von mukul975
detecting-lateral-movement-with-zeek ist eine Zeek-basierte Cybersecurity-Skill für Threat Hunting und Incident Response. Sie hilft dabei, SMB-Zugriffe auf Admin-Freigaben, DCE/RPC-Dienst-Erstellungen, NTLM-Spraying, Kerberos-Anomalien und verdächtige interne Übertragungen zu erkennen – mit Zeek-Logs wie `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` und `kerberos.log`.
von mukul975
detecting-rdp-brute-force-attacks hilft bei der Analyse von Windows Security Event Logs auf RDP-Brute-Force-Muster, darunter wiederholte 4625-Fehler, 4624-Erfolge nach Fehlschlägen, NLA-bezogene Anmeldungen und Konzentration auf einzelne Quell-IPs. Geeignet für Security Audits, Threat Hunting und reproduzierbare Untersuchungen auf EVTX-Basis.
von mukul975
Die Skill detecting-t1003-credential-dumping-with-edr unterstützt Threat Hunting mit EDR, Sysmon und Windows-Event-Korrelation, um LSASS-, SAM-, NTDS.dit-, LSA-Secret- und Cache-Credential-Dumping zu erkennen. Sie eignet sich, um Alarme zu validieren, Vorfälle einzugrenzen und Fehlalarme mit praxisnaher Workflow-Anleitung zu reduzieren.
von mukul975
detecting-container-escape-with-falco-rules hilft dabei, Versuche von Container-Escapes mit Falco-Runtime-Sicherheitsregeln zu erkennen. Der Fokus liegt auf Syscall-Signalen, privilegierten Containern, Missbrauch von Host-Pfaden, Validierung und Incident-Response-Workflows für Kubernetes- und Linux-Containerumgebungen.
