Cybersecurity

detecting-shadow-it-cloud-usage hilft dabei, nicht autorisierte SaaS- und Cloud-Nutzung anhand von Proxy-Logs, DNS-Queries und Netflow zu erkennen. Es klassifiziert Domains, vergleicht sie mit freigegebenen Listen und unterstützt Security-Audit-Workflows mit strukturierten Belegen aus dem detecting-shadow-it-cloud-usage skill guide.

Die Skill "detecting-network-anomalies-with-zeek" hilft dabei, Zeek für passives Netzwerk-Monitoring bereitzustellen, strukturierte Logs auszuwerten und eigene Erkennungen für Beaconing, DNS-Tunneling und ungewöhnliche Protokollaktivitäten zu entwickeln. Sie eignet sich für Threat Hunting, Incident Response, SIEM-fähige Netzwerkmetadaten und Security-Audit-Workflows – nicht für Inline-Prevention.

detecting-beaconing-patterns-with-zeek hilft dabei, Intervalle in Zeek-`conn.log` zu analysieren, um C2-ähnliches Beaconing zu erkennen. Es nutzt ZAT, gruppiert Verbindungen nach Quelle, Ziel und Port und bewertet Muster mit geringer Jitter-Varianz anhand statistischer Prüfungen. Ideal für SOC, Threat Hunting, Incident Response und die Nutzung von detecting-beaconing-patterns-with-zeek in Security-Audit-Workflows.

building-patch-tuesday-response-process hilft Teams dabei, einen wiederholbaren Microsoft Patch Tuesday-Prozess aufzubauen, um Advisories zu triagieren, Risiken zu priorisieren, Patches zu testen, Rollouts freizugeben und Compliance nachzuverfolgen. Nützlich für Security Operations, Vulnerability Management und building-patch-tuesday-response-process für Projektmanagement.

analyzing-supply-chain-malware-artifacts ist eine Malware-Analyse-Skill für das Nachverfolgen von trojanisierten Updates, kompromittierten Abhängigkeiten und Manipulationen in Build-Pipelines. Nutzen Sie sie, um vertrauenswürdige und unzuverlässige Artefakte zu vergleichen, Indikatoren zu extrahieren, den Umfang einer Kompromittierung einzuschätzen und Ergebnisse mit weniger Rätselraten zu berichten.

Die Skill für generating-threat-intelligence-reports wandelt analysierte Cyberdaten in strategische, operative, taktische oder Flash-Threat-Intelligence-Reports für Führungskräfte, SOC-Teams, IR-Leads und Analysten um. Sie unterstützt fertige Intelligence-Produkte, Confidence-Sprache, TLP-Kennzeichnung und klare Empfehlungen für das Report Writing.

evaluating-threat-intelligence-platforms hilft dir, TIP-Produkte nach Feed-Ingestion, STIX/TAXII-Unterstützung, Automatisierung, Analysten-Workflow, Integrationen und Total Cost of Ownership zu vergleichen. Nutze diesen evaluating-threat-intelligence-platforms-Leitfaden für Beschaffung, Migration oder Reifegradplanung, einschließlich evaluating-threat-intelligence-platforms für Threat Modeling, wenn die Plattformwahl Rückverfolgbarkeit und Evidenzweitergabe beeinflusst.

detecting-living-off-the-land-with-lolbas hilft dabei, den Missbrauch von LOLBAS mit Sysmon und Windows-Ereignisprotokollen zu erkennen. Dafür nutzt es Prozess-Telemetrie, Parent-Child-Kontext, Sigma-Regeln und eine praxisnahe Anleitung für Triage, Hunting und das Entwerfen von Regeln. Es unterstützt detecting-living-off-the-land-with-lolbas bei Threat Modeling und Analysten-Workflows rund um certutil, regsvr32, mshta und rundll32.

Skill zur Erkennung von Living-off-the-Land-Angriffen für Security Audits, Threat Hunting und Incident Response. Erkennen Sie den Missbrauch legitimer Windows-Binaries wie certutil, mshta, rundll32 und regsvr32 anhand von Prozessstarts, Kommandozeilen- und Parent-Child-Telemetrie. Der Leitfaden konzentriert sich auf umsetzbare LOLBin-Erkennungsmuster und nicht auf allgemeine Windows-Härtung.

detecting-lateral-movement-in-network hilft dabei, laterale Bewegung nach einer Kompromittierung in Unternehmensnetzwerken zu erkennen – mithilfe von Windows-Ereignisprotokollen, Zeek-Telemetrie, SMB, RDP und SIEM-Korrelation. Das ist nützlich für Threat Hunting, Incident Response und detecting-lateral-movement-in-network im Rahmen von Security-Audit-Prüfungen mit praxisnahen Detection-Workflows.

detecting-golden-ticket-forgery erkennt die Fälschung von Kerberos Golden Tickets durch die Analyse von Windows Event ID 4769, der Nutzung von RC4-Downgrades (0x17), untypischen Ticket-Laufzeiten und krbtgt-Anomalien in Splunk und Elastic. Entwickelt für Security Audits, Incident Investigations und Threat Hunting mit praxisnahen Hinweisen zur Erkennung.

detecting-dll-sideloading-attacks unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, DLL-Sideloading mit Sysmon, EDR, MDE und Splunk zu erkennen. Dieser Guide zu detecting-dll-sideloading-attacks enthält Workflow-Notizen, Hunt-Templates, Standards-Mapping und Skripte, um verdächtige DLL-Ladevorgänge in wiederholbare Detektionen zu überführen.

detecting-deepfake-audio-in-vishing-attacks unterstützt Security-Teams dabei, Audio in Fällen von Vishing, Betrug und Identitätsmissbrauch auf KI-generierte Sprache zu analysieren. Das Skill extrahiert spektrale und MFCC-basierte Merkmale, bewertet verdächtige Samples und erstellt einen forensisch anmutenden Bericht zur Prüfung. Ideal für Security-Audit- und Incident-Response-Workflows.

