Threat Intelligence

Building IOC Defanging and Sharing Pipeline Skill zum Extrahieren von IOCs, zum Entschärfen von URLs, IPs, Domains, E-Mail-Adressen und Hashes sowie zum Konvertieren und Teilen als STIX 2.1 über TAXII oder MISP für Security-Audit- und Threat-Intel-Workflows.

building-incident-timeline-with-timesketch hilft DFIR-Teams dabei, in Timesketch kollaborative Incident-Timelines aufzubauen, indem Plaso-, CSV- oder JSONL-Beweise eingelesen, Zeitstempel normalisiert, Ereignisse miteinander korreliert und Angriffsketten für Triage und Reporting dokumentiert werden.

Die Skill „detecting-mobile-malware-behavior“ analysiert verdächtige Android- und iOS-Apps auf missbräuchliche Berechtigungen, Laufzeitverhalten, Netzwerkindikatoren und malwareähnliche Muster. Nutzen Sie sie für Triage, Incident Response und detecting-mobile-malware-behavior in Security-Audit-Workflows mit evidenzgestützter mobiler Analyse.

Das detecting-business-email-compromise Skill unterstützt Analysten, SOC-Teams und Incident Responder dabei, BEC-Versuche mithilfe von E-Mail-Header-Prüfungen, Hinweisen auf Social Engineering, Detection-Logik und reaktionsorientierten Workflows zu erkennen. Nutzen Sie es als praktischen detecting-business-email-compromise Leitfaden für Triage, Validierung und Eindämmung.

detecting-beaconing-patterns-with-zeek hilft dabei, Intervalle in Zeek-`conn.log` zu analysieren, um C2-ähnliches Beaconing zu erkennen. Es nutzt ZAT, gruppiert Verbindungen nach Quelle, Ziel und Port und bewertet Muster mit geringer Jitter-Varianz anhand statistischer Prüfungen. Ideal für SOC, Threat Hunting, Incident Response und die Nutzung von detecting-beaconing-patterns-with-zeek in Security-Audit-Workflows.

analyzing-supply-chain-malware-artifacts ist eine Malware-Analyse-Skill für das Nachverfolgen von trojanisierten Updates, kompromittierten Abhängigkeiten und Manipulationen in Build-Pipelines. Nutzen Sie sie, um vertrauenswürdige und unzuverlässige Artefakte zu vergleichen, Indikatoren zu extrahieren, den Umfang einer Kompromittierung einzuschätzen und Ergebnisse mit weniger Rätselraten zu berichten.

analyzing-ransomware-network-indicators hilft bei der Analyse von Zeek conn.log und NetFlow, um C2-Beaconing, TOR-Exit-Nodes, Exfiltration und verdächtige DNS-Aktivität für Security Audits und Incident Response zu erkennen.

analyzing-ransomware-payment-wallets ist eine Read-only-Blockchain-Forensik-Fähigkeit zum Nachverfolgen von Ransomware-Zahlungs-Wallets, zum Verfolgen von Geldflüssen und zum Clustern zusammengehöriger Adressen für Security Audits und Incident Response. Verwenden Sie sie, wenn Sie eine BTC-Adresse, einen Tx-Hash oder eine verdächtige Wallet haben und belastbare Attribution als Beleg benötigen.

analyzing-ransomware-leak-site-intelligence hilft dabei, Ransomware-Datenleakseiten zu überwachen, Opfer- und Gruppen-Signale zu extrahieren und strukturierte Threat Intelligence für Incident Response, Risikoanalysen in Branchen und Gegner-Tracking zu erstellen.

analyzing-cloud-storage-access-patterns hilft Security-Teams dabei, verdächtige Zugriffe auf Cloud-Speicher in AWS S3, GCS und Azure Blob Storage zu erkennen. Das Skill analysiert Audit-Logs auf Massen-Downloads, neue Quell-IPs, ungewöhnliche API-Aufrufe, Bucket-Enumeration, Zugriffe außerhalb der Geschäftszeiten und mögliche Exfiltration mithilfe von Baseline- und Anomalie-Prüfungen.

hunting-advanced-persistent-threats ist ein Threat-Hunting-Skill zur Erkennung von APT-typischer Aktivität über Endpoint-, Netzwerk- und Speicher-Telemetrie. Er unterstützt Analysten dabei, hypothesengetriebene Hunts aufzubauen, Funde mit MITRE ATT&CK zu verknüpfen und Threat Intelligence in praxisnahe Queries und Untersuchungsschritte zu übersetzen – statt in ungezielte Ad-hoc-Suchen zu verfallen.

Die Skill für generating-threat-intelligence-reports wandelt analysierte Cyberdaten in strategische, operative, taktische oder Flash-Threat-Intelligence-Reports für Führungskräfte, SOC-Teams, IR-Leads und Analysten um. Sie unterstützt fertige Intelligence-Produkte, Confidence-Sprache, TLP-Kennzeichnung und klare Empfehlungen für das Report Writing.

