คอร์สเรียนด้วยตนเอง · ภาษาไทย

Cybersec Skills 101

เข้าใจ 5 framework เบื้องหลัง 754 cybersecurity skill สำหรับ AI agent

เริ่มอ่าน → สไลด์ English
โมดูล 01

cybersecurity skill library คืออะไร?

ฐานความรู้ขนาด 754 skill · 26 domain · 5 framework ที่เปลี่ยน AI agent ที่รองรับ agentskills.io ให้กลายเป็น senior security analyst

ทำไมต้องเรียนโมดูลนี้: ก่อนจะทัวร์ทั้ง 5 framework คุณต้องเข้าใจภูมิทัศน์ก่อน — library นี้คืออะไร ต่างจาก tool catalog หรือ wiki ทั่วไปอย่างไร และทำไม "skill" (ไม่ใช่ prompt ไม่ใช่ tool) ถึงเป็นหน่วยที่เหมาะกับการบรรจุความเชี่ยวชาญสำหรับ AI agent ที่ทำงานสืบสวนเรื่อง security เมื่อจบโมดูลนี้ คุณควรอธิบาย library นี้ได้ในหนึ่งประโยค และอธิบาย AI knowledge gap ที่มันเข้ามาเติมได้

สิ่งที่ต้องรู้ก่อน: ใช้ shell + git ได้คล่อง; เคยใช้ AI agent (Claude Code / Copilot / Cursor / Gemini CLI) อย่างน้อยหนึ่งครั้ง ไม่ต้องมีพื้น security ลึก

แนวคิดหลัก

Anthropic-Cybersecurity-Skills เป็น cybersecurity skill library แบบ open-source ที่ใหญ่ที่สุดสำหรับ AI agent ในปัจจุบัน — 754 skill ระดับใช้งานจริง ครอบคลุม 26 security domain ทั้งหมดอยู่ภายใต้ Apache-2.0 ทุก skill ถูก cross-mapped (map ข้าม framework) เข้ากับ 5 framework สำคัญของวงการ (MITRE ATT&CK, NIST CSF 2.0, MITRE ATLAS, MITRE D3FEND, NIST AI RMF) จึงเป็น open-source skill library เดียวที่ครอบคลุมทั้งห้าอย่างเป็นระบบ domain ที่ใหญ่ที่สุดคือ Cloud Security (60 skill), Threat Hunting (55), Threat Intelligence (50), Web App Security (42) และ Network Security (40); เล็กที่สุดคือ Deception Technology (2) และ Compliance & Governance (5)

ทำไมถึงต้องมี library นี้? เพราะ LLM ทั่วไปขาดสิ่งที่ senior analyst ใช้ตัดสินใจ — workflow ที่มีโครงสร้าง: ใช้เทคนิคไหนเมื่อไหร่ ต้องเตรียมอะไรก่อน ทำทีละขั้นอย่างไร และจะยืนยันผลอย่างไร library นี้บันทึก workflow จากผู้ปฏิบัติงานจริง ไม่ใช่ summary ที่ generate มา ทุก skill ใช้แค่ ~30 token เพื่อสแกน (อ่านเฉพาะ frontmatter) และ 500–2,000 token เมื่อโหลดเต็ม — เป็น progressive disclosure (เปิดเผยทีละชั้น) ที่ทำให้ agent ค้น 754 skill ได้ในรอบเดียวโดยไม่ระเบิด context window

skill ทุกตัวยึด open standard ของ agentskills.io: YAML frontmatter สำหรับการค้นเจอภายในเสี้ยววินาที, structured Markdown สำหรับการทำตามทีละขั้น, และไฟล์ references/ สำหรับ context เชิงลึก มาตรฐานนี้คือเหตุผลที่ทำให้ทั้ง 754 skill ใช้งานได้ทันทีโดยไม่ต้อง config บน AI platform 26+ ตัว — Claude Code, GitHub Copilot, Cursor, Gemini CLI, Cline และ agent ใดก็ตามที่รองรับ MCP สองคำสั่งติดตั้งครบ

# Recommended: one-shot install via the skills CLI
npx skills add mukul975/Anthropic-Cybersecurity-Skills

# Fallback: plain git clone
git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.git
cd Anthropic-Cybersecurity-Skills

และนี่คือหน้าตา frontmatter ของ skill หนึ่งตัว — ถือเป็น contract ที่ agent อ่านในระดับมิลลิวินาทีก่อนจะตัดสินใจโหลด body:

---
name: acquiring-disk-image-with-dd-and-dcfldd
description: Create forensically sound bit-for-bit disk images using
  dd and dcfldd while preserving evidence integrity through hash verification.
domain: cybersecurity
subdomain: digital-forensics
tags:
  - forensics
  - disk-imaging
  - evidence-acquisition
  - hash-verification
version: '1.0'
license: Apache-2.0
nist_csf:
  - RS.AN-01
  - RS.AN-03
  - DE.AE-02
  - RS.MA-01
---

สิ่งที่ต้องจำ

library คือ 754 skill · 26 domain · 5 framework เขียนตามมาตรฐาน agentskills.io เพื่อให้ AI agent ที่รองรับหยิบมาใช้ได้ทันทีโดยไม่ต้อง config คุณไม่ต้องท่อง skill ทั้งหมด — agent ทำหน้าที่นั้น คุณแค่ต้องอ่านมันเป็น

เช็คความเข้าใจ

  1. library นี้มี skill กี่ตัว ครอบคลุมกี่ domain กี่ framework และอยู่ภายใต้ license อะไร?
  2. ทำไมเลข "~30 token ต่อ skill frontmatter" ถึงเป็นตัวเลขสำคัญที่ทำให้ค้นทั้ง library ในรอบเดียวเป็นไปได้?
  3. ติดตั้ง library ได้ 2 ทาง อะไรบ้าง และ README แนะนำทางไหน?

อ่านต่อ

โมดูล 02

MITRE ATT&CK

"how" ของพฤติกรรม adversary ในโลกจริง: 14 tactic, 200+ technique และเป็น framework ที่ถูก map มากที่สุดใน library

ทำไมต้องเรียนโมดูลนี้: ATT&CK เป็นภาษากลางของวงการ security ยุคใหม่ ทั้ง detection engineer, threat hunter, red team และ IR responder ต่างพูดด้วย T-number ถ้าคุณอ่าน technique ID ของ ATT&CK ออกจาก frontmatter ของ skill และอธิบายความหมายได้ คุณก็ทำงานร่วมกับทีม security ทีมไหนในโลกก็ได้ นี่เป็น framework ที่เป็นรูปธรรมที่สุดในคอร์สนี้ เราจึงให้เวลามากที่สุด

สิ่งที่ต้องรู้ก่อน: โมดูล 1; รู้คร่าวๆ ว่า "PowerShell" และ "phishing" เป็น attack vector

แนวคิดหลัก

MITRE ATT&CK เป็นฐานความรู้ระดับโลกที่รวบรวมพฤติกรรม cyber adversary แบบจัดระบบ Enterprise matrix จัด tactic (เป้าหมายระดับ "ทำไม") เป็น technique ("ทำอย่างไร") และ sub-technique (วิธี implement เฉพาะ) library ใช้ Enterprise matrix v15 สำหรับ mapping ปัจจุบัน; README อ้าง v18 (14 tactic · 200+ technique) ATT&CK เป็น framework ที่ถูก map มากที่สุดในห้าตัว: 291 unique technique ครอบคลุมครบ 14/14 tactic การ coverage ของ library ถูกแสดงผลผ่าน ATT&CK Navigator layer file ที่ mappings/attack-navigator-layer.json

14 tactic ของ Enterprise เรียงตามลำดับ adversary lifecycle ดังนี้:

TA0043  Reconnaissance         (gather info about a target)
TA0042  Resource Development   (build/buy infrastructure & tooling)
TA0001  Initial Access         (get a foothold)
TA0002  Execution              (run code on a victim system)
TA0003  Persistence            (survive reboots, credential rotation)
TA0004  Privilege Escalation   (gain higher privileges)
TA0005  Defense Evasion        (avoid detection)
TA0006  Credential Access      (steal accounts, tokens, hashes)
TA0007  Discovery              (learn the internal environment)
TA0008  Lateral Movement       (move host-to-host)
TA0009  Collection             (gather data of interest)
TA0011  Command and Control    (talk to compromised systems)
TA0010  Exfiltration           (steal data)
TA0040  Impact                 (destroy, encrypt, disrupt)

การ coverage ไม่ได้กระจายเท่าๆ กัน Defense Evasion (48 technique) และ Persistence (36) เป็น tactic ที่ library ครอบคลุมลึกที่สุด; Impact (6) ตื้นที่สุด technique ที่ถูกครอบคลุมเยอะที่สุด 10 อันดับแรก ได้แก่ T1059.001 PowerShell (26 skill), T1055 Process Injection (17), T1053.005 Scheduled Task (16), T1566.001 Spearphishing Attachment (15), T1558.003 Kerberoasting (14), T1078 Valid Accounts (13), T1003.006 DCSync (13) และ T1071.001 Web Protocols (12) เมื่อเห็น ID เหล่านี้ใน frontmatter หรือ body ของ skill คุณจะเข้าใจทันทีว่ามันเข้ารหัสอะไรไว้

การ map เป็นแบบสองทาง: ตารางของแต่ละ tactic ระบุทั้ง subdomain ฝั่ง offensive (penetration-testing, red-teaming) และฝั่ง defensive (threat-hunting, soc-operations) red-teaming (24 skill) ครอบคลุมครบทั้ง 14 tactic ในระดับ High intensity — เป็น subdomain ที่ตัดข้ามมากที่สุด ของควรรู้สำหรับปลายปี 2026: ATT&CK v19 มีกำหนดออก 28 เมษายน 2026 และจะแยก Defense Evasion (TA0005) เป็นสอง tactic ใหม่คือ Stealth และ Impair Defenses library วางแผนอัปเดต mapping ใน release ที่จะถึง

# Library coverage at a glance
291 unique techniques (149 parent + ~142 sub-techniques)
14 / 14 Enterprise tactics covered
Deepest:  Defense Evasion (48), Persistence (36)
Shallowest: Impact (6)
Visual:   mappings/attack-navigator-layer.json (ATT&CK Navigator v4.5)

สิ่งที่ต้องจำ

ATT&CK ตอบคำถาม "adversary กำลังทำอะไร?" ด้วย 14 tactic และ 200+ technique library ครอบคลุมครบทุก tactic และ 291 technique เมื่อ skill อ้าง T1078 นั่นคือ Valid Accounts — การใช้ credential ในทางที่ผิดผ่าน login ที่ดูถูกต้อง ท่อง 14 tactic ให้ขึ้นใจ ส่วน technique เปิดดูตอนใช้งาน

เช็คความเข้าใจ

  1. บอก 14 ATT&CK Enterprise tactic ตามลำดับ lifecycle สอง tactic ไหนที่ library ครอบคลุมลึกที่สุด?
  2. T1059.001 map ไปที่อะไร และมี skill ใน library กี่ตัวที่ครอบคลุม?
  3. ATT&CK v19 จะมีอะไรเปลี่ยน และ tactic ไหนกำลังถูกแยกออก?

อ่านต่อ

โมดูล 03

NIST CSF 2.0

framework 6-function ระดับองค์กร ที่ตอบคำถาม "skill นี้ใช้ในส่วนไหนของ cybersecurity programme ของเรา?"

ทำไมต้องเรียนโมดูลนี้: ในขณะที่ ATT&CK พูดที่ระดับ technique CSF พูดที่ระดับ programme ทั้ง auditor, CISO และทีม risk ใช้ภาษา CSF ถ้า skill ติดแท็ก RS.AN-01 คนใน compliance รู้ทันทีว่ามันเกี่ยวกับ incident analysis ภายใต้ฟังก์ชัน Respond CSF เป็นแกนการค้น skill ที่เน้น compliance ได้ธรรมชาติที่สุดใน library

สิ่งที่ต้องรู้ก่อน: โมดูล 1; ศัพท์ security พื้นฐาน (เคยได้ยินคำว่า "incident", "asset", "policy")

แนวคิดหลัก

NIST CSF 2.0 เผยแพร่เมื่อกุมภาพันธ์ 2024 จัดกิจกรรม cybersecurity เป็น 6 core function ที่ครอบคลุม risk-management lifecycle เต็มๆ:

GV  Govern    (NEW in 2.0 — strategy, policy, supply chain, oversight)
ID  Identify  (asset management, risk assessment, supplier risk)
PR  Protect   (identity, training, data security, platform security)
DE  Detect    (continuous monitoring, adverse-event analysis)
RS  Respond   (incident management, analysis, mitigation, communication)
RC  Recover   (recovery planning, recovery communication)

การเปลี่ยนแปลงสำคัญใน 2.0 คือฟังก์ชัน Govern (GV) ที่เพิ่มเข้ามาจากเดิม 5 ฟังก์ชัน และการขยาย scope จาก critical infrastructure ไปยังองค์กรทุกประเภท framework แบ่งย่อยเป็น 22 category รวม และ mapping ใน library อ้างถึง 106 subcategory คุณจะเห็น subcategory ID เหล่านี้ (เช่น RS.AN-01, DE.CM-01, PR.IR-01) อยู่ใน skill frontmatter ใต้ฟิลด์ nist_csf: โดยตรง

การ coverage ของ library แต่ละฟังก์ชันไม่เท่ากันโดยตั้งใจ จำนวน skill โดยประมาณ: Govern ~54, Identify ~115, Protect ~160, Detect ~102, Respond ~111, Recover ~29 Protect และ Detect ลึกที่สุด; Recover ตื้นที่สุด — ซึ่งก็สะท้อนสภาพตลาด security tooling ในโลกจริง ช่องว่างที่ทีม library ระบุไว้รวมถึง GV.OC (Organizational Context, มีแค่ 5 skill), GV.PO (Policy), PR.AT (Awareness/Training นอกเหนือจาก phishing) และ RC.RP/RC.CO (recovery และ recovery-communication)

แต่ละ subdomain ของ library map เข้ากับ CSF function หลักได้ตรงๆ ตัวอย่าง: GV.SC (Supply Chain) → devsecops + container-security; PR.AA (Identity, Auth, Access Control) → identity-access-management + zero-trust-architecture (46 skill); DE.CM (Continuous Monitoring) → soc-operations + threat-hunting + network-security (101 skill); RS.AN (Incident Analysis) → digital-forensics + malware-analysis + threat-intelligence (111 skill) มี 24 subdomain ที่ถูก align รายตัวพร้อมเหตุผล — เช่น cryptography → Protect (PR), PR.DS, "Data confidentiality and integrity at rest and in transit"

# What CSF mapping looks like in a real skill
---
name: acquiring-disk-image-with-dd-and-dcfldd
domain: cybersecurity
subdomain: digital-forensics
nist_csf:
  - RS.AN-01    # Incident analysis: notifications & investigations
  - RS.AN-03    # Incident analysis: forensic evidence
  - DE.AE-02    # Adverse event analysis
  - RS.MA-01    # Incident management: triage & escalation
---

สิ่งที่ต้องจำ

CSF 2.0 คือ กรอบ 6-function ของ lifecycle: Govern → Identify → Protect → Detect → Respond → Recover ฟิลด์ nist_csf: ใน frontmatter บอก auditor ทันทีว่า skill นี้ map ไปที่ฟังก์ชันและ subcategory ใด — ทำให้การ cross-walk ไปยัง compliance evidence แทบจะเป็นงานเชิงกลไก

เช็คความเข้าใจ

  1. 6 ฟังก์ชันของ CSF 2.0 มีอะไรบ้าง และฟังก์ชันใดที่เพิ่มเข้ามาใน 2.0?
  2. ถ้าเห็น nist_csf: [RS.AN-01] ใน skill ตัวหนึ่ง มันเข้ารหัสฟังก์ชันและเจตนาอะไร?
  3. ฟังก์ชัน CSF ใดที่ library ครอบคลุมตื้นที่สุด และมันบอกอะไรเราเกี่ยวกับช่องว่างของ open-source coverage?

