Threat Hunting

detecting-lateral-movement-with-zeek ist eine Zeek-basierte Cybersecurity-Skill für Threat Hunting und Incident Response. Sie hilft dabei, SMB-Zugriffe auf Admin-Freigaben, DCE/RPC-Dienst-Erstellungen, NTLM-Spraying, Kerberos-Anomalien und verdächtige interne Übertragungen zu erkennen – mit Zeek-Logs wie `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` und `kerberos.log`.

analyzing-cobaltstrike-malleable-c2-profiles hilft dabei, Cobalt Strike Malleable C2-Profile in C2-Indikatoren, Tarnungsmerkmale und Erkennungsansätze zu zerlegen – für Malware-Analyse, Threat Hunting und Security-Audit-Workflows. Es nutzt dissect.cobaltstrike und pyMalleableC2 für die Analyse von Profilen und Beacon-Konfigurationen.

exploiting-kerberoasting-with-impacket unterstützt autorisierte Tester bei der Planung von Kerberoasting mit Impacket GetUserSPNs.py – von der SPN-Aufzählung über das Extrahieren von TGS-Tickets bis hin zu Offline-Cracking und erkennungsbewusster Berichterstattung. Nutzen Sie diesen exploiting-kerberoasting-with-impacket-Leitfaden für Penetrationstests mit klarem Installations- und Nutzungskontext.

detecting-shadow-it-cloud-usage hilft dabei, nicht autorisierte SaaS- und Cloud-Nutzung anhand von Proxy-Logs, DNS-Queries und Netflow zu erkennen. Es klassifiziert Domains, vergleicht sie mit freigegebenen Listen und unterstützt Security-Audit-Workflows mit strukturierten Belegen aus dem detecting-shadow-it-cloud-usage skill guide.

detecting-service-account-abuse ist eine Threat-Hunting-Skill zum Aufspüren von Missbrauch von Servicekonten in Windows-, AD-, SIEM- und EDR-Telemetrie. Der Fokus liegt auf verdächtigen interaktiven Anmeldungen, Rechteausweitung, lateraler Bewegung und Zugriffsanomalien – mit Hunt-Template, Event-IDs und Workflow-Referenzen für wiederholbare Untersuchungen.

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

detecting-rdp-brute-force-attacks hilft bei der Analyse von Windows Security Event Logs auf RDP-Brute-Force-Muster, darunter wiederholte 4625-Fehler, 4624-Erfolge nach Fehlschlägen, NLA-bezogene Anmeldungen und Konzentration auf einzelne Quell-IPs. Geeignet für Security Audits, Threat Hunting und reproduzierbare Untersuchungen auf EVTX-Basis.

analyzing-usb-device-connection-history hilft dabei, den Verbindungsverlauf von USB-Geräten unter Windows mit Registry-Hives, Event Logs und setupapi.dev.log zu untersuchen – für Digital Forensics, Insider-Threat-Untersuchungen und Incident Response. Es unterstützt die Rekonstruktion von Zeitachsen, die Zuordnung von Geräten und die Analyse von Wechselmedien-Beweisen.

analyzing-browser-forensics-with-hindsight unterstützt Digital-Forensics-Teams dabei, Chromium-Browser-Artefakte mit Hindsight zu analysieren – darunter Verlauf, Downloads, Cookies, Autofill, Lesezeichen, Metadaten gespeicherter Anmeldedaten, Cache und Erweiterungen. Nutzen Sie es, um Webaktivitäten zu rekonstruieren, Zeitachsen auszuwerten und Profile aus Chrome, Edge, Brave und Opera zu untersuchen.

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Die Skill "detecting-network-anomalies-with-zeek" hilft dabei, Zeek für passives Netzwerk-Monitoring bereitzustellen, strukturierte Logs auszuwerten und eigene Erkennungen für Beaconing, DNS-Tunneling und ungewöhnliche Protokollaktivitäten zu entwickeln. Sie eignet sich für Threat Hunting, Incident Response, SIEM-fähige Netzwerkmetadaten und Security-Audit-Workflows – nicht für Inline-Prevention.

detecting-modbus-protocol-anomalies hilft dabei, verdächtiges Verhalten in Modbus/TCP- und Modbus-RTU-Umgebungen in OT- und ICS-Netzwerken zu erkennen, darunter ungültige Funktionscodes, Zugriffe auf Register außerhalb des zulässigen Bereichs, abnormales Polling-Timing, nicht autorisierte Schreibzugriffe und fehlerhafte Frames. Nützlich für Security Audits und eine evidenzbasierte Triage.

detecting-typosquatting-packages-in-npm-pypi hilft dabei, verdächtige npm- und PyPI-Pakete zu identifizieren, indem es Namensähnlichkeit, Aktualität der Veröffentlichung und Auffälligkeiten bei den Downloadzahlen vergleicht. Verwende es für Security-Audit-Workflows, die Prüfung von Abhängigkeiten und die erste Risiko-Einschätzung in der Supply Chain mit einem reproduzierbaren Registry-Check-Prozess.