Skill-Guide zum Extrahieren von IOCs aus Malware-Samples für die Malwareanalyse: Hashes, IPs, Domains, URLs, Host-Artefakte und Validierungshinweise aus Samples für Threat Intelligence und Detection gewinnen.

evaluating-threat-intelligence-platforms hilft dir, TIP-Produkte nach Feed-Ingestion, STIX/TAXII-Unterstützung, Automatisierung, Analysten-Workflow, Integrationen und Total Cost of Ownership zu vergleichen. Nutze diesen evaluating-threat-intelligence-platforms-Leitfaden für Beschaffung, Migration oder Reifegradplanung, einschließlich evaluating-threat-intelligence-platforms für Threat Modeling, wenn die Plattformwahl Rückverfolgbarkeit und Evidenzweitergabe beeinflusst.

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

Skill zur Erkennung von Living-off-the-Land-Angriffen für Security Audits, Threat Hunting und Incident Response. Erkennen Sie den Missbrauch legitimer Windows-Binaries wie certutil, mshta, rundll32 und regsvr32 anhand von Prozessstarts, Kommandozeilen- und Parent-Child-Telemetrie. Der Leitfaden konzentriert sich auf umsetzbare LOLBin-Erkennungsmuster und nicht auf allgemeine Windows-Härtung.

Die Skill-Lösung detecting-kerberoasting-attacks unterstützt bei der Jagd auf Kerberoasting, indem sie verdächtige Kerberos-TGS-Anfragen, schwache Ticket-Verschlüsselung und typische Muster von Service-Accounts erkennt. Sie eignet sich für SIEM-, EDR- und EVTX-Analysen sowie für Threat-Modeling-Workflows mit praxistauglichen Detection-Templates und Hinweisen zum Tuning.

detecting-insider-threat-with-ueba hilft dir, UEBA-Erkennungen in Elasticsearch oder OpenSearch für Insider-Threat-Fälle aufzubauen – inklusive Verhaltens-Baselines, Anomalie-Scoring, Peer-Group-Analysen und korrelierten Alerts für Datenabfluss, Missbrauch von Berechtigungen und unautorisierten Zugriff. Es passt zu detecting-insider-threat-with-ueba für Incident-Response-Workflows.

detecting-insider-threat-behaviors hilft Analysten dabei, Insider-Risikosignale wie ungewöhnlichen Datenzugriff, Aktivitäten außerhalb der Arbeitszeiten, Massendownloads, Missbrauch von Berechtigungen und an Kündigung gekoppelte Datendiebstähle aufzuspüren. Nutzen Sie diesen detecting-insider-threat-behaviors-Guide für Threat Hunting, UEBA-ähnliches Triage und Threat Modeling mit Workflow-Vorlagen, SIEM-Abfragebeispielen und Risikogewichtungen.

detecting-email-account-compromise hilft Incident Respondern und SOC-Analysten, die Übernahme von Microsoft 365- und Google-Workspace-Postfächern zu untersuchen, indem verdächtige Anmeldungen, Missbrauch von Posteingangsregeln, externe Weiterleitungen, OAuth-Berechtigungen sowie Graph-/Audit-Log-Aktivitäten geprüft werden. Nutzen Sie es als praxisnahen Leitfaden zum detecting-email-account-compromise für eine schnelle Triage.

detecting-dll-sideloading-attacks unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, DLL-Sideloading mit Sysmon, EDR, MDE und Splunk zu erkennen. Dieser Guide zu detecting-dll-sideloading-attacks enthält Workflow-Notizen, Hunt-Templates, Standards-Mapping und Skripte, um verdächtige DLL-Ladevorgänge in wiederholbare Detektionen zu überführen.

Der Skill detecting-credential-dumping-techniques hilft dir dabei, LSASS-Zugriffe, SAM-Exporte, den Diebstahl von NTDS.dit und den Missbrauch von comsvcs.dll MiniDump mithilfe von Sysmon Event ID 10, Windows-Sicherheitsprotokollen und SIEM-Korrelationsregeln zu erkennen. Er ist für Threat Hunting, Detection Engineering und Security-Audit-Workflows konzipiert.

detecting-command-and-control-over-dns ist eine Cybersecurity-Skill für das Erkennen von C2 über DNS, einschließlich Tunneling, Beaconing, DGA-Domains und Missbrauch von TXT/CNAME. Sie unterstützt SOC-Analysten, Threat Hunter und Security Audits mit Entropieprüfungen, passiver DNS-Korrelation und Erkennungs-Workflows im Stil von Zeek oder Suricata.

Erkenne Business Email Compromise mit KI mithilfe von NLP, Stilometrie, Verhaltenssignalen und Beziehungskontext. Dieser detecting-business-email-compromise-with-ai Skill hilft SOC-, Fraud- und Security-Audit-Teams dabei, verdächtige E-Mails zu bewerten, Risikosignale zu erklären und zu entscheiden, ob sie in Quarantäne verschoben, gewarnt oder eskaliert werden sollen.