อ่านต่อ

โมดูล 04

MITRE ATLAS

ATT&CK ฉบับ AI-native — adversarial tactic และ technique เฉพาะระบบ AI/ML กับ frontier ที่ขยับเร็ว และข้อจำกัดของ source coverage ที่ต้องยอมรับ

ทำไมต้องเรียนโมดูลนี้: ATT&CK ทั่วไปไม่ครอบคลุม prompt injection, model poisoning หรือ RAG abuse ATLAS ครอบคลุม เมื่อ AI agent กลายเป็น attack surface ที่ใหญ่ขึ้น defender ต้องมีคำศัพท์สำหรับพฤติกรรม adversary เฉพาะ AI — และ library ก็เริ่มเข้ารหัสไว้ นี่ยังเป็น framework แรกในคอร์สนี้ที่เราต้องซื่อสัตย์ว่า: source ของเราบาง

สิ่งที่ต้องรู้ก่อน: โมดูล 2 (โครงสร้าง ATT&CK); mental model ที่ใช้ได้ของ "LLM คือ API ที่อยู่หลัง system prompt"

แนวคิดหลัก

MITRE ATLAS เป็นฐานความรู้ที่รวบรวม adversarial tactic, technique และ case study เฉพาะระบบ AI และ ML ในขณะที่ ATT&CK ใช้ ID แบบ T1xxx, ATLAS ใช้ AML.T0xxx library ติดแท็ก skill ที่เกี่ยวข้องกับ AI ผ่านฟิลด์ atlas_techniques: ใน frontmatter เพื่อระบุ skill ที่ตรวจจับหรือป้องกันภัยคุกคามต่อ ML pipeline, น้ำหนัก model, inference API และ workflow แบบ agentic อัตโนมัติ

ตาม raw source ของเรา MITRE ATLAS v5.4 ครอบคลุม 16 tactic และ 84 technique เฉพาะภัยคุกคาม adversarial บน AI/ML ส่วนเสริมในปลายปี 2025 ขยาย coverage ไปยัง attack vector ของ agentic-AI: AI agent context poisoning, การ abuse tool invocation, การยึด MCP server และการ deploy agent ที่เป็นอันตราย ปัจจุบัน library map 81 skill เข้ากับ technique ของ ATLAS ตามที่ระบุใน ATTACK_COVERAGE doc — แต่เอกสารดังกล่าวอ้างถึง ATLAS v5.5.0 ใหม่กว่า v5.4 ที่ระบุใน README นิดหน่อย (เรื่อง versioning ยังไม่นิ่งจริง)

technique ของ ATLAS ที่จะเห็นบ่อยในหลาย skill:

AML.T0051  LLM Prompt Injection           (Execution)
AML.T0054  LLM Jailbreak                  (Privilege Escalation)
AML.T0088  Generate Deepfakes             (AI Attack Staging)
AML.T0010  AI Supply Chain Compromise     (Initial Access)
AML.T0020  Poison Training Data           (Resource Development)
AML.T0070  RAG Poisoning                  (Persistence)
AML.T0080  AI Agent Context Poisoning     (Persistence)
AML.T0056  Extract LLM System Prompt      (Exfiltration)

ความซื่อสัตย์: ช่องว่างของ source coverage

หน้า wiki ของเราเรื่อง ATLAS ระบุคำถามเปิดไว้ตรงๆ: "Library overview README เป็น direct ATLAS source เพียงแหล่งเดียวของเรา; เรายังไม่มี mappings/atlas/README.md ที่ capture ไว้ ความเชื่อมั่นในข้อมูลระดับ technique จึงจำกัด" ให้มอง technique count และ skill count ข้างต้นเป็น "ดีที่สุดเท่าที่มี" ไม่ใช่ authoritative — และตรวจสอบกับ atlas.mitre.org เมื่อมันสำคัญ raw source ที่เรามีสองชิ้นยังบอก ATLAS version ไม่ตรงกัน (v5.4 vs v5.5.0); เราไม่รู้ว่าตัวไหนคือ canonical สำหรับสถานะ library ปัจจุบัน

ถึงแม้ source จะบาง แต่คำแนะนำเชิงปฏิบัติยังชัด: เมื่อเห็นแท็ก AML.T0051 บน skill นั่นหมายถึง skill กำลังจัดการเรื่อง prompt-injection defense; เห็น AML.T0070 ก็คือ RAG poisoning ID เหล่านั้นเสถียรพอจะใช้งาน; ส่วนโครง tactic taxonomy และยอดรวมต่างๆ คือส่วนที่เราจะตรวจกับ upstream ก่อนยกไปอ้างใน production

สิ่งที่ต้องจำ

ATLAS คือ "ATT&CK สำหรับ AI" — รูปทรงเดียวกัน แต่ TTP เฉพาะ AI พร้อม prefix AML.T0xxx ปัจจุบันมี skill ราว 81 ตัวที่ติดแท็ก ATLAS source ใน raw corpus ของเรายังบาง; ให้เชื่อ technique ID แต่ตรวจสอบ version number กับ upstream เสมอ

เช็คความเข้าใจ

  1. ATLAS เกี่ยวข้องกับ ATT&CK เชิงโครงสร้างอย่างไร และ identifier ทั้งสองต่างกันอย่างไร?
  2. บอก 3 technique ของ ATLAS ที่เฉพาะกับภัยคุกคามแบบ LLM/agentic
  3. คำถามเปิดในหน้า wiki ATLAS ของเราคืออะไร และคุณต้องแก้อะไรใน raw corpus เพื่อปิดช่องว่างของ source?

อ่านต่อ

โมดูล 05

MITRE D3FEND

คู่ตรงข้ามฝั่ง defensive ของ ATT&CK — สิ่งที่ defender ทำเพื่อ harden, detect, isolate, deceive, evict และ restore

ทำไมต้องเรียนโมดูลนี้: ATT&CK บอกว่า adversary ทำอะไร; D3FEND บอกว่าเราจะทำอะไรกับมัน ทั้งคู่ถูกออกแบบมาให้จับคู่กัน — defensive countermeasure ของ D3FEND ระบุไว้ตรงๆ ว่าป้องกัน technique ใดของ ATT&CK เมื่อ skill บอกว่า "ป้องกัน T1059.001" D3FEND คือ framework ที่ให้คำศัพท์กับ mapping นั้น ข้อจำกัดเรื่อง source coverage เหมือนกับ ATLAS

สิ่งที่ต้องรู้ก่อน: โมดูล 2 (ATT&CK)

แนวคิดหลัก

MITRE D3FEND เป็น knowledge graph ของ defensive countermeasure ที่ NSA สนับสนุนทุน — เป็นด้านกลับของ ATT&CK ในขณะที่ ATT&CK รวบรวมว่า adversary โจมตีอย่างไร D3FEND รวบรวมว่า defender ตอบสนองอย่างไรผ่าน 7 tactical category:

Model    (understand the system you're protecting)
Harden   (reduce attack surface preemptively)
Detect   (notice attacker activity)
Isolate  (contain blast radius)
Deceive  (lure & study the attacker)
Evict    (remove attacker access)
Restore  (recover to a known-good state)

D3FEND v1.3 มี 267 defensive technique กระจายข้าม 7 category ที่สำคัญคือ มันสร้างบน OWL 2 ontology พร้อมเลเยอร์ Digital Artifact ที่ใช้ร่วมกัน ซึ่ง map defensive countermeasure เข้ากับ offensive technique ของ ATT&CK แบบสองทาง — ทำให้เป็น framework คู่ขนานที่เป็นธรรมชาติที่สุดสำหรับ ATT&CK mapping ใน frontmatter ของ skill defensive countermeasure จะปรากฏใต้ d3fend_techniques:

