หัวข้อที่จะเรียน

1. Library — มันคืออะไร ทำไมต้องมี
2. MITRE ATT&CK — มุมของฝั่งโจมตี
3. NIST CSF 2.0 — มุมของ lifecycle
4. ATLAS, D3FEND, AI RMF — มุมของ A-I และฝั่งป้องกัน
5. Cross-mapping — หนึ่ง skill ห้า frameworks
6. เดินดู skill จริง แล้วลองเขียนของตัวเอง

สิบโมดูล ปิดท้ายด้วย capstone

ทำไมต้องมีคอร์สนี้

L-L-M ทั่วไปเขียน code ได้. แต่สืบสวน incident จริงไม่ได้.

• analyst ระดับ senior ไม่ถามว่า "ใช้ tool อะไร" — แต่ถามว่า "ตอนไหน ทำไม ต่อยังไง"
• การตัดสินใจแบบนั้นอยู่ใน playbook ไม่ใช่ใน model
• Library encode playbook พวกนี้เพื่อให้ agent ใช้ได้

โมดูล 1 — library คืออะไร

Library แบบ open-source ของ cybersecurity skills ออกแบบมาเพื่อ A-I agents map เข้ากับ 5 frameworks ในวงการ

• 754 skills ระดับ production ใช้ license Apache-2.0
• 26 security domains — cloud, threat hunting, forensics และอื่นๆ
• Repo: mukul975/Anthropic-Cybersecurity-Skills

ตัวเลขที่สำคัญ

Progressive disclosure. Frameworks สูงสุด 5 ต่อ skill. สแกน 754 ได้ในรอบเดียว.

มาตรฐาน agentskills.io

• Open standard สำหรับ agent skills ที่ย้ายข้ามแพลตฟอร์มได้
• YAML frontmatter — ค้นเจอภายในวินาที
• Markdown body — ทำงานเป็น step-by-step
• Reference files — context เชิงลึกทางเทคนิค
• ทำงานแบบ zero-config บนแพลตฟอร์ม A-I 26+ ตัว

agentskills dot io นิยามรูปร่าง. Library ทำตาม.

ติดตั้งด้วยคำสั่งเดียว

# recommended
npx skills add mukul975/Anthropic-Cybersecurity-Skills

# fallback — clone it
git clone https://github.com/mukul975/Anthropic-Cybersecurity-Skills.git
cd Anthropic-Cybersecurity-Skills

ใช้ได้บน Claude Code, Copilot, Cursor, Gemini CLI, Cline, MCP agents.

โมดูล 2 — MITRE ATT&CK

ฐานความรู้ระดับโลกเรื่องพฤติกรรมของ cyber adversary

• "how" ของการโจมตีในโลกจริง
• 14 tactics (the why) → techniques (the how) → sub-techniques
• Framework ที่ถูก map มากที่สุดใน library

14 Enterprise tactics

v19 (เมษายน 2026) แยก Defense Evasion เป็น Stealth + Impair Defenses

Library coverage ของ ATT&CK

• 291 unique techniques ครอบคลุมทั้ง 14 tactics
• Defense Evasion ลึกที่สุด (48), Persistence ตามมา (36)
• Impact บางที่สุด (6) — เน้นผลลัพธ์ skills น้อย
• Technique ที่ติดอันดับสูงสุด: T1059.001 PowerShell — 26 skills
• มีไฟล์ ATT&CK Navigator layer มาให้ตั้งแต่ v1.0.0

โมดูล 3 — NIST CSF 2.0

Skill นี้ใช้กับโปรแกรม cybersecurity ของเราตรงไหน?

• หกฟังก์ชันหลัก รูปร่างเป็น lifecycle
• 22 categories · 106 subcategories
• เผยแพร่กุมภาพันธ์ 2024 — เพิ่ม Govern ขยายเกินแค่ critical infra

หกฟังก์ชันหลัก

Recover บางที่สุดที่ ~29. Protect + Detect ลึกที่สุด.

