von mukul975
Die Skill detecting-t1003-credential-dumping-with-edr unterstützt Threat Hunting mit EDR, Sysmon und Windows-Event-Korrelation, um LSASS-, SAM-, NTDS.dit-, LSA-Secret- und Cache-Credential-Dumping zu erkennen. Sie eignet sich, um Alarme zu validieren, Vorfälle einzugrenzen und Fehlalarme mit praxisnaher Workflow-Anleitung zu reduzieren.
von mukul975
detecting-dcsync-attack-in-active-directory ist eine Threat-Hunting-Fähigkeit zum Erkennen von DCSync-Missbrauch in Active Directory, indem 4662-Ereignisse, Replikations-GUIDs und legitime DC-Konten korreliert werden. Nutzen Sie sie, um Credential-Theft-Aktivitäten mit Splunk, KQL und Parsing-Skripten zu bestätigen, einzuordnen und zu dokumentieren.
von mukul975
extracting-config-from-agent-tesla-rat für Malware-Analyse: extrahiert Agent Tesla .NET-Konfigurationen, SMTP/FTP/Telegram-Anmeldedaten, Keylogger-Einstellungen und C2-Endpunkte mit einem reproduzierbaren Workflow.
