Incident Response

detecting-lateral-movement-with-zeek ist eine Zeek-basierte Cybersecurity-Skill für Threat Hunting und Incident Response. Sie hilft dabei, SMB-Zugriffe auf Admin-Freigaben, DCE/RPC-Dienst-Erstellungen, NTLM-Spraying, Kerberos-Anomalien und verdächtige interne Übertragungen zu erkennen – mit Zeek-Logs wie `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` und `kerberos.log`.

analyzing-windows-shellbag-artifacts hilft DFIR-Analysten dabei, Windows-Shellbag-Registry-Artefakte zu interpretieren, um Ordnernavigation, Zugriffe auf gelöschte Ordner, die Nutzung von Wechseldatenträgern und Aktivitäten auf Netzfreigaben mit SBECmd und ShellBags Explorer nachzuvollziehen. Es ist ein praxisnaher Guide für analyzing-windows-shellbag-artifacts für Incident Response und Forensik.

analyzing-cobaltstrike-malleable-c2-profiles hilft dabei, Cobalt Strike Malleable C2-Profile in C2-Indikatoren, Tarnungsmerkmale und Erkennungsansätze zu zerlegen – für Malware-Analyse, Threat Hunting und Security-Audit-Workflows. Es nutzt dissect.cobaltstrike und pyMalleableC2 für die Analyse von Profilen und Beacon-Konfigurationen.

exploiting-kerberoasting-with-impacket unterstützt autorisierte Tester bei der Planung von Kerberoasting mit Impacket GetUserSPNs.py – von der SPN-Aufzählung über das Extrahieren von TGS-Tickets bis hin zu Offline-Cracking und erkennungsbewusster Berichterstattung. Nutzen Sie diesen exploiting-kerberoasting-with-impacket-Leitfaden für Penetrationstests mit klarem Installations- und Nutzungskontext.

detecting-service-account-abuse ist eine Threat-Hunting-Skill zum Aufspüren von Missbrauch von Servicekonten in Windows-, AD-, SIEM- und EDR-Telemetrie. Der Fokus liegt auf verdächtigen interaktiven Anmeldungen, Rechteausweitung, lateraler Bewegung und Zugriffsanomalien – mit Hunt-Template, Event-IDs und Workflow-Referenzen für wiederholbare Untersuchungen.

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

detecting-rdp-brute-force-attacks hilft bei der Analyse von Windows Security Event Logs auf RDP-Brute-Force-Muster, darunter wiederholte 4625-Fehler, 4624-Erfolge nach Fehlschlägen, NLA-bezogene Anmeldungen und Konzentration auf einzelne Quell-IPs. Geeignet für Security Audits, Threat Hunting und reproduzierbare Untersuchungen auf EVTX-Basis.

detecting-rootkit-activity ist eine Malware-Analysis-Skill zum Aufspüren von Rootkit-Indizien wie versteckten Prozessen, gehookten Systemaufrufen, veränderten Kernel-Strukturen, verborgenen Modulen und verdeckten Netzwerkspuren. Sie nutzt Cross-View-Vergleiche und Integritätsprüfungen, um verdächtige Hosts zu verifizieren, wenn Standard-Tools zu unterschiedlichen Ergebnissen kommen.

analyzing-usb-device-connection-history hilft dabei, den Verbindungsverlauf von USB-Geräten unter Windows mit Registry-Hives, Event Logs und setupapi.dev.log zu untersuchen – für Digital Forensics, Insider-Threat-Untersuchungen und Incident Response. Es unterstützt die Rekonstruktion von Zeitachsen, die Zuordnung von Geräten und die Analyse von Wechselmedien-Beweisen.

analyzing-browser-forensics-with-hindsight unterstützt Digital-Forensics-Teams dabei, Chromium-Browser-Artefakte mit Hindsight zu analysieren – darunter Verlauf, Downloads, Cookies, Autofill, Lesezeichen, Metadaten gespeicherter Anmeldedaten, Cache und Erweiterungen. Nutzen Sie es, um Webaktivitäten zu rekonstruieren, Zeitachsen auszuwerten und Profile aus Chrome, Edge, Brave und Opera zu untersuchen.

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Die Skill "detecting-network-anomalies-with-zeek" hilft dabei, Zeek für passives Netzwerk-Monitoring bereitzustellen, strukturierte Logs auszuwerten und eigene Erkennungen für Beaconing, DNS-Tunneling und ungewöhnliche Protokollaktivitäten zu entwickeln. Sie eignet sich für Threat Hunting, Incident Response, SIEM-fähige Netzwerkmetadaten und Security-Audit-Workflows – nicht für Inline-Prevention.

detecting-modbus-command-injection-attacks hilft Security-Analysten dabei, verdächtige Modbus TCP/RTU-Write-Aktivitäten, anomale Funktionscodes, fehlerhafte Frames und Abweichungen vom Baseline-Verhalten in ICS- und SCADA-Umgebungen zu erkennen. Nutzen Sie es für Incident-Triage, OT-Monitoring und Security Audits, wenn Sie Modbus-spezifische Erkennungsleitlinien brauchen und keinen generischen Anomalie-Prompt.