ปัจจุบัน library map 11 skill เข้ากับ defensive countermeasure ของ D3FEND — น้อยที่สุดในห้า framework ตาม ATTACK_COVERAGE doc ฟิลด์ d3fend_techniques ของแต่ละ skill จะ list defensive countermeasure 5 อันดับแรกที่เกี่ยวข้องที่สุด ซึ่งสกัดมาจากแท็ก ATT&CK technique ของ skill นั้น พูดอีกแบบคือ D3FEND mapping ใน library เป็นสิ่งที่ derived มาจาก ATT&CK mapping ไม่ได้เขียนขึ้นแยกต่างหาก

นี่คือหนึ่งในไม่กี่ skill ที่มีแท็ก D3FEND จริงใน library — analyzing-threat-actor-ttps-with-mitre-attack — แสดงวิธีที่ฟิลด์ถูกเติม:

---
name: analyzing-threat-actor-ttps-with-mitre-attack
domain: cybersecurity
subdomain: threat-intelligence
nist_csf:
  - ID.RA-01
  - ID.RA-05
  - DE.CM-01
  - DE.AE-02
d3fend_techniques:
  - Executable Denylisting
  - Execution Isolation
  - File Metadata Consistency Validation
  - Content Format Conversion
  - File Content Analysis
---

ความซื่อสัตย์: ช่องว่าง source coverage + ความไม่สม่ำเสมอของ format

หน้า wiki ของเราเรื่อง D3FEND ระบุคำถามเปิดไว้สองข้อ ข้อแรก: "Library overview README เป็น direct D3FEND source เพียงแหล่งเดียว; เรายังไม่มี mappings/d3fend/README.md หรือตาราง per-technique ใดๆ ตัวเลข 11 skill และ derivation methodology ต้องการการยืนยันจาก primary source" ข้อที่สอง รูปแบบของฟิลด์ไม่สม่ำเสมอในของจริง — analyzing-threat-actor-ttps-with-mitre-attack ใช้ชื่อแบบเป็นมิตร ("Executable Denylisting") ขณะที่ตัวอย่างใน README ใช้ ID ที่มี D3- นำหน้า ("D3-MA, D3-PSMD") ทั้งสองรูปแบบใช้ได้; ให้คาดหวังเจอทั้งคู่ ถือข้อมูลระดับ technique เป็น "ดีที่สุดเท่าที่มี"

สิ่งที่ต้องจำ

D3FEND คือ คู่แฝดฝั่ง defensive ของ ATT&CK: 267 technique ใน 7 category (Model · Harden · Detect · Isolate · Deceive · Evict · Restore) coverage ของ library ยังเล็ก (11 skill), ฟิลด์รับได้ทั้งชื่อแบบเป็นมิตรและ ID ที่มี D3- นำหน้า และ raw source ของเรายังบาง ใช้ D3FEND เมื่อต้องบอกว่า defender ทำอะไร ควบคู่กับ attacker ทำอะไร ของ ATT&CK

เช็คความเข้าใจ

  1. บอก 7 tactical category ของ D3FEND ตัวไหนที่ไม่อยู่ในคำศัพท์ของ ATT&CK เลย?
  2. D3FEND mapping ใน library นี้ถูก derive อย่างไร — เขียนขึ้นแยกต่างหาก หรือคำนวณจากแท็ก ATT&CK?
  3. ถ้าเห็นทั้ง D3-MA และ "Executable Denylisting" เป็นค่าใน d3fend_techniques คุณควรสรุปอะไรเกี่ยวกับ format ที่ฟิลด์นี้รองรับ?

อ่านต่อ

โมดูล 06

NIST AI RMF

framework บริหารความเสี่ยงเฉพาะ AI — Govern, Map, Measure, Manage — ที่ผูกเรื่อง AI risk เข้ากับ cybersecurity และมีน้ำหนักเชิงกฎหมาย

ทำไมต้องเรียนโมดูลนี้: AI RMF คือ framework ที่เชื่อม "นี่คือ cybersecurity skill" กับ "นี่คือ AI-systems-governance concern" ยังเป็นไม่กี่ framework ในคอร์สนี้ที่มีน้ำหนักเชิงกฎหมายโดยตรง — Colorado AI Act ให้ legal safe harbour กับองค์กรที่ปฏิบัติตาม NIST AI RMF ถ้าคุณสร้าง skill ที่เกี่ยวข้องกับพฤติกรรม model, การ deploy หรือ AI-system risk คุณจะต้อง tag ที่นี่

สิ่งที่ต้องรู้ก่อน: โมดูล 3 (NIST CSF — ตระกูลคำศัพท์เดียวกัน); โมดูล 4 (ATLAS — ภัย AI ที่ใกล้กัน)

แนวคิดหลัก

NIST AI Risk Management Framework (AI RMF 1.0) นิยาม 4 core function สำหรับการพัฒนา AI ที่น่าเชื่อถือ:

GOVERN    (policies, accountability, risk strategy)
MAP       (context, AI capabilities, intended purpose)
MEASURE   (test, evaluate, verify trustworthiness)
MANAGE    (prioritize risk responses, monitor in production)

ตาม raw source ของเรา AI RMF 1.0 มี 72 subcategory กระจายใน 4 ฟังก์ชัน GenAI Profile (AI 600-1, กรกฎาคม 2024) เพิ่ม 12 risk category ที่เฉพาะเจาะจงกับ generative AI — รวมถึง confabulation, data privacy, prompt injection และ supply-chain risk library ติดแท็ก skill ที่เกี่ยวกับ AI ผ่านฟิลด์ nist_ai_rmf: ใน frontmatter ที่ list subcategory ID ที่เกี่ยวข้อง

มุมเชิงกฎหมายมีน้ำหนัก: Colorado AI Act (มีผลบังคับกุมภาพันธ์ 2026) ให้ legal safe harbour กับองค์กรที่ปฏิบัติตาม NIST AI RMF ทำให้ mapping เหล่านี้มากกว่าแค่ best practice — เป็น compliance evidence โดยตรง รัฐอื่นๆ ใน US และ regulator นานาชาติหลายแห่งกำลังจับตา framework เดียวกัน การลงทุนใน AI RMF tagging วันนี้จึงให้ผลตอบแทนเพิ่มขึ้นเรื่อยๆ

ปัจจุบัน library map 85 skill เข้ากับ subcategory ของ NIST AI RMF coverage กระจายครบ 4 core function: GOVERN-1.1/6.1/6.2, MAP-5.1/5.2/1.6, MEASURE-2.5/2.7/2.8/2.11, MANAGE-2.4/3.1 subcategory เฉพาะ GenAI ที่ถูกใช้ ได้แก่ GOVERN-6.1 และ GOVERN-6.2 (responsible deployment policies) นี่คือตัวอย่าง frontmatter จริงจาก building-cloud-siem-with-sentinel:

---
name: building-cloud-siem-with-sentinel
domain: cybersecurity
subdomain: cloud-security
nist_ai_rmf:
  - MEASURE-2.7
  - MAP-5.1
  - MANAGE-2.4
atlas_techniques:
  - AML.T0070   # RAG poisoning
  - AML.T0066
  - AML.T0082
nist_csf:
  - PR.IR-01
  - ID.AM-08
  - GV.SC-06
  - DE.CM-01
---

ความซื่อสัตย์: ช่องว่างของ source coverage

ข้อจำกัดเดียวกับ ATLAS และ D3FEND หน้า wiki ของเราระบุไว้: "Library overview README + ย่อหน้า coverage ใน ATTACK_COVERAGE เป็น AI RMF source ทั้งหมดที่เรามี; เรายังไม่มี mappings/nist-ai-rmf/README.md ตัวเลข 72 subcategory และ 12 GenAI risk category ไม่ได้ถูก enumerate ในไฟล์ raw ใดเลย" ชื่อฟังก์ชันและโครงสร้างระดับสูงเชื่อถือได้; แต่ subcategory count เฉพาะ และ interplay ระหว่าง AI-RMF กับ ATLAS ยังเป็นคำถามเปิด ตรวจสอบกับ airc.nist.gov สำหรับการตัดสินใจระดับ production

สิ่งที่ต้องจำ

AI RMF ให้แว่น 4-function สำหรับ AI-system risk: Govern → Map → Measure → Manage ปัจจุบันมี ~85 skill ใน library ที่ติดแท็ก nist_ai_rmf: และ Colorado AI Act ทำให้แท็กเหล่านี้มีน้ำหนัก compliance ในใจให้จับคู่มันกับ ATLAS (catalog ของภัยคุกคาม AI) เพื่อครอบคลุม AI security แบบเต็ม

เช็คความเข้าใจ

  1. 4 ฟังก์ชันหลักของ AI RMF คืออะไร และ GenAI Profile เพิ่มอะไรเข้ามา?
  2. ทำไม safe-harbour ของ Colorado AI Act ถึงเกี่ยวข้องกับการ tag nist_ai_rmf ใน frontmatter?
  3. AI RMF ต่างจาก MITRE ATLAS เชิงเจตนาอย่างไร — scope เดียวกัน หรือเป็นแว่นที่เสริมกัน?

