Crowdstrike

detecting-service-account-abuse ist eine Threat-Hunting-Skill zum Aufspüren von Missbrauch von Servicekonten in Windows-, AD-, SIEM- und EDR-Telemetrie. Der Fokus liegt auf verdächtigen interaktiven Anmeldungen, Rechteausweitung, lateraler Bewegung und Zugriffsanomalien – mit Hunt-Template, Event-IDs und Workflow-Referenzen für wiederholbare Untersuchungen.

detecting-fileless-attacks-on-endpoints hilft beim Aufbau von Erkennungen für speicherbasierte Angriffe auf Windows-Endpunkten, darunter PowerShell-Missbrauch, WMI-Persistenz, reflektives Laden und Prozessinjektion. Nutzen Sie es für Security Audit, Threat Hunting und Detection Engineering mit Sysmon-, AMSI- und PowerShell-Logging.

deploying-edr-agent-with-crowdstrike hilft bei der Planung, Installation und Verifizierung des Rollouts des CrowdStrike Falcon Sensors auf Windows-, macOS- und Linux-Endpunkten. Verwenden Sie diese Skill für Installationshinweise, Policy-Setup, die SIEM-Integration von Telemetrie und die Vorbereitung auf Incident Response.

containing-active-breach ist ein Incident-Response-Skill für die Eindämmung aktiver Sicherheitsvorfälle. Er hilft dabei, Hosts zu isolieren, verdächtigen Traffic zu blockieren, kompromittierte Konten zu deaktivieren und laterale Bewegung mit einem strukturierten containing-active-breach-Leitfaden samt praktischen API- und Skriptverweisen zu verlangsamen.