CSF ปรากฏใน skill อย่างไร

name: acquiring-disk-image-with-dd-and-dcfldd
domain: cybersecurity
subdomain: digital-forensics
nist_csf:
  - RS.AN-01   # Incident Analysis
  - RS.AN-03
  - DE.AE-02   # Adverse Event Analysis
  - RS.MA-01   # Incident Management

Frontmatter ประกาศว่า skill นี้รองรับ CSF subcategories ใดบ้าง.

โมดูล 4 — MITRE ATLAS

ATT&CK เวอร์ชันสำหรับระบบ A-I และ machine learning

• Adversarial tactics เฉพาะของ M-L pipelines, models, agents
• 16 tactics · 84 techniques (v5.4)
• เพิ่งเพิ่มหมวดเรื่อง agentic A-I — context poisoning, tool abuse, MCP compromise

หมายเหตุความครอบคลุมของแหล่งข้อมูล

ATLAS techniques หลักใน library

• AML.T0051 — L-L-M Prompt Injection (Execution)
• AML.T0054 — L-L-M Jailbreak (Privilege Escalation)
• AML.T0070 — RAG Poisoning (Persistence)
• AML.T0080 — A-I Agent Context Poisoning (Persistence)
• AML.T0010 — A-I Supply Chain Compromise (Initial Access)

Frontmatter field: atlas_techniques

โมดูล 5 — MITRE D3FEND

Defensive countermeasures — กลับด้านของ ATT&CK

• Knowledge graph ของการป้องกัน ทุนสนับสนุนจาก NSA
• 267 defensive techniques, 7 tactical categories
• Mapping สองทางกับ ATT&CK techniques

หมายเหตุความครอบคลุมของแหล่งข้อมูล

Defends-against ในการใช้จริง

name: analyzing-threat-actor-ttps-with-mitre-attack
d3fend_techniques:
  - Executable Denylisting
  - Execution Isolation
  - File Metadata Consistency Validation
  - Content Format Conversion
  - File Content Analysis

ตรงนี้ใช้ชื่อแบบ friendly. Skills อื่นใช้ D3- IDs. ใช้ได้ทั้งคู่.

โมดูล 6 — NIST AI RMF

Govern. Map. Measure. Manage.

• สี่ฟังก์ชันหลักสำหรับการพัฒนา A-I ที่น่าเชื่อถือ
• 72 subcategories รวม · 12 GenAI risk categories (AI 600-1, กรกฎาคม 2024)
• Colorado A-I Act ให้ legal safe harbor สำหรับการ comply — กุมภาพันธ์ 2026

หมายเหตุความครอบคลุมของแหล่งข้อมูล

ทำไม governance อยู่ข้าง security

• Cyber risk และ A-I risk ทับซ้อนกัน — prompt injection เป็นทั้งคู่
• Boards และ regulators อยากได้ framework เรื่องเดียว ไม่ใช่ห้าเรื่อง
• A-I R-M-F ให้ภาษา governance · ATT&CK + ATLAS ให้ภาษา threat
• Skills ที่ tag ทั้งคู่ — เอกสารชุดเดียวผ่าน audit ได้สองด้าน

โมดูล 7 — cross-mapping

หนึ่ง skill ห้า frameworks ห้า compliance checkboxes จาก playbook เดียว

• Value proposition หลักของ library
• Encode อยู่ใน skill frontmatter โดยตรง
• Coverage ตามความเกี่ยวข้อง ไม่ใช่ scoreboard

ตัวอย่างต้นแบบ

analyzing-network-traffic-of-malware

ความจริง — skills ส่วนใหญ่ไม่ได้ครบ 5

Coverage ตามความเกี่ยวข้อง. Disk imaging ไม่ต้องการ ATLAS.