อ่านต่อ

โมดูล 07

การ map ข้าม framework ในทางปฏิบัติ

หนึ่ง skill ห้า framework: วิธีอ่าน mapping ทุกตัวที่ skill ถือไว้ อนุมาน mapping ที่ขาด และเปลี่ยน playbook หนึ่งให้กลายเป็น evidence สำหรับ compliance, detection และ purple-team พร้อมๆ กัน

ทำไมต้องเรียนโมดูลนี้: นี่คือโมดูลที่อธิบายคุณค่าหลักของ library คุณได้เห็นทั้ง 5 framework แยกกันมาแล้ว ประเด็นของ library คือ skill ที่เขียนดีหนึ่งตัวจะกลายเป็น พร้อมกัน ทั้ง detection-engineering artifact, compliance attestation, AI-risk control และคู่ของ offensive-defensive — โดยไม่ต้องเขียนเอกสารห้าฉบับ ที่นี่คุณจะเรียนวิธีอ่านมัน

สิ่งที่ต้องรู้ก่อน: โมดูล 2–6 (ทั้ง 5 framework)

แนวคิดหลัก

ตัวอย่าง headline ใน README ของ library แสดง skill หนึ่งตัวที่ map เข้ากับทั้งห้า: analyzing-network-traffic-of-malware ระบุ T1071 (ATT&CK), DE.CM (NIST CSF), AML.T0047 (ATLAS), D3-NTA (D3FEND) และ MEASURE-2.6 (AI RMF) หนึ่ง skill compliance ติ๊กถูกห้าช่อง นั่นคือ bet ของ library

แต่ — ที่สำคัญมาก — skill ส่วนใหญ่ ไม่ได้ เติมครบทั้ง 5 ฟิลด์ coverage เดินตามความเกี่ยวข้อง ไม่ใช่กระดานคะแนน acquiring-disk-image-with-dd-and-dcfldd ระบุแค่ nist_csf (ไม่มี atlas/d3fend/ai_rmf/mitre_attack) analyzing-threat-actor-ttps-with-mitre-attack ระบุ nist_csf + d3fend_techniques เท่านั้น — แม้เนื้อหาจะเป็นเรื่อง ATT&CK ทั้งหมด building-cloud-siem-with-sentinel ระบุสาม framework (nist_ai_rmf + atlas_techniques + nist_csf) แต่ไม่มีฟิลด์ d3fend หรือ mitre_attack ทั้งที่ workflow ใน body map detection rule เข้ากับ technique ของ ATT&CK ตรงๆ mapping ที่คุณ เห็น ไม่ใช่ทั้งหมดที่ skill มี

นี่คือ procedure สำหรับการอ่าน skill ครบ 5 framework:

# Cross-framework reading procedure

1. Read the frontmatter for explicit declarations
   Look for: nist_csf, mitre_attack, atlas_techniques,
             d3fend_techniques, nist_ai_rmf

2. Read the body's "Workflow" and "Tools & Systems"
   Implicit ATT&CK technique IDs often appear here even
   when the frontmatter is silent. Look for T-numbers.

3. Cross-walk via the mapping directory
   mappings/mitre-attack/   per-technique → which skills
   mappings/nist-csf/       per-subcategory → which skills
   mappings/owasp/          OWASP → ATT&CK → CSF tables

4. Classify intent
   Offensive (red team / pentest)   vs.
   Defensive (SOC / IR / threat hunt)

5. Use ATT&CK Navigator to visualise
   mappings/attack-navigator-layer.json (color-coded coverage)

ผลตอบแทนของ cross-mapping แยกได้ 4 กลุ่ม: threat-informed defence (จัดลำดับ skill ตามพฤติกรรม adversary จริง), gap analysis (หา technique ที่ยังไม่ครอบคลุม), purple-team exercise (จับคู่ skill ฝั่ง offensive และ defensive ผ่าน ATT&CK technique เดียวกัน) และ agent-driven discovery (query skill ตาม framework ID — "ดูทุกตัวที่ติดแท็ก DE.CM-01") mapping directory ของ library เป็นแบบสองทางด้วย: มีตาราง OWASP→ATT&CK และตาราง OWASP→CSF ดังนั้น skill ของ web/app จึง cross-walk ระหว่างคำศัพท์ web-vuln ฝั่ง offensive กับ framework ที่กว้างกว่าได้

Lab — ลองทำเลย: อ่าน skill ครบ 5 framework

เปิด raw/2026-05-09-cybersec-skill-cloud-siem.md ใน repo นี้ จากนั้น:

  1. list ทุก framework field ที่ระบุใน frontmatter และค่าของแต่ละตัว
  2. scan body หา ATT&CK technique ID ที่ปรากฏ แต่ ไม่ได้ อยู่ในฟิลด์ mitre_attack: ของ frontmatter (มีหลายตัว — body map detection rule เข้ากับ ATT&CK โดยตรง)
  3. เขียน summary หนึ่งย่อหน้าสรุปสิ่งที่ skill นี้สอน จัดเรียงตาม framework: ATT&CK → CSF → ATLAS → D3FEND → AI RMF
  4. ระบุว่าฟิลด์ framework ใด ที่ขาด และโต้แย้ง (หนึ่งประโยค) ว่าควรเติมหรือไม่ระบุก็ถูกแล้ว

ทำซ้ำกับ raw/2026-05-09-cybersec-skill-acquire-disk-image.md — สังเกตว่ามีแค่ nist_csf เท่านั้น และตัดสินว่าคุณจะโต้แย้งให้เพิ่ม T1005 (Data from Local System) ในมุม read-offensive หรือไม่

สิ่งที่ต้องจำ

cross-framework mapping คือ feature เด่นของ library แต่มัน ไม่สมมาตร: ไม่ใช่ทุก skill ที่เติมทุกฟิลด์ และ body มักพ่วง technique ID ที่ frontmatter ไม่ได้ระบุ อ่านทั้งสองส่วน อนุมานช่องว่าง และอย่าลงโทษ skill ที่ไม่ระบุ framework ที่ไม่เกี่ยวข้อง — coverage เดินตามความเกี่ยวข้อง

เช็คความเข้าใจ

  1. quote ตัวอย่าง canonical "หนึ่ง skill ห้า framework" จาก README พร้อม framework ID ครบทั้งห้า
  2. ทำไม building-cloud-siem-with-sentinel ถึงไม่ระบุฟิลด์ mitre_attack: ใน frontmatter แม้ body จะ map detection rule เข้ากับ ATT&CK?
  3. บอก 4 ผลตอบแทนของ cross-framework mapping (threat-informed defence, gap analysis, purple-team, agent-driven discovery) พร้อมตัวอย่างหนึ่งบรรทัดของแต่ละข้อ

อ่านต่อ

โมดูล 08

เดินทะลุ skill จริงหนึ่งตัว

กายวิภาคของ SKILL.md จริง end-to-end — frontmatter, When-to-Use, Workflow, Verification — โดยใช้ acquiring-disk-image-with-dd-and-dcfldd จาก library

