Elastic

detecting-service-account-abuse ist eine Threat-Hunting-Skill zum Aufspüren von Missbrauch von Servicekonten in Windows-, AD-, SIEM- und EDR-Telemetrie. Der Fokus liegt auf verdächtigen interaktiven Anmeldungen, Rechteausweitung, lateraler Bewegung und Zugriffsanomalien – mit Hunt-Template, Event-IDs und Workflow-Referenzen für wiederholbare Untersuchungen.

detecting-pass-the-ticket-attacks hilft dabei, Kerberos-Pass-the-Ticket-Aktivitäten zu erkennen, indem Windows Security Event IDs 4768, 4769 und 4771 korreliert werden. Nutzen Sie es für Threat Hunting in Splunk oder Elastic, um Ticket-Reuse, RC4-Downgrades und ungewöhnliche TGS-Volumina mit praxisnahen Queries und Feldhinweisen zu identifizieren.

deploying-edr-agent-with-crowdstrike hilft bei der Planung, Installation und Verifizierung des Rollouts des CrowdStrike Falcon Sensors auf Windows-, macOS- und Linux-Endpunkten. Verwenden Sie diese Skill für Installationshinweise, Policy-Setup, die SIEM-Integration von Telemetrie und die Vorbereitung auf Incident Response.

building-incident-response-dashboard hilft Teams, Echtzeit-Dashboards für die Incident Response in Splunk, Elastic oder Grafana aufzubauen – für das aktive Incident-Tracking, den Containment-Status, betroffene Assets, die Verbreitung von IOCs und Reaktionszeitpläne. Verwenden Sie diese building-incident-response-dashboard-Fähigkeit, wenn Sie ein fokussiertes Dashboard für SOC-Analysten, Incident Commander und die Führungsebene benötigen.

building-detection-rules-with-sigma hilft Analysten dabei, aus Threat Intel oder Vendor-Regeln portable Sigma-Detection-Regeln zu erstellen, sie MITRE ATT&CK zuzuordnen und sie für SIEMs wie Splunk, Elastic und Microsoft Sentinel zu konvertieren. Nutzen Sie diesen building-detection-rules-with-sigma Leitfaden für Security-Audit-Workflows, Standardisierung und Detection as Code.