โมดูล 8 — เดินดู skill จริง

acquiring-disk-image-with-dd-and-dcfldd

• Domain: digital-forensics
• Author: mahipal · Apache-2.0 · v1.0
• Skill ที่ไม่หวือหวา แต่ทุกทีม I-R ต้องมีก่อนเป็นอันดับแรก

Frontmatter

name: acquiring-disk-image-with-dd-and-dcfldd
description: Forensically sound bit-for-bit images
domain: cybersecurity
subdomain: digital-forensics
version: "1.0"
author: mahipal
license: Apache-2.0
tags: [forensics, disk-imaging, dd, dcfldd, hash-verification]
nist_csf: [RS.AN-01, RS.AN-03, DE.AE-02, RS.MA-01]

ใช้เมื่อไหร่

• ต้องการ forensic copy ของไดรฟ์ต้องสงสัย
• I-R กำลังเก็บรักษา volatile evidence
• คดีความต้องการ bit-for-bit ที่ verify แล้ว
• ก่อนการวิเคราะห์ที่อาจทำลายข้อมูล
• ทำ image ของไดรฟ์ทางกายภาพ U-S-B หรือ memory card

Trigger conditions เขียนให้ agent match กับ prompt.

Workflow — หกขั้นตอน

# 1. Identify the source
lsblk; fdisk -l /dev/sdb
# 2. Write-protect
blockdev --setro /dev/sdb
# 3. Document source
hdparm -I /dev/sdb; smartctl -a /dev/sdb
# 4. Acquire with hash
dcfldd if=/dev/sdb hash=sha256 of=case.dd
# 5. Verify
sha256sum case.dd
# 6. Package case folder

โมดูล 9 — เขียน skill ของตัวเอง

Skill คือ folder. รูปร่างคาดเดาได้. Ship ได้ในบ่ายวันเดียว.

• หนึ่ง SKILL.md มี frontmatter + body
• เลือกได้ references/, scripts/, assets/
• หัวข้อใน body: When to Use · Prerequisites · Workflow · Verification

โครงสร้างบนดิสก์

my-skill/
├── SKILL.md              ← required
├── references/
│   ├── standards.md      ← optional, deep context
│   └── workflows.md
├── scripts/
│   └── process.py        ← optional helpers
└── assets/
    └── template.md       ← optional outputs

Checklist สำหรับผู้เขียน

1. เลือก workflow ที่คุณเคยทำจริง
2. เขียน trigger conditions ห้าข้อสำหรับ When to Use
3. Map กับ framework อย่างน้อย 1 — เริ่มที่ NIST CSF
4. Workflow เป็นคำสั่ง ไม่ใช่ prose
5. มี verification step ที่ agent รันได้
6. ส่ง P-R — review ปกติภายใน 48 ชั่วโมง

โมดูล 10 — capstone

Ship security skill ที่คุณเขียนเอง map ครบทั้ง 5 frameworks

• เลือกอะไรที่คุณจะใช้จริงในงาน
• Cross-mapping คือสิ่งที่แยก skill จาก script
• ใช้เวลาตั้งใจสองถึงสาม session

5 deliverables

1. SKILL.md มี frontmatter + body ครบ
2. Reference file อย่างน้อยหนึ่งไฟล์ใน references/
3. Script ใน scripts/ ถ้าคุ้มค่าที่จะมี
4. Framework fields ครบทั้ง 5 ที่เกี่ยวข้อง
5. Test prompt — โชว์ agent โหลดและรัน skill

Pacing

12–14 sessions · ~12–18 ชั่วโมงผู้เรียน รวม

Ship checklist

• Frontmatter validate ตาม standard
• Workflow รันจบบนเครื่องสะอาด
• Verification step verify ของจริง
• Framework mappings ทุกตัวมีเหตุผลกำกับ
• Test ด้วย A-I agent อย่างน้อยหนึ่งตัว

ขั้นต่อไป

• Wiki — 15 หน้า ground truth ของทุก claim
• Course — เวอร์ชัน self-paced เต็ม พร้อม labs
• Library — clone อ่าน contribute
• Frameworks — อ่านต้นฉบับ ไม่ใช่แค่สรุปของเรา
• เขียนของตัวเอง — ตรงนั้นแหละจำได้