ทำไมต้องเรียนโมดูลนี้: ที่ผ่านมาคุณอ่าน frontmatter เป็นชิ้นๆ แยกกัน ที่นี่คุณจะอ่าน SKILL.md ครบเหมือน agent อ่าน — ตั้งแต่ต้นจนจบ ตัดสินว่าจะ invoke เมื่อไหร่ จะรันอะไร และยืนยันผลอย่างไร เมื่อจบโมดูลนี้ skill ตัวใดในจำนวน 754 ตัวจะรู้สึกอ่านได้สบาย

สิ่งที่ต้องรู้ก่อน: โมดูล 3 (CSF — skill นี้พึ่ง RS.AN หนัก); โมดูล 7 (procedure สำหรับ cross-mapping)

แนวคิดหลัก

ทุก skill เดินตามโครงสร้างบนดิสก์ที่สม่ำเสมอตามมาตรฐาน agentskills.io: SKILL.md ที่มี YAML frontmatter + body แบบ Markdown บวกกับ directory เสริมอย่าง references/, scripts/ และ assets/ body แบบ Markdown เองก็เดินตาม contract แบบตายตัว: When to Use (เงื่อนไข trigger), Prerequisites (เครื่องมือ/สิทธิ์), Workflow (คำสั่งและจุดตัดสินใจทีละขั้น), Verification (วิธียืนยันความสำเร็จ) skill หลายตัวเพิ่ม Key Concepts, Tools & Systems, Common Scenarios และ Output Format

skill ที่จะเดินด้วยกันคือ acquiring-disk-image-with-dd-and-dcfldd จาก subdomain digital-forensics ใช้เมื่อต้องทำสำเนา forensic ของ drive ต้องสงสัย: incident response, chain of custody ทางกฎหมาย หรือก่อนการวิเคราะห์ใดๆ ที่อาจทำลายหลักฐาน

1. Frontmatter

---
name: acquiring-disk-image-with-dd-and-dcfldd
description: Create forensically sound bit-for-bit disk images using
  dd and dcfldd while preserving evidence integrity through hash verification.
domain: cybersecurity
subdomain: digital-forensics
tags:
  - forensics
  - disk-imaging
  - evidence-acquisition
  - dd
  - dcfldd
  - hash-verification
version: '1.0'
author: mahipal
license: Apache-2.0
nist_csf:
  - RS.AN-01
  - RS.AN-03
  - DE.AE-02
  - RS.MA-01
---

อ่านมันแบบที่ agent อ่าน: name + description + tags คือ surface สำหรับการค้นเจอ (~30 token) agent จะโหลด body ก็ต่อเมื่อ frontmatter ทำคะแนนสูงกับ prompt ของผู้ใช้ สังเกตว่า skill นี้ระบุ เพียง nist_csf — ไม่มี atlas/d3fend/ai_rmf/mitre_attack coverage เดินตามความเกี่ยวข้อง: forensic disk imaging เป็นกิจกรรมในกลุ่ม Respond-และ-Detect ตามภาษา CSF และไม่ได้เป็นภัย AI โดยธรรมชาติ

2. When to Use

5 เงื่อนไข trigger ดึงตรงจาก SKILL.md:

  • ทำสำเนา forensic ของ drive ต้องสงสัยเพื่อสืบสวน
  • IR เก็บหลักฐาน volatile บน disk ก่อนวิเคราะห์
  • คดีทางกฎหมายที่ต้องการ bit-for-bit copy ที่ผ่านการยืนยัน
  • ก่อนการวิเคราะห์ใดๆ ที่อาจทำลายข้อมูลบนอุปกรณ์เก็บข้อมูล
  • การ image จาก physical drive, USB device หรือ memory card

3. Prerequisites

Linux forensic workstation (SIFT, Kali, distro ใดก็ได้); dd หรือ dcfldd; write-blocker hardware หรือ software write-blocking ที่ตั้งค่าแล้ว (ข้อนี้ไม่ต่อรอง); destination drive ใหญ่กว่า source; root/sudo; utility สำหรับ SHA-256/MD5

4. Workflow (6 ขั้น)

ระบุและ write-protect อุปกรณ์ → เตรียม destination + บันทึก source → acquire ด้วย dd → acquire ด้วย dcfldd (วิธี forensic ที่แนะนำ มาพร้อม built-in hashing และ split output) → ตรวจ integrity → บันทึกการ acquisition นี่คือขั้นที่ 4 หัวใจของ skill — ดึงตรงจาก SKILL.md:

# Acquire image with built-in hashing and split output
dcfldd if=/dev/sdb \
   of=/cases/case-2024-001/images/evidence.dd \
   hash=sha256,md5 \
   hashwindow=1G \
   hashlog=/cases/case-2024-001/hashes/acquisition_hashes.txt \
   bs=4096 \
   conv=noerror,sync \
   errlog=/cases/case-2024-001/logs/dcfldd_errors.log

# Acquire with verification pass
dcfldd if=/dev/sdb \
   of=/cases/case-2024-001/images/evidence.dd \
   hash=sha256 \
   hashlog=/cases/case-2024-001/hashes/verification.txt \
   vf=/cases/case-2024-001/images/evidence.dd \
   verifylog=/cases/case-2024-001/logs/verify.log

5. Verification

hash image ที่ได้ diff กับ pre-hash ของ source, hash source ใหม่หลัง acquisition และยืนยันว่า source ไม่ถูกแก้ไข สัญญาหลักของ skill นี้คือ "bit-for-bit พร้อมหลักฐาน integrity เชิง cryptographic" — และ verification คือขั้นที่รักษาสัญญานั้น

6. Key Concepts & Tools

body ของ SKILL.md ยังมีตาราง Key Concepts (bit-for-bit copy, write blocker, hash verification, block size, conv=noerror,sync, chain of custody, split imaging, raw/dd format), ตาราง Tools & Systems (dd, dcfldd, dc3dd, sha256sum, blockdev, hdparm, smartctl, lsblk), 4 Common Scenarios ที่เขียนละเอียด (laptop ต้องสงสัย, USB drive, การ acquire แบบ remote ผ่าน SSH, drive ที่กำลังพังด้วย ddrescue) และ template Output Format สำหรับ summary acquisition สุดท้าย

Lab — ลองทำเลย: เดินด้วยตัวเอง

อ่าน skill จากต้นจบที่ raw/2026-05-09-cybersec-skill-acquire-disk-image.md จากนั้นตอบ:

  1. โดยไม่ดู frontmatter อีก: skill นี้ map ไปที่ฟังก์ชันและ category ใดของ CSF เป็นหลัก เพราะอะไร?
  2. ถ้าคุณกำลัง image drive ที่กำลังพัง (Scenario 4) คุณจะเปลี่ยนอะไรในขั้นที่ 3 และ skill แนะนำให้ใช้ tool ใดเพิ่ม?
  3. ตาราง Key Concepts highlight conv=noerror,sync flag combination นี้ทำอะไร และทำไมงาน forensic ถึงต้องการมันเป็นพิเศษ?
  4. คำถามเปิดจาก wiki ของเรา: skill นี้ ควร ติดแท็ก ATT&CK T1005 (Data from Local System) ด้วยหรือไม่? โต้แย้ง yes หรือ no ในหนึ่งย่อหน้า

สิ่งที่ต้องจำ

ทุก SKILL.md เดินตาม contract เดียวกันสี่ section: When to Use → Prerequisites → Workflow → Verification frontmatter คือ surface สำหรับการค้นเจอของ agent; body คือ playbook อ่านตามลำดับนั้น — frontmatter เพื่อความเกี่ยวข้อง body เพื่อ execution — แล้ว skill ตัวใดในจำนวน 754 ก็เปิดออกได้

เช็คความเข้าใจ

  1. บอก 4 section หลักที่ทุก SKILL.md ต้องมี ตามลำดับ
  2. ทำไม skill disk-imaging นี้ถึงระบุแค่ nist_csf และไม่มี framework ฟิลด์อื่น?
  3. dd กับ dcfldd ต่างกันอย่างไรใน skill นี้ และ skill ชอบตัวใดสำหรับ forensic acquisition?