Die Skill detecting-t1003-credential-dumping-with-edr unterstützt Threat Hunting mit EDR, Sysmon und Windows-Event-Korrelation, um LSASS-, SAM-, NTDS.dit-, LSA-Secret- und Cache-Credential-Dumping zu erkennen. Sie eignet sich, um Alarme zu validieren, Vorfälle einzugrenzen und Fehlalarme mit praxisnaher Workflow-Anleitung zu reduzieren.

detecting-dcsync-attack-in-active-directory ist eine Threat-Hunting-Fähigkeit zum Erkennen von DCSync-Missbrauch in Active Directory, indem 4662-Ereignisse, Replikations-GUIDs und legitime DC-Konten korreliert werden. Nutzen Sie sie, um Credential-Theft-Aktivitäten mit Splunk, KQL und Parsing-Skripten zu bestätigen, einzuordnen und zu dokumentieren.

detecting-container-escape-with-falco-rules hilft dabei, Versuche von Container-Escapes mit Falco-Runtime-Sicherheitsregeln zu erkennen. Der Fokus liegt auf Syscall-Signalen, privilegierten Containern, Missbrauch von Host-Pfaden, Validierung und Incident-Response-Workflows für Kubernetes- und Linux-Containerumgebungen.

detecting-bluetooth-low-energy-attacks ist ein Skill für autorisierte BLE-Sicherheitstests. Er unterstützt bei der Bewertung von Sniffing-Risiken, Replay-Gefahr, Missbrauch der GATT-Enumeration, Advertising-Spoofing und Hinweisen auf Man-in-the-Middle-Angriffe – mit realen BLE-Tools und klarer Workflow-Hilfe.

Skill zum configuring-snort-ids-for-intrusion-detection für die Installation, Konfiguration, Validierung und Tuning von Snort 3 IDS auf autorisierten Netzwerksegmenten. Enthält praxisnahe Nutzung, Rule-Loading, CLI-Prüfungen, Reduzierung von False Positives und Security-Audit-Workflows.

analyzing-malware-sandbox-evasion-techniques unterstützt Malware-Analysten dabei, Cuckoo- und AnyRun-Verhalten auf Timing-Checks, VM-Artefakt-Abfragen, User-Interaction-Gates und Sleep Inflation zu prüfen. Es ist für einen gezielten analyzing-malware-sandbox-evasion-techniques-Workflow in Malware-Analysis-Pipelines ausgelegt, um schnell zu triagieren, ob ein Sample sich vor der Sandbox verbirgt.

analyzing-malware-persistence-with-autoruns ist ein Sysinternals-Autoruns-Skill für die Malware-Analyse. Er hilft dabei, Windows-Persistenz in Run-Keys, Diensten, geplanten Tasks, Winlogon, Treibern und WMI mit einem reproduzierbaren Workflow zu prüfen – inklusive CSV-Exports, Sichtung verdächtiger Einträge und belastbarer, berichtstauglicher Ergebnisse.

hunting-advanced-persistent-threats ist ein Threat-Hunting-Skill zur Erkennung von APT-typischer Aktivität über Endpoint-, Netzwerk- und Speicher-Telemetrie. Er unterstützt Analysten dabei, hypothesengetriebene Hunts aufzubauen, Funde mit MITRE ATT&CK zu verknüpfen und Threat Intelligence in praxisnahe Queries und Untersuchungsschritte zu übersetzen – statt in ungezielte Ad-hoc-Suchen zu verfallen.

extracting-windows-event-logs-artifacts hilft Ihnen beim Extrahieren, Parsen und Analysieren von Windows Event Logs (EVTX) für Digital Forensics, Incident Response und Threat Hunting. Der Skill unterstützt die strukturierte Auswertung von Anmeldungen, Prozessstarts, Dienstinstallationen, geplanten Tasks, Rechtesänderungen und dem Löschen von Logs mit Chainsaw, Hayabusa und EvtxECmd.

Leitfaden zu extracting-memory-artifacts-with-rekall für die Analyse von Windows-Speicherabbildern mit Rekall. Er zeigt Installations- und Nutzungsmuster, um versteckte Prozesse, injizierten Code, verdächtige VADs, geladene DLLs und Netzwerkaktivitäten für die Digitale Forensik zu finden.

Skill-Guide zum Extrahieren von IOCs aus Malware-Samples für die Malwareanalyse: Hashes, IPs, Domains, URLs, Host-Artefakte und Validierungshinweise aus Samples für Threat Intelligence und Detection gewinnen.