Directory
Discover and filter AI agent skills. 27,776 active skills available.
Popular guides from the directory
Start with intent-focused guides, then come back to the full directory when you need broader coverage.
category guide
AI Agents for Marketing
Discover AI agents for marketing workflows, from SEO and content production to campaign research, outreach, and analytics.
category guide
AI Agents for Startups
Explore AI agent skills for startup validation, product research, growth experiments, documentation, and fast execution with small teams.
category guide
AI Agents for Coding
Browse AI agent skills for coding, debugging, testing, refactoring, code review, and developer workflows across Claude, Cursor, and Codex.
best guide
Best AI Skills for Claude
Explore the best AI skills for Claude and Claude Code across coding, research, workflow automation, documentation, and agent operations.
best guide
Top AI Agents for Productivity
See the top AI agent skills for productivity, workflow automation, operational systems, documentation, and everyday task execution.
category guide
AI Agents for Freelancers
Browse AI agent skills for freelancers handling client research, proposals, outreach, delivery systems, documentation, and repeatable admin work.
Results
detecting-modbus-command-injection-attacks
通过使用ICS感知IDS和协议深度包检测,监控未授权写入操作、异常功能码、格式错误的帧以及与已建立通信基线的偏差,检测ICS环境中针对Modbus TCP/RTU协议的命令注入攻击。
detecting-mobile-malware-behavior
通过行为分析、权限滥用检测、网络流量监控和动态插桩,检测并分析移动应用中的恶意行为。 适用于分析可疑移动应用的数据泄露、C2 通信、凭据窃取、SMS 拦截或其他恶意软件指标。 适合移动恶意软件分析、应用行为监控、木马检测或可疑应用调查相关请求。
detecting-misconfigured-azure-storage
使用 Azure CLI、PowerShell 和 Microsoft Defender for Storage,检测 Azure 存储账户错误配置,包括可公开访问的 blob 容器、缺失的加密设置、过于宽泛的 SAS 令牌、禁用的日志记录以及网络访问违规。
detecting-mimikatz-execution-patterns
通过命令行模式、LSASS 访问签名、二进制指标和已知模块的内存检测,检测 Mimikatz 的执行。
detecting-malicious-scheduled-tasks-with-sysmon
使用 Sysmon 事件 ID 1(schtasks.exe 进程创建)、11(任务 XML 文件创建)以及 Windows 安全事件 4698/4702 检测恶意计划任务的创建和修改。分析人员将任务创建与可疑父进程、公共目录路径和编码命令参数相关联, 以识别通过计划任务进行的持久化和横向移动。适用于计划任务检测、Sysmon 持久化狩猎或 T1053.005 计划任务/作业分析。
detecting-living-off-the-land-with-lolbas
通过进程遥测、Sigma 规则和父子进程分析,检测离地二进制文件(LOLBin/LOLBAS)滥用,包括 certutil、regsvr32、mshta 和 rundll32
detecting-living-off-the-land-attacks
检测滥用合法 Windows 二进制文件(LOLBin)进行的离地攻击。监控进程创建、 命令行参数和父子关系,以识别可疑的 LOLBin 执行模式。
detecting-lateral-movement-with-splunk
使用针对 Windows 身份验证日志、SMB 流量和远程服务滥用的 Splunk SPL 查询,检测跨网络的攻击者横向移动。
detecting-lateral-movement-in-network
通过分析身份验证日志、网络流量、SMB 流量和 RDP 会话,使用 Zeek、Velociraptor 和 SIEM 关联规则,识别企业网络中的横向移动技术,检测攻击者在系统间的移动行为。
detecting-kerberoasting-attacks
通过监控针对具有 SPN 的服务账户的异常 Kerberos TGS 请求,检测用于离线密码破解的 Kerberoasting 攻击。
detecting-insider-threat-with-ueba
使用 Elasticsearch/OpenSearch 实施用户和实体行为分析(UEBA),构建行为基线、计算异常分数、执行对等组分析,并检测内部威胁指标,如数据外泄、权限滥用和未授权访问模式。
detecting-insider-threat-behaviors
检测内部威胁行为指标,包括异常数据访问、非工作时间活动、大量文件下载、权限滥用和离职相关的数据盗取。
detecting-golden-ticket-attacks
通过分析 Windows 安全事件日志中的异常 TGT 使用模式,检测 Kerberos 黄金票据(Golden Ticket)攻击。从 EVTX 文件中解析事件 ID 4624、4672 和 4768,识别具有异常生命周期的票据、域 SID 不匹配,以及非管理员账户无对应组成员身份变更却获得管理员级别权限的特权提升序列。
detecting-golden-ticket-attacks-in-kerberos-logs
通过分析 Kerberos TGT 异常(包括加密类型不匹配、不可能的票据生命周期、不存在的账户以及域控制器事件日志中的伪造 PAC 签名),检测 Active Directory 中的黄金票据攻击。
detecting-fileless-malware-techniques
检测和分析完全在内存中运行的无文件恶意软件,这类恶意软件利用 PowerShell、 WMI、.NET 反射、注册表存储载荷和离地攻击二进制文件(LOLBins), 不在磁盘上写入传统可执行文件。适用于无文件威胁检测、内存恶意软件调查、 LOLBin 滥用分析或 WMI 持久化检查等请求。
detecting-fileless-attacks-on-endpoints
检测完全在内存(RAM)中执行、不向磁盘写入持久文件的无文件恶意软件和内存攻击, 规避传统杀毒软件。适用于为 PowerShell 攻击、反射式 DLL 注入、WMI 持久化和注册表驻留恶意软件 构建检测规则的场景。
detecting-exfiltration-over-dns-with-zeek
通过分析 Zeek dns.log 中的高熵值子域名和异常查询模式,检测基于 DNS 的数据渗出
detecting-evasion-techniques-in-endpoint-logs
检测端点日志中对手使用的防御规避技术,包括日志篡改、时间戳伪造、进程注入和安全工具禁用。 适用于调查可疑端点行为、为规避战术构建检测规则,或针对隐蔽对手活动进行威胁狩猎的场景。
detecting-email-forwarding-rules-attack
检测攻击者创建的恶意邮件转发规则,以维持对邮件通信的持久访问,用于情报收集和商业电子邮件入侵(BEC)攻击。
detecting-email-account-compromise
通过分析收件箱规则创建、可疑登录位置、邮件转发规则和异常 API 访问模式,检测受攻陷的 O365 和 Google Workspace 邮件账号。
detecting-dns-exfiltration-with-dns-query-analysis
通过分析查询熵值、子域名长度、查询量、TXT 记录滥用及响应载荷大小,使用被动 DNS 监控检测 DNS 隧道数据渗出。
detecting-dnp3-protocol-anomalies
通过监控未授权控制命令、固件更新尝试、协议违规以及与基线流量模式的偏差,使用深度包检测和机器学习方法检测SCADA系统中使用的DNP3(分布式网络协议3)通信中的异常。
detecting-dll-sideloading-attacks
检测 DLL 侧加载攻击,攻击者将恶意 DLL 放置在合法应用程序旁以劫持执行流程,实现防御规避。
detecting-dcsync-attack-in-active-directory
通过监控非域控制器账户通过 DsGetNCChanges 请求目录复制的行为,检测攻击者滥用 Active Directory 复制权限提取密码哈希的 DCSync 攻击。