Edr

hunting-advanced-persistent-threats ist ein Threat-Hunting-Skill zur Erkennung von APT-typischer Aktivität über Endpoint-, Netzwerk- und Speicher-Telemetrie. Er unterstützt Analysten dabei, hypothesengetriebene Hunts aufzubauen, Funde mit MITRE ATT&CK zu verknüpfen und Threat Intelligence in praxisnahe Queries und Untersuchungsschritte zu übersetzen – statt in ungezielte Ad-hoc-Suchen zu verfallen.

detecting-process-hollowing-technique hilft dabei, Process Hollowing (T1055.012) in Windows-Telemetrie aufzuspüren, indem es Suspend-Starts, Speicher-Manipulation, Anomalien in Parent-Child-Beziehungen und API-Hinweise miteinander korreliert. Entwickelt für Threat Hunter, Detection Engineers und Incident Responder, die einen praxisnahen detecting-process-hollowing-technique für den Threat-Hunting-Workflow brauchen.

Die Skill „detecting-evasion-techniques-in-endpoint-logs“ hilft dabei, Verteidigungsumgehung in Windows-Endpunktprotokollen aufzuspüren, darunter das Löschen von Logs, Timestomping, Prozessinjektion und das Deaktivieren von Sicherheitstools. Sie eignet sich für Threat Hunting, Detection Engineering und Incident-Triage mit Sysmon-, Windows-Security- oder EDR-Telemetrie.

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Skill zur Erkennung von Living-off-the-Land-Angriffen für Security Audits, Threat Hunting und Incident Response. Erkennen Sie den Missbrauch legitimer Windows-Binaries wie certutil, mshta, rundll32 und regsvr32 anhand von Prozessstarts, Kommandozeilen- und Parent-Child-Telemetrie. Der Leitfaden konzentriert sich auf umsetzbare LOLBin-Erkennungsmuster und nicht auf allgemeine Windows-Härtung.

detecting-insider-threat-behaviors hilft Analysten dabei, Insider-Risikosignale wie ungewöhnlichen Datenzugriff, Aktivitäten außerhalb der Arbeitszeiten, Massendownloads, Missbrauch von Berechtigungen und an Kündigung gekoppelte Datendiebstähle aufzuspüren. Nutzen Sie diesen detecting-insider-threat-behaviors-Guide für Threat Hunting, UEBA-ähnliches Triage und Threat Modeling mit Workflow-Vorlagen, SIEM-Abfragebeispielen und Risikogewichtungen.

detecting-dll-sideloading-attacks unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, DLL-Sideloading mit Sysmon, EDR, MDE und Splunk zu erkennen. Dieser Guide zu detecting-dll-sideloading-attacks enthält Workflow-Notizen, Hunt-Templates, Standards-Mapping und Skripte, um verdächtige DLL-Ladevorgänge in wiederholbare Detektionen zu überführen.

deploying-edr-agent-with-crowdstrike hilft bei der Planung, Installation und Verifizierung des Rollouts des CrowdStrike Falcon Sensors auf Windows-, macOS- und Linux-Endpunkten. Verwenden Sie diese Skill für Installationshinweise, Policy-Setup, die SIEM-Integration von Telemetrie und die Vorbereitung auf Incident Response.

conducting-malware-incident-response unterstützt IR-Teams dabei, verdächtige Malware zu priorisieren, Infektionen zu bestätigen, die Ausbreitung einzugrenzen, Endpunkte zu isolieren und Bereinigung sowie Wiederherstellung zu unterstützen. Es ist für conducting-malware-incident-response in Incident-Response-Workflows konzipiert und verbindet evidenzbasierte Schritte, telemetriegestützte Entscheidungen und praxisnahe Anleitungen zur Eindämmung.

building-threat-hunt-hypothesis-framework hilft dir dabei, aus Threat Intelligence, ATT&CK-Mapping und Telemetrie testbare Threat-Hunt-Hypothesen abzuleiten. Nutze diese building-threat-hunt-hypothesis-framework Skill, um Hunts zu planen, Datenquellen zuzuordnen, Abfragen auszuführen und Erkenntnisse für das Threat Hunting sowie für building-threat-hunt-hypothesis-framework im Threat Modeling zu dokumentieren.