อ่านต่อ

โมดูล 09

สร้าง security skill ของตัวเอง

จาก directory เปล่าสู่ skill ที่พร้อม PR: เลือก domain, เขียน frontmatter, เติม 4 section ของ body, เพิ่ม helper, validate

ทำไมต้องเรียนโมดูลนี้: library นี้มีอยู่ได้เพราะ practitioner ช่วยกันส่ง skill เข้ามา หลังจบโมดูลนี้คุณจะ author SKILL.md จากศูนย์ได้ validate กับมาตรฐาน agentskills.io และส่ง PR ได้ Capstone (โมดูล 10) ต่อยอดจากตรงนี้โดยตรง

สิ่งที่ต้องรู้ก่อน: โมดูล 8 (อ่าน SKILL.md เต็มได้แล้ว); โมดูล 7 (map ข้าม framework เป็น)

แนวคิดหลัก

การ author skill คือ 6 การตัดสินใจ ทำตามลำดับ:

  1. เลือก domain และ subdomain มี 26 domain ที่ใหญ่ที่สุดคือ cloud-security, threat-hunting, threat-intelligence, web-app-security, network-security เล็กที่สุดคือ deception-technology และ compliance-governance ถ้าเติมช่องว่าง ดูช่องว่าง CSF จากโมดูล 3 (GV.OC, GV.PO, PR.AT, RC.RP/RC.CO) — ทีม library ระบุไว้แล้ว
  2. เขียน frontmatter name เป็น kebab-case (1–64 ตัวอักษร), description ที่ keyword-rich, domain, subdomain, array tags, version, author, license: Apache-2.0 จากนั้นเพิ่ม framework mapping เฉพาะที่เกี่ยวข้องจริงๆ
  3. เติม 4 section ของ body When to Use (เงื่อนไข trigger ~5 บูลเล็ต), Prerequisites (เครื่องมือ + สิทธิ์), Workflow (ขั้นมีหมายเลข ใส่ shell command จริง), Verification (วิธียืนยันว่าสำเร็จ)
  4. เพิ่ม references/ references/standards.md สำหรับ framework mapping (โดยเฉพาะรายละเอียด ATT&CK — มักอยู่ที่นี่ ไม่ใช่ใน frontmatter), references/workflows.md สำหรับ context ลึกขึ้น
  5. เพิ่ม scripts/ ถ้า skill มีขั้นเชิงคำนวณที่ทำซ้ำได้ ห่อเป็น scripts/<name>.py หรือ .sh practitioner จริงส่งโค้ดที่รันได้ ไม่ใช่ pseudocode
  6. Validate และส่ง PR ความสอดคล้องกับ agentskills.io ถูก enforce โดย review จาก upstream: ทุก PR ถูก review ทั้งความถูกต้องเชิงเทคนิคและความสอดคล้องกับมาตรฐานภายใน 48 ชั่วโมง

นี่คือ stub skeleton — copy แล้ว rename แล้วเติม mapping ใน frontmatter เป็น optional per framework: ระบุเฉพาะที่ใช้จริง coverage เดินตามความเกี่ยวข้อง ไม่ใช่ checklist

# <skills/>your-skill-name/SKILL.md
---
name: your-skill-name
description: One sentence. Keyword-rich, written for agent discovery.
  Mention the tools, the technique, and the trigger condition.
domain: cybersecurity
subdomain: <pick from the 26>
tags:
  - <3-7 specific tags an agent would search on>
version: '1.0'
author: <your-handle>
license: Apache-2.0
# Framework mappings — declare only what applies. Coverage tracks relevance.
nist_csf:
  - <e.g. DE.CM-01>
mitre_attack:
  - <e.g. T1078>
# atlas_techniques:    # only if AI/ML threats are in scope
# d3fend_techniques:   # if you have defensive-technique mappings
# nist_ai_rmf:         # if AI risk management applies
---

# <Title — same as `name` but human-readable>

## When to Use
- Trigger condition 1 (concrete, not abstract)
- Trigger condition 2
- ...

## Prerequisites
- Tools (with versions)
- Access (root? cloud creds? specific platform?)
- Knowledge assumed

## Workflow

### Step 1: <action verb + outcome>
```bash
# real shell commands here
```

### Step 2: ...

## Verification
- How to confirm success: hash match, diff output, log entry, etc.
- What "done" looks like.

## Key Concepts (optional)
| Concept | Description |

## Tools & Systems (optional)
| Tool | Purpose |

## Common Scenarios (optional)
**Scenario 1:** ...

## Output Format (optional)
```
<template for the artefact the skill produces>
```

รายละเอียดสำคัญจาก wiki ของเรา: ฟิลด์ mapping ใน frontmatter ถูกเติมไม่สม่ำเสมอใน skill จริง ตัวอย่างจริง — acquiring-disk-image-with-dd-and-dcfldd ระบุแค่ nist_csf; building-incident-response-playbook ระบุ mitre_attack + nist_csf; building-cloud-siem-with-sentinel ระบุ nist_csf + atlas_techniques + nist_ai_rmf อย่าปลอม mapping ให้ดูครอบคลุม ซื่อสัตย์กับ scope

หมายเหตุเพิ่ม: ATT&CK technique mapping บางครั้งบันทึกไว้ใน references/standards.md หรือใน ATT&CK Navigator layer แทนที่จะอยู่ใน frontmatter ทั้งสองทางใช้ได้ ฟิลด์ d3fend_techniques รับได้ทั้งชื่อแบบเป็นมิตร ("Executable Denylisting") และ ID ที่มี D3- นำหน้า ("D3-MA") เลือกอย่างใดอย่างหนึ่งและสม่ำเสมอภายใน skill เดียว

Lab — ลองทำเลย: ร่าง skill ของคุณเอง

  1. เลือกงาน security ที่คุณเคยทำจริง (หรือเคยดูเพื่อนทำ) อย่าคิดขึ้นเอง
  2. เลือก domain/subdomain เขียน name และ description อ่านออกเสียงดู — description เข้าใจได้ไหมสำหรับคนที่ไม่เคยเจองานคุณมาก่อน?
  3. list 5 เงื่อนไข trigger สำหรับ "When to Use" ถ้าลิสต์ไม่ครบ 5 — skill ของคุณแคบเกินไป generalise หรือเลือกงานใหม่
  4. เขียน Workflow เป็นขั้นมีหมายเลขด้วย shell command จริง ทดสอบ command ด้วย
  5. เพิ่ม section Verification ถ้าอธิบายไม่ได้ว่า "done" หน้าตาอย่างไร — skill ของคุณยังไม่ใช่ skill มันเป็นแค่ความปรารถนา
  6. map skill เข้ากับ framework ทั้ง 5 ตามที่ เกี่ยวข้องจริง ที่เหลือว่าง เปิด attack.mitre.org และ nist.gov/cyberframework เพื่อค้น ID

สิ่งที่ต้องจำ

skill คือ playbook ของ practitioner ที่แสดงในรูปของ directory: SKILL.md + references/ + scripts/ + assets/ frontmatter keyword-rich สำหรับการค้นเจอ; body เดินตาม contract When-to-Use / Prerequisites / Workflow / Verification; framework mapping ระบุเฉพาะที่เกี่ยวข้องจริง

เช็คความเข้าใจ

  1. 4 section หลักของ body คืออะไร และแต่ละตัวมีหน้าที่อะไร?
  2. ควรระบุฟิลด์ mapping ทั้ง 5 framework ในทุก skill หรือไม่ ทำไม?
  3. ATT&CK technique mapping อยู่ที่ไหนได้บ้างนอกจาก frontmatter และทำไมคุณอาจเลือกที่อื่นแทน mitre_attack:?

