/磁盘/日志时间线和证据链。 |\n| malware-analysis | 静态/沙箱安全分析和 YARA 方向。 |\n| incident-response | IR 指挥、遏制、恢复和复盘。 |\n| osint | 公开信息收集、归因假设和来源可信度。 |\n\n## 工作流\n| 阶段 | 动作 | 完成标准 |\n| --- | --- | --- |\n| 证据接收 | 记录数据源、时间窗、时区、主机、用户、样本哈希、日志字段。 | 证据可追溯。 |\n| 事实分层 | 分开已确认事实、强关联、弱假设、未知和需要补数项。 | 不夸大结论。 |\n| 分析路径 | 按 kill chain/ATT&CK/时间线/资产影响组织调查。 | 知道下一条查询查什么。 |\n| 检测产物 | 生成查询/规则、字段映射、测试数据、FP 条件和部署注意。 | 能上线验证。 |\n| 处置计划 | 遏制、根除、恢复、监控、沟通和复盘。 | 业务和安全都可执行。 |\n| 闭环验证 | 确认告警下降、风险清除、日志覆盖和补救完成。 | 事件可关闭。 |\n\n## 证据等级\n- 已验证：本地命令、测试、构建、源码、配置、日志、官方资料或可复现数据支持。\n- 高可信：多个可靠来源一致，但当前环境没有完整复现。\n- 推断：基于已验证事实的合理判断，需要后续验证。\n- 未验证：尚未确认，不能作为最终结论。\n- 未知：资料不足，需要补充输入或授权。\n\n## 硬门禁\n- 运行样本、连接可疑基础设施、查询真实用户隐私数据前必须确认。\n- 对外归因、公开披露、通知客户或执法相关输出必须保持证据等级。\n- 规则部署到生产 SIEM/EDR 前需要变更审批和回滚。\n\n## 验证清单\n- 规则：正样例、负样例、字段存在性、时间窗、性能和误报样本。\n- IR：每个处置动作有日志或配置证据。\n- 情报：来源、发布时间、相关性、过期状态。\n- 取证：hash、时间线一致性、证据保全路径。\n\n## 反模式\n- 把 IOC 命中直接等同于入侵成功。\n- 规则没有数据源字段说明。\n- 只给处置建议不说明如何验证完成。\n- 把第三方情报原文当事实复述。\n\n## 合并来源\n- `detection-engineering`\n- `email-security`\n- `forensics-analysis`\n- `incident-response`\n- `malware-analysis`\n- `osint`\n- `soc-operations`\n- `threat-hunting`\n- `threat-intelligence`\n\n## 本机相近 Skill\n- `yara-rule-authoring`\n- `sarif-parsing`\n- `source-command-vuln-research`\n\n## 输出合同\n```markdown\n完成：\n- ...\n\n证据：\n- [已验证/高可信/推断/未验证/未知] ...\n\n行动：\n- ...\n\n验证：\n- ...\n\n剩余风险：\n- ...\n\n下一步：\n- ...\n```","tags":["coff0xc","detection","response","coffee","skill","agent-skills","ai-agents","appsec","codex","defensive-security","devsecops","office-docs"],"capabilities":["skill","source-coff0xc","skill-coff0xc-detection-response","topic-agent-skills","topic-ai-agents","topic-appsec","topic-codex","topic-defensive-security","topic-devsecops","topic-office-docs","topic-prompt-engineering","topic-rag","topic-security-tools","topic-skills"],"categories":["coffee-skill"],"synonyms":[],"warnings":[],"endpointUrl":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-detection-response","protocol":"skill","transport":"skills-sh","auth":{"type":"none","details":{"cli":"npx skills add Coff0xc/coffee-skill","source_repo":"https://github.com/Coff0xc/coffee-skill","install_from":"skills.sh"}},"qualityScore":"0.455","qualityRationale":"deterministic score 0.46 from registry signals: · indexed on github topic:agent-skills · 11 github stars · SKILL.md body (4,174 