Das detecting-business-email-compromise Skill unterstützt Analysten, SOC-Teams und Incident Responder dabei, BEC-Versuche mithilfe von E-Mail-Header-Prüfungen, Hinweisen auf Social Engineering, Detection-Logik und reaktionsorientierten Workflows zu erkennen. Nutzen Sie es als praktischen detecting-business-email-compromise Leitfaden für Triage, Validierung und Eindämmung.

detecting-azure-lateral-movement hilft Security-Analysten dabei, laterale Bewegungen in Azure AD/Entra ID und Microsoft Sentinel mit Microsoft Graph Audit-Logs, Anmelde-Telemetrie und KQL-Korrelation aufzuspüren. Geeignet für Incident-Triage, Detection Engineering und Security-Audit-Workflows rund um Consent-Missbrauch, Fehlverwendung von Service Principals, Token-Diebstahl und Pivoting über Mandantengrenzen hinweg.

Leitfaden zur Konfiguration von hostbasierter Intrusion Detection mit Wazuh, OSSEC oder AIDE für die Überwachung von Dateiintegrität, Systemänderungen und complianceorientierter Endpunktsicherheit in Security-Audit-Workflows.

Die Skill detecting-t1003-credential-dumping-with-edr unterstützt Threat Hunting mit EDR, Sysmon und Windows-Event-Korrelation, um LSASS-, SAM-, NTDS.dit-, LSA-Secret- und Cache-Credential-Dumping zu erkennen. Sie eignet sich, um Alarme zu validieren, Vorfälle einzugrenzen und Fehlalarme mit praxisnaher Workflow-Anleitung zu reduzieren.

detecting-dcsync-attack-in-active-directory ist eine Threat-Hunting-Fähigkeit zum Erkennen von DCSync-Missbrauch in Active Directory, indem 4662-Ereignisse, Replikations-GUIDs und legitime DC-Konten korreliert werden. Nutzen Sie sie, um Credential-Theft-Aktivitäten mit Splunk, KQL und Parsing-Skripten zu bestätigen, einzuordnen und zu dokumentieren.

detecting-container-escape-with-falco-rules hilft dabei, Versuche von Container-Escapes mit Falco-Runtime-Sicherheitsregeln zu erkennen. Der Fokus liegt auf Syscall-Signalen, privilegierten Containern, Missbrauch von Host-Pfaden, Validierung und Incident-Response-Workflows für Kubernetes- und Linux-Containerumgebungen.

analyzing-malware-persistence-with-autoruns ist ein Sysinternals-Autoruns-Skill für die Malware-Analyse. Er hilft dabei, Windows-Persistenz in Run-Keys, Diensten, geplanten Tasks, Winlogon, Treibern und WMI mit einem reproduzierbaren Workflow zu prüfen – inklusive CSV-Exports, Sichtung verdächtiger Einträge und belastbarer, berichtstauglicher Ergebnisse.

hunting-advanced-persistent-threats ist ein Threat-Hunting-Skill zur Erkennung von APT-typischer Aktivität über Endpoint-, Netzwerk- und Speicher-Telemetrie. Er unterstützt Analysten dabei, hypothesengetriebene Hunts aufzubauen, Funde mit MITRE ATT&CK zu verknüpfen und Threat Intelligence in praxisnahe Queries und Untersuchungsschritte zu übersetzen – statt in ungezielte Ad-hoc-Suchen zu verfallen.

extracting-windows-event-logs-artifacts hilft Ihnen beim Extrahieren, Parsen und Analysieren von Windows Event Logs (EVTX) für Digital Forensics, Incident Response und Threat Hunting. Der Skill unterstützt die strukturierte Auswertung von Anmeldungen, Prozessstarts, Dienstinstallationen, geplanten Tasks, Rechtesänderungen und dem Löschen von Logs mit Chainsaw, Hayabusa und EvtxECmd.

Leitfaden zu extracting-memory-artifacts-with-rekall für die Analyse von Windows-Speicherabbildern mit Rekall. Er zeigt Installations- und Nutzungsmuster, um versteckte Prozesse, injizierten Code, verdächtige VADs, geladene DLLs und Netzwerkaktivitäten für die Digitale Forensik zu finden.

Die Fähigkeit „extracting-credentials-from-memory-dump“ unterstützt die Analyse von Windows-Memory-Dumps auf NTLM-Hashes, LSA-Secrets, Kerberos-Material und Tokens mithilfe von Workflows mit Volatility 3 und pypykatz. Sie ist für Digital Forensics und Incident Response gedacht, wenn Sie aus einem validen Dump belastbare Beweise, Auswirkungen auf Konten und Hinweise zur Remediation benötigen.