อ่านต่อ

โมดูล 10

Capstone — ส่งมอบ 1 skill ที่ map ครบทั้ง 5 framework

โปรเจกต์สุดท้าย: ผลิต security skill ระดับใช้งานจริง 1 ตัว — SKILL.md, frontmatter ที่ map เข้ากับทั้ง 5 framework (เท่าที่เกี่ยวข้องจริง), helper script, references และการติดตั้งใช้งานได้จริงใน AI agent ที่คุณเลือก

ทำไมต้องเรียนโมดูลนี้: คุณได้ทัวร์ framework (โมดูล 2–6), ได้เห็นการประกอบรวม (โมดูล 7), เดินผ่าน skill จริง (โมดูล 8) และเรียนรู้รูปทรงของการ author (โมดูล 9) Capstone พิสูจน์ว่าคุณส่งมอบได้ หนึ่ง skill end-to-end review ตามมาตรฐาน agentskills.io แบบเดียวกับที่ library upstream review PR

สิ่งที่ต้องรู้ก่อน: โมดูล 1–9

แนวคิดหลัก

Capstone คือ skill หนึ่งตัว — directory ที่คุณ commit ไป repo สาธารณะ (หรือ fork ของ mukul975/Anthropic-Cybersecurity-Skills ถ้าต้องการ upstream) ต้องผลิต 5 deliverable ที่เป็นรูปธรรม:

  1. spec ของ SKILL.md ไฟล์ Markdown ไฟล์เดียวที่มี YAML frontmatter ด้านบน ตามด้วย body 4 section (When to Use, Prerequisites, Workflow, Verification) เพิ่ม Key Concepts / Tools & Systems / Common Scenarios / Output Format ถ้าช่วย ฟิลด์ description keyword-rich เขียนเพื่อการค้นเจอของ agent ไม่ใช่ marketing สำหรับมนุษย์
  2. frontmatter map ครบ 5 framework — ด้วยความซื่อสัตย์ ระบุ mitre_attack, nist_csf, atlas_techniques, d3fend_techniques และ nist_ai_rmf เท่าที่ skill เกี่ยวข้องจริง ส่วนที่ไม่เกี่ยว ไม่ต้องมีฟิลด์ และเพิ่ม comment หนึ่งบรรทัดใน body ของ SKILL.md อธิบายว่าทำไม การปลอม mapping เพื่อให้ครบ 5/5 คือ fail; การกำหนด scope อย่างซื่อสัตย์คือ pass library เองก็ทำแบบนี้ — acquiring-disk-image-with-dd-and-dcfldd ส่งมาพร้อม nist_csf เท่านั้น และนั่นคือสิ่งที่ถูกต้อง
  3. helper script ≥ 1 ตัวใน scripts/ script ที่รันได้จริง — .py, .sh หรือที่เหมาะสม — ซึ่ง automate ขั้นที่ทำซ้ำได้จาก Workflow ของคุณ โค้ดจริง รันบนเครื่องที่ clean ได้ มี comment usage หนึ่งบรรทัด
  4. เอกสาร reference ≥ 1 ตัวใน references/ อย่างน้อยมี references/standards.md ที่ขยาย framework mapping — โดยเฉพาะ ATT&CK technique ID อย่างละเอียด เพราะมักอยู่ที่นี่มากกว่าใน frontmatter เพิ่ม references/workflows.md สำหรับ context ลึกขึ้นถ้า body Workflow ต้องการ
  5. skill ติดตั้งและรันได้ใน AI agent ที่คุณเลือก clone หรือ symlink directory skill ของคุณเข้ากับตำแหน่งที่ถูกต้องสำหรับ Claude Code / Copilot / Cursor / Gemini CLI / Cline / agent ใดก็ตามที่รองรับ MCP พิสูจน์: ถาม agent ในคำถามที่ควร trigger skill ของคุณ และยืนยันว่ามันโหลด SKILL.md และทำตาม Workflow

หัวข้อ Capstone ที่แนะนำ

เล็งงาน จริง — สิ่งที่คุณเคยทำ หรือทีมเคยทำ ช่องว่างของ library คือเป้าหมายดี:

  • ตัวเติมช่องว่าง CSF: GV.OC (Organisational Context), GV.PO (Policy), PR.AT (Awareness/Training นอกเหนือจาก phishing), RC.RP/RC.CO (recovery และ recovery-communication) ฟังก์ชัน Recover ตื้นที่สุดที่ ~29 skill
  • ATLAS / agentic-AI: skill ฝั่ง defender สำหรับการตรวจจับ prompt injection, การยืนยัน provenance ของ RAG content, การ audit MCP-server-supply-chain หรือการตรวจจับ AI-agent context-poisoning (AML.T0080)
  • D3FEND-first: library มีแค่ 11 skill ที่ติดแท็ก D3FEND skill ที่เน้น defensive-countermeasure — Harden / Detect / Isolate / Deceive / Evict / Restore — จะอยู่ในตำแหน่งที่เติมช่องว่างได้ดีเป็นพิเศษ
  • คู่ threat-informed: เลือก ATT&CK technique หนึ่งตัวจาก top-10 (PowerShell, Process Injection, Kerberoasting ฯลฯ) แล้วเขียน skill ฝั่ง defender ที่จับคู่ อ้างอิง offensive technique ใน body ระบุ defensive countermeasure ของ D3FEND ใน frontmatter

Done-when checklist

[ ] Directory: skills/<your-skill-name>/
[ ] SKILL.md present, four body sections filled
[ ] Frontmatter: name, description, domain, subdomain, tags,
    version, author, license: Apache-2.0
[ ] Framework mappings declared where applicable (1-5 of 5)
[ ] Skipped frameworks documented in the body with rationale
[ ] scripts/ contains ≥1 working helper script
[ ] references/ contains ≥1 reference doc (standards.md minimum)
[ ] Skill loads in your AI agent of choice
[ ] Agent successfully invokes the Workflow on a test prompt
[ ] (Optional) PR submitted upstream to mukul975/Anthropic-Cybersecurity-Skills

Lab — ลองทำเลย: ส่ง capstone

กัน 2–3 session การแบ่งที่แนะนำ:

  1. Session 1 (1–2 ชม.): เลือกงาน ร่าง frontmatter และ section "When to Use" + "Prerequisites" ตัดสินว่าฟิลด์ framework ใดในห้าที่ใช้และฟิลด์ใดที่จะไม่ระบุอย่างซื่อสัตย์
  2. Session 2 (2–3 ชม.): เขียน Workflow ด้วยคำสั่งจริง สร้าง helper script ใน scripts/ เขียน references/standards.md เขียน section Verification
  3. Session 3 (1–2 ชม.): ติดตั้ง skill ใน agent รัน prompt ทดสอบ ปรับ description และ tags จนกว่า agent จะหยิบ skill ได้อย่างน่าเชื่อถือตั้งแต่ครั้งแรก (Optional) เปิด PR upstream

เมื่อส่ง ใช้ done-when checklist ข้างบนเป็นการ review ครั้งสุดท้าย ถ้ามีข้อใดยังไม่ติ๊ก คุณยังไม่เสร็จ

สิ่งที่ต้องจำ

ตอนนี้คุณมี skill อยู่ใน production: หนึ่ง playbook ระบุ framework ที่เหมาะสม รันได้ด้วย agent ใดก็ได้ที่รองรับ agentskills.io นั่นคือ artifact แบบเดียวกับที่ library 754 skill ทำมาจาก คุณข้ามจาก reader ไปสู่ author แล้ว — และ library รับ contribution

เช็คความเข้าใจ

  1. ทำไม "ไม่ระบุฟิลด์ framework อย่างซื่อสัตย์" ถึง pass แต่ "ระบุครบทั้ง 5 แม้บางตัวไม่เกี่ยว" ถึง fail?
  2. รายละเอียด ATT&CK technique ใน skill directory ของคุณอยู่ที่ไหนได้บ้าง — frontmatter, body หรือ references/standards.md — และทำไมคุณอาจเลือกแต่ละตำแหน่ง?
  3. การทดสอบฝั่ง agent ที่พิสูจน์ว่า skill ใช้งานได้จริง นอกเหนือจากการ pass local validation คืออะไร?

อ่านต่อ

  • Wiki: (สังเคราะห์จาก wiki page ทั้ง 15) — เริ่มที่ wiki-index
  • Source: ทั้งหมดใน raw/ โดยเฉพาะ capture ของ sample SKILL.md ทั้ง 7 ตัว
  • Upstream: CONTRIBUTING.md (ระเบียบ PR) · agentskills.io (อ้างอิงมาตรฐาน)
↑ กลับด้านบน กลับหน้าหลัก →