chars)","verified":false,"liveness":"unknown","lastLivenessCheck":null,"agentReviews":{"count":0,"score_avg":null,"cost_usd_avg":null,"success_rate":null,"latency_p50_ms":null,"narrative_summary":null,"summary_updated_at":null},"enrichmentModel":"deterministic:skill-github:v1","enrichmentVersion":1,"enrichedAt":"2026-05-18T19:07:30.617Z","embedding":null,"createdAt":"2026-05-18T13:12:44.127Z","updatedAt":"2026-05-18T19:07:30.617Z","lastSeenAt":"2026-05-18T19:07:30.617Z","tsv":"'/url':439 'alert':46 'alias':50 'analysi':443,449,576,582 'api':268 'att':69,108,358,425 'author':598 'build':182 'c2':145,304 'case':351,418 'chain/att':486 'ci/cd':286 'ck':70,109,359,426,487 'coff0xc':2,52,159,171,178,233,239 'coff0xc-detection-response':1,51,158,170,177,232 'coff0xc-skill-router':238 'command':604 'contain':91 'cover':48 'ctf':293 'cve':262 'descript':221,228 'detect':3,31,53,160,172,179,234,408,569 'detection-engin':407,568 'edr':25,163,208,339 'edr/siem':116 'email':435,572 'email-secur':434,571 'engin':409,570 'field':341 'forens':27,188,442,575 'forensics-analysi':441,574 'fp':343,496 'frontmatt':219 'github':264 'hash':557 'header':373 'hunt':422,589 'incid':33,35,184,455,578 'incident-respons':454,577 'intellig':430,592 'ioc':22,63,105,119,194,206,366,562 'ioc/ttp':432 'ir':26,152,457,549 'kill':485 'logic':340 'malwar':28,448,581 'malware-analysi':447,580 'map':342 'markdown':608 'note':189,352 'oper':415,586 'osint':247,461,583 'pars':601 'phish':29 'pr/issue':285 'push':284 'queri':338 'research':606 'respons':4,32,34,54,161,173,180,235,456,579 'router':241 'rule':597 'runbook':354 'sarif':600 'sarif-pars':599 'secur':436,573 'siem':18,337 'siem/edr':540 'sigma':19,165,335 'sigma/yara':21,65,103,126 'sigma/yara/siem':201 'skill':223,240,243,405,594 'skill-coff0xc-detection-response' 'sla':353 'soc':9,95,346,414,585 'soc-oper':413,584 'sourc':49,603 'source-coff0xc' 'source-command-vuln-research':602 'spf/dkim/dmarc':374 'text':156 'threat':421,429,588,591 'threat-hunt':420,587 'threat-intellig':428,590 'timelin':30,185,380 'topic-agent-skills' 'topic-ai-agents' 'topic-appsec' 'topic-codex' 'topic-defensive-security' 'topic-devsecops' 'topic-office-docs' 'topic-prompt-engineering' 'topic-rag' 'topic-security-tools' 'topic-skills' 'triag':74,349,417 'ttp':367 'tune':47,344 'url':375 'use':5,176 'vuln':605 'yara':20,167,336,452,596 'yara-rule-author':595 '下一步':619 '不做骚扰':248 '不复述完整秘密值':329 '不夸大结论':482 '不执行危险样本':393 '不把情报传闻当已确认入侵事实':251 '不提供未授权攻击':132,141 '不确定但低风险的细节记录为假设并继续推进':259 '不能作为最终结论':528 '不要运行未知恶意样本或提供规避检测':245 '不适用场景':244 '业务和安全都可执行':505 '个人信息':325 '为什么可以放心':148 '主动联网扫描':316 '主机':444,472 '事件可关闭':510 '事件时间线':124 '事实':197 '事实分层':477 '事故响应':42 '云日志':117 '云服务':263 '云账号检查':317 '交付标准':81 '付费':283 '代码审计':298 '价格':266 '优先使用现有框架':272 '优先给可执行的处置和验证步骤':154 '但当前环境没有完整复现':522 '位置和处置建议':328 '使用':157,169,231 '保全':75 '保留证据链':378 '假设':357 '做一次威胁狩猎假设':174 '先定日志源':58 '先拿到明确授权':288 '先读取项目文件':253 '全面':8 '公开信息收集':462 '公开披露':537 '关联和可操作性':370 '关联和时效判断':433 '典型使用方式':155 '内存':210 '再下结论或改文件':257 '准备':395 '凭据':282 '凭据窃取':142 '凭证获取':301 '分开已确认事实':478 '分析路径':483 '分析邮件头':205 '删除':79 '制定应急响应计划':213 '前需要变更审批和回滚':541 '剩余风险':618 '加固':139 '加固方案':314 '动作':466 '区分命中和未命中意义':364 '升级':350 '反模式':560 '发布时间':553 '发现密钥':324 '取证':556 '取证保全和复盘改进清单':114 '取证分析':379 '取证和应急响应工作流':16 '取证和应急响应的防御运营能力':98 '取证和报告':131 '取证笔记':121 '只做防御检测':129 '只处理自有资产':290 '只报告类型':327 '只有事件指挥':89 '只有真实运行过的命令':275 '只给处置建议不说明如何验证完成':565 '可以接收什么输入':115 '可先用':237 '合并来源':567 '告警':24,118,209,416 '告警上下文和已知':62 '告警分级':348 '命中直接等同于入侵成功':563 '和':166 '和情报转成可验证的检测':195 '响应任务按本节先推进':88 '响应边界':72 '基于已验证事实的合理判断':524 '处理真实日志时避免泄露个人信息和敏感资产细节':135 '处置和复盘结果':196 '处置计划':499 '处置路径清楚':355 '复盘':401 '外部':267 '多个可靠来源一致':521 '如果没有自动触发':229 '如果用户只写了宽泛主题':236 '威胁情报':13,36,365 '威胁狩猎':12,97,356 '子域路由':403 '字段':59,150 '字段存在性':546 '字段映射':494 '字符串':389 '它把日志':99 '安全告警':40 '安全告警太吵':39 '安全类能力默认只用于授权':136 '安全边界':289 '安全运营':10 '完成':609 '完成标准':467 '官方资料或可复现数据支持':519 '实体':61 '实验室':292 '家族关联':392 '对外归因':536 '封号或生产处置先确认':80 '封禁':78 '尚未确认':527 '工作流':464 '工具名':226 '已把中文':224 '已有':125 '已验证':512,611 '并入后的处理方式':406 '应急':130 '应急响应':394 '应急处置':113 '弱假设':480 '强关联':479 '归因假设和来源可信度':463 '当用户请求':7 '影响范围':215 '快速规则':55 '性能和误报样本':548 '恢复':399,502 '恢复和复盘':460 '恶意样本元数据':212 '恶意软件分析':15,387 '情报':551 '情报源评估':431 '或论文时':269 '或跨团队演练时再展开完整工作流':92 '手动写':230 '执行原则':252 '执行要点':333 '扫描或人工检查才能写成已验证':278 '技术':360 '把':561 '把告警':191 '把用户目标转成可验证的完成标准':258 '把第三方情报原文当事实复述':566 '投递链':377 '持久化':133,143,302 '持久化位置':385 '持久化技巧':246 '指挥':458 '按':484 '授权边界':309 '推断':523,613 '推断和未知必须分开':198 '攻击阶段和':107 '放心使用的边界':128 '数据外传':306 '数据外传或破坏性步骤':147 '文件':381 '方向':453 '日常任务先读这里':56 '日志':23,192,207,295,518 '日志写':164 '日志字段':411,475 '日志时间线和证据链':446 '日志查询':312 '日志查询和告警调优':175 '日志覆盖和补救完成':509 '时区':471 '时效':369 '时间窗':470,547 '时间窗口':322 '时间线':106,214,488 '时间线一致性':558 '时间线先行':57 '时间线和响应建议':101 '时间范围':60 '明确授权资产':291 '映射':110,427 '映射和测试方式':71 '普通检测':87 '未知':529,615 '未知和需要补数项':481 '未验证':526,614 '本':222 '本地命令':513 '本机相近':593 '权限或基础设施变更时':287 '条件和部署注意':497 '来源':404,552 '来源别名和常见缩写写入':227 '来源可靠性':368 '构建':277,515 '查真实来源并标注证据等级':270 '查询':202,362 '查询和':424 '查询必须说明字段映射':66 '查询真实用户隐私数据前必须确认':535 '查询规则和误报反馈':127 '查询规则草案和字段映射':104 '标注证据等级':371 '样本':67,193,297 '样本哈希':474 '样本摘要':120 '样本敏感数据或客户数据时':326 '样本线索和告警问题转成可验证检测':100 '根据这些':162 '根除':398,501 '检测':138 '检测产物':491 '检测响应':41 '检测工程':11,96,334 '检测思路':311 '检测规则':168 '检测规则必须说明数据源':149 '检测逻辑':43,203 '检测门禁':64 '正样例':544 '每个处置动作有日志或配置证据':550 '每步有负责人和验证':402 '沙箱安全分析和':451 '沙箱报告':391 '沟通和复盘':504 '流程和运营指标':419 '测试':276,514 '测试和本地工具':274 '测试数据':495 '测试样例和误报风险':151 '测试样例和调优建议':112 '涉及代码改动时保持最小正确改动':271 '涉及删除':279 '涉及当前事实':260 '源码':516 '版本':261 '状态':265 '狩猎':37 '狩猎假设':423 '狩猎假设和告警处置流程':204 '现有风格和可用工具':256 '生产':281 '生成查询':492 '用户':384,473 '的':220 '监控':400,503 '目录':318 '目标':190 '相关性':554 '真实':90 '真实第三方目标上不提供漏洞利用':300 '真实隔离':77 '知道下一条查询查什么':490 '破坏或未授权访问步骤':307 '硬门禁':532 '确认告警下降':507 '确认目标范围':320 '磁盘':445 '磁盘取证结果':211 '禁止动作和回滚方式':323 '租户查询或生产环境动作前':319 '结果解释':363 '编写或评审':200 '缺失日志和复盘项':86 '网络':383 '网络流量摘要':123 '能上线验证':498 '能交付什么':102 '能力域':331 '能力定位':93 '能力矩阵':330 '脚本':273 '自动触发主要依赖本文件':218 '英文':225 '行为假设':390 '行动':616 '覆盖范围':332 '规则':84,493,543 '规则含数据源和测试样例':345 '规则没有数据源字段说明':564 '规则编写':410 '规则草案':313 '规则部署到生产':539 '规避检测':144,303 '规避检测或恶意样本投递步骤':134 '触发':17 '触发强化':217 '认证记录和附件':438 '记录数据源':469 '记录来源和时间区':386 '证据':610 '证据保全路径':559 '证据可追溯':476 '证据接收':468 '证据等级':83,511 '识别':396 '误报':38 '误报分析':111 '误报压降和测试':412 '误报来源':68 '调优建议':85 '调用点':255 '负样例':545 '账号接管或隐私侵犯':250 '资产影响组织调查':489 '资料不足':530 '路由到本':242 '输出区分已观测事实和推断':153 '输出合同':607 '输出时间线':82 '过期状态':555 '运营':347 '运行样本':533 '进程':382 '远程写入':280 '连接可疑基础设施':534 '适用场景':199 '通知客户或执法相关输出必须保持证据等级':538 '速率':321 '遏制':397,459,500 '遏制建议':76 '遏制恢复和复盘改进':216 '遥测':361 '邮件头':122 '邮件安全':14,372 '配置':254,296,517 '钓鱼':249 '钓鱼收集':146,305 '钓鱼邮件分析':437 '闭环验证':506 '防御':137 '防御建设和报告写作':299 '阶段':465 '附件':376 '降误报':44 '需要后续验证':525 '需要补充输入或授权':531 '静态':450 '静态元数据':388 '面向':94 '靶场':294 '风险':440 '风险清除':508 '风险解释':310 '验证':617 '验证和报告':140 '验证样本':45 '验证清单':542 '验证清单和报告结构':315 '高可信':520,612 '高风险请求默认转为防御输出':308 '默认给':73","prices":[{"id":"4f20e81a-766b-4f8c-962e-e4e8d6d0017b","listingId":"4a3bcf75-0dc5-4465-b3e4-347055d40bb0","amountUsd":"0","unit":"free","nativeCurrency":null,"nativeAmount":null,"chain":null,"payTo":null,"paymentMethod":"skill-free","isPrimary":true,"details":{"org":"Coff0xc","category":"coffee-skill","install_from":"skills.sh"},"createdAt":"2026-05-18T13:12:44.127Z"}],"sources":[{"listingId":"4a3bcf75-0dc5-4465-b3e4-347055d40bb0","source":"github","sourceId":"Coff0xc/coffee-skill/coff0xc-detection-response","sourceUrl":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-detection-response","isPrimary":false,"firstSeenAt":"2026-05-18T13:12:44.127Z","lastSeenAt":"2026-05-18T19:07:30.617Z"}],"details":{"listingId":"4a3bcf75-0dc5-4465-b3e4-347055d40bb0","quickStartSnippet":null,"exampleRequest":null,"exampleResponse":null,"schema":null,"openapiUrl":null,"agentsTxtUrl":null,"citations":[],"useCases":[],"bestFor":[],"notFor":[],"kindDetails":{"org":"Coff0xc","slug":"coff0xc-detection-response","github":{"repo":"Coff0xc/coffee-skill","stars":11,"topics":["agent-skills","ai-agents","appsec","codex","defensive-security","devsecops","office-docs","prompt-engineering","rag","security-tools","skills"],"license":"other","html_url":"https://github.com/Coff0xc/coffee-skill","pushed_at":"2026-05-17T11:03:26Z","description":"Installable Codex/AgentSkills workflow pack for dev, Agent/RAG, API/data, Office artifacts, research diagrams, and authorized security review.","skill_md_sha":"e81eef7657db564a98aa4f80d0bad7221c2041fa","skill_md_path":"skills/coff0xc-detection-response/SKILL.md","default_branch":"main","skill_tree_url":"https://github.com/Coff0xc/coffee-skill/tree/main/skills/coff0xc-detection-response"},"layout":"multi","source":"github","category":"coffee-skill","frontmatter":{"name":"coff0xc-detection-response","description":"Use when / 当用户请求: 全面 SOC、安全运营、检测工程、威胁狩猎、威胁情报、邮件安全、恶意软件分析、取证和应急响应工作流。触发：SIEM、Sigma、YARA、Sigma/YARA、IOC、日志、告警、EDR、IR、forensics、malware、phishing、timeline、detection response、incident response、incident、威胁情报、狩猎、误报、安全告警太吵、安全告警、检测响应、事故响应、检测逻辑、降误报、验证样本、alert tuning。 Covered source aliases / 来源别名: detection-engineering, email-security, forensics-analysis, incident-response, malware-analysis, osint, soc-operations, threat-hunting, threat-intelligence. Capability domains / 能力域: 检测工程, SOC 运营, 威胁狩猎, 威胁情报, 邮件安全, 取证分析, 恶意软件分析, 应急响应. If this skill does not auto-trigger, user can manually invoke: 使用 coff0xc-detection-response."},"skills_sh_url":"https://skills.sh/Coff0xc/coffee-skill/coff0xc-detection-response"},"updatedAt":"2026-05-18T19:07:30.617Z"}}