"SKILL" dalam Claude
Ramai yang tahu Claude boleh menjawab soalan, tulis kod, dan tolong analisa fail. Tapi ada satu feature yang kebanyakan orang - termasuk security analyst - masih tak explore lagi: SKILL.
Kalau selama ini guna Claude macam chatbot biasa, artikel ni akan tunjukkan kenapa tu bukan cara terbaik - terutama bila kerja dalam bidang cybersecurity.
Apa Itu SKILL dalam Claude?
SKILL dalam Claude adalah macam custom instruction set yang disimpan dan dipanggil semula bila perlu. Boleh bayangkan ia sebagai:
- SOP (Standard Operating Procedure) digital yang Claude dah hafal
- Persona atau role khusus - contoh: "Claude sebagai malware analyst"
- Template laporan yang konsisten setiap kali guna
- Workflow analisis yang dah disusun ikut keperluan sendiri
Struktur SKILL - Macam Mana Ia Berfungsi?
Setiap SKILL biasanya ada dalam format .md (Markdown) dan mengandungi:
name: analysis-ransomware-windows
description: Analyze Windows ransomware - reverse engineering, IOC, detection
version: 1.0
# PURPOSE
You are a senior malware analyst...
# OUTPUT FORMAT
Always produce structured reports with:
- Executive Summary
- Technical Findings
- ATT&CK Mapping
- IOC Table
- Detection Rules (YARA/Sigma)
Bila SKILL ni dipanggil, Claude akan ikut semua arahan tu secara automatik - tanpa perlu explain semula setiap kali.
Kenapa Penting untuk Security Analyst?
Masalah tanpa SKILL:
- Setiap session baru, kena brief Claude dari scratch
- Format output berubah-ubah - tak konsisten
- Claude tak tahu context kerja kita (SOC? DFIR? Threat Intel?)
- Buang masa explain scope analisis setiap kali
- Output terlalu generic - tak fit dengan keperluan operasi
Dengan SKILL:
- Claude terus tahu role dia - tanpa perlu briefing panjang
- Output format konsisten - boleh terus masuk laporan
- Analisis lebih mendalam sebab Claude dah ada context
- Boleh customise untuk team - setiap analyst guna standard yang sama
- Jimat masa - fokus pada analisis, bukan pada setup
| Aspek | Tanpa SKILL | Dengan SKILL |
|---|---|---|
| Setup masa | ✗ Kena brief setiap session | ✓ Terus analyze |
| Format output | ✗ Tidak konsisten | ✓ Standard setiap kali |
| Kedalaman analisis | ✗ Generic | ✓ Domain-specific |
| Team standarization | ✗ Setiap orang buat cara sendiri | ✓ Satu standard untuk semua |
| ATT&CK / IOC coverage | ✗ Kena remind Claude | ✓ Automatik dalam output |
Case Study: Analisis Qilin Ransomware
Jom tengok contoh real. Qilin (nama lain: Agenda) adalah ransomware yang aktif sejak 2022, ditulis dalam Go (Golang) dan boleh target Windows & Linux/VMware ESXi.
• Written in:
Go (Golang)• Targets: Windows, Linux, VMware ESXi
• Model: Ransomware-as-a-Service (RaaS)
• TTPs: Double extortion, credential harvesting via Chrome
• Notable attack: Synnovis (UK NHS), 2024
Scenario: Tanpa SKILL
Analyst dapat sample Qilin. Dia bukak Claude dan taip:
"Boleh analyze ransomware ni? Saya ada strings, imports, dan behavioral log."
Claude akan jawab - tapi output dia mungkin:
- Summary pendek yang terlalu high-level
- Takde ATT&CK mapping
- Takde YARA rule
- Takde IOC table dalam format standard
- Format laporan ikut suka Claude je
Scenario: Dengan SKILL analysis-ransomware-windows
Analyst guna SKILL yang dah setup. Claude terus produce:
- Executive Summary - untuk management
- Static Analysis - PE metadata, strings, imports
- Behavioral Analysis - file encryption flow, shadow copy deletion, process injection
- ATT&CK Mapping - contoh:
T1486(Data Encrypted for Impact),T1059(Command & Scripting Interpreter) - IOC Table - hash, mutex, ransom note name, extension
- YARA Rule - ready to deploy
- Sigma Rule - untuk SIEM
rule Qilin_Ransomware_Golang {
meta:
description = "Detects Qilin/Agenda ransomware (Go variant)"
author = "Analyst via Claude SKILL"
reference = "T1486, T1059.001"
strings:
$go_magic = { 47 6F 20 62 75 69 6C 64 }
$note = "README-RECOVER" ascii
$cmd1 = "vssadmin delete shadows" nocase
$cmd2 = "wbadmin delete catalog" nocase
condition:
uint16(0) == 0x5A4D and 2 of ($cmd*) and $note
}
Semua ni dalam satu output - tanpa kena tanya Claude buat satu-satu.
SKILL Mana yang Relevan untuk Security Analyst?
Ini antara contoh SKILL yang boleh setup untuk kerja harian analyst:
analysis-ransomware-windows- Full ransomware analysis (RE + behavioral + detection)analysis-ransomware-windows-re- Deep static reverse engineeringanalysis-ransomware-windows-ioc-extraction- Extract IOC dari logs/samplesanalysis-ransomware-windows-detection- Generate YARA, Sigma, EDR rulesanalysis-ransomware-windows-behavioral- Sandbox & telemetry analysisanalysis-ransomware-windows-incident-response- IR guidance: containment, eradication, recoverymalware-static-analysis- PE static analysisanalysis-windows-host- Windows host forensic analysisblog-malware-analysis- Tulis artikel analisis malware
analysis-ransomware-windows untuk analisis teknikal, lepas tu sambung dengan blog-malware-analysis untuk publish findings.
Final Thoughts
SKILL ni ialah keperluan bila kerja dalam bidang security. Tanpa SKILL, kita guna Claude macam Google Search yang boleh bercakap. Dengan SKILL, Claude jadi macam senior analyst dalam team kita - dia faham workflow, tahu format laporan, dan boleh produce output yang terus boleh pakai.
Untuk Qilin ke, LockBit ke, RansomHub ke - kalau ada SKILL yang betul, masa analisis boleh dipotong dengan ketara. Lebih banyak masa untuk hunting, kurang masa untuk formatting laporan.
Kalau belum setup SKILL lagi - cuba start dengan satu dulu. Pilih yang paling kerap guna dalam kerja harian, customize sikit, dan tengok sendiri perbezaannya.
Worth it. Trust the process.