Der Skill detecting-credential-dumping-techniques hilft dir dabei, LSASS-Zugriffe, SAM-Exporte, den Diebstahl von NTDS.dit und den Missbrauch von comsvcs.dll MiniDump mithilfe von Sysmon Event ID 10, Windows-Sicherheitsprotokollen und SIEM-Korrelationsregeln zu erkennen. Er ist für Threat Hunting, Detection Engineering und Security-Audit-Workflows konzipiert.

detecting-attacks-on-historian-servers hilft dabei, verdächtige Aktivitäten auf OT-Historian-Servern wie OSIsoft PI, Ignition und Wonderware an der IT/OT-Grenze zu erkennen. Nutzen Sie diesen Leitfaden zu detecting-attacks-on-historian-servers für Incident Response, unautorisierte Abfragen, Datenmanipulation, API-Missbrauch und die Triage von Lateralmovement.

detecting-api-enumeration-attacks unterstützt Security-Audit-Teams dabei, API-Probing, BOLA und IDOR zu erkennen, indem sequenzielle IDs, 404-Serien, Autorisierungsfehler und Pfade zur Dokumenten-Entdeckung analysiert werden. Die Skill ist auf loggestützte Erkennungsleitlinien, das Entwerfen von Regeln und die praktische Bewertung von API-Missbrauchsmustern ausgelegt.

correlating-threat-campaigns hilft Threat-Intelligence-Analysten dabei, Incidents, IOCs und TTPs zu kampagnenbezogenen Belegen zusammenzuführen. Nutzen Sie es, um historische Ereignisse zu vergleichen, starke Zusammenhänge von schwachen Treffern zu trennen und belastbare Cluster für MISP, SIEM und CTI-Reports aufzubauen.

Die Fähigkeit „configuring-pfsense-firewall-rules“ hilft Ihnen, pfSense-Regeln für Segmentierung, NAT, VPN-Zugriff und Traffic Shaping zu entwerfen. Sie eignet sich zum Erstellen oder Prüfen von Firewall-Richtlinien für LAN-, DMZ-, Gast- und IoT-Zonen und bietet praxisnahe Hinweise zu Installation, Nutzung und Security-Audit-Workflows.

configuring-ldap-security-hardening hilft Security Engineers und Auditoren dabei, LDAP-Risiken zu bewerten – darunter anonyme Bindings, schwache Signierung, fehlendes LDAPS und Lücken beim Channel Binding. Nutze diesen configuring-ldap-security-hardening-Guide, um die Referenzdokumente zu prüfen, den Python-Audit-Helper auszuführen und umsetzbare Maßnahmen für ein Security Audit abzuleiten.

conducting-pass-the-ticket-attack ist eine Skill für Security Audits und Red-Team-Arbeiten zum Planen und Dokumentieren von Pass-the-Ticket-Workflows. Sie hilft dabei, Kerberos-Tickets zu prüfen, Erkennungssignale zuzuordnen und mit der conducting-pass-the-ticket-attack Skill einen strukturierten Ablauf für Validierung oder Bericht zu erstellen.

conducting-memory-forensics-with-volatility hilft dir, RAM-Dumps mit Volatility 3 zu analysieren, um eingeschleusten Code, verdächtige Prozesse, Netzwerkverbindungen, Credential-Diebstahl und versteckte Kernel-Aktivität zu finden. Es ist ein praktischer conducting-memory-forensics-with-volatility-Skill für Digital Forensics und Incident-Response-Triage.

Skill conducting-external-reconnaissance-with-osint für passives externes Footprinting, die Abbildung der Angriffsfläche und die Vorbereitung von Security Audits mithilfe öffentlicher Quellen wie DNS, crt.sh, Shodan, GitHub und Leak-Daten. Ausgelegt für autorisierte Reconnaissance mit klarer Scope-Kontrolle, Trennung der Quellen und praxisnahen Ergebnissen.

Leitfaden zu conducting-domain-persistence-with-dcsync für autorisierte Sicherheitsprüfungen in Active Directory. Erfahren Sie, wie Installation, Nutzung und Ablauf funktionieren, um DCSync-Berechtigungen, KRBTGT-Exposition, Golden-Ticket-Risiken und geeignete Remediationsschritte mit den enthaltenen Skripten, Referenzen und der Berichtsvorlage zu bewerten.

conducting-api-security-testing unterstützt autorisierte Tester dabei, REST-, GraphQL- und gRPC-APIs auf Authentifizierung, Autorisierung, Rate Limiting, Eingabevalidierung und Business-Logic-Fehler mithilfe eines OWASP API Security Top 10-Workflows zu prüfen. Nutzen Sie es für strukturiertes, evidenzbasiertes API-Security-Testing und für Security-Audit-Reviews.