Agent Skills Finder

Microsoft Defender

Microsoft Defender skills and workflows surfaced by the site skill importer.

6 Skills
M
detecting-service-account-abuse

von mukul975

detecting-service-account-abuse ist eine Threat-Hunting-Skill zum Aufspüren von Missbrauch von Servicekonten in Windows-, AD-, SIEM- und EDR-Telemetrie. Der Fokus liegt auf verdächtigen interaktiven Anmeldungen, Rechteausweitung, lateraler Bewegung und Zugriffsanomalien – mit Hunt-Template, Event-IDs und Workflow-Referenzen für wiederholbare Untersuchungen.

Threat Hunting
Favoriten 0GitHub 6.2k
M
detecting-privilege-escalation-attempts

von mukul975

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

Threat Hunting
Favoriten 0GitHub 0
M
detecting-pass-the-hash-attacks

von mukul975

detecting-pass-the-hash-attacks Skill zum Aufspüren von NTLM-basierter lateraler Bewegung, verdächtigen Type-3-Logons und T1550.002-Aktivität mit Windows-Sicherheitsprotokollen, Splunk und KQL.

Threat Hunting
Favoriten 0GitHub 0
M
detecting-insider-threat-behaviors

von mukul975

detecting-insider-threat-behaviors hilft Analysten dabei, Insider-Risikosignale wie ungewöhnlichen Datenzugriff, Aktivitäten außerhalb der Arbeitszeiten, Massendownloads, Missbrauch von Berechtigungen und an Kündigung gekoppelte Datendiebstähle aufzuspüren. Nutzen Sie diesen detecting-insider-threat-behaviors-Guide für Threat Hunting, UEBA-ähnliches Triage und Threat Modeling mit Workflow-Vorlagen, SIEM-Abfragebeispielen und Risikogewichtungen.

Threat Modeling
Favoriten 0GitHub 0
M
detecting-fileless-attacks-on-endpoints

von mukul975

detecting-fileless-attacks-on-endpoints hilft beim Aufbau von Erkennungen für speicherbasierte Angriffe auf Windows-Endpunkten, darunter PowerShell-Missbrauch, WMI-Persistenz, reflektives Laden und Prozessinjektion. Nutzen Sie es für Security Audit, Threat Hunting und Detection Engineering mit Sysmon-, AMSI- und PowerShell-Logging.

Security Audit
Favoriten 0GitHub 0
M
containing-active-breach

von mukul975

containing-active-breach ist ein Incident-Response-Skill für die Eindämmung aktiver Sicherheitsvorfälle. Er hilft dabei, Hosts zu isolieren, verdächtigen Traffic zu blockieren, kompromittierte Konten zu deaktivieren und laterale Bewegung mit einem strukturierten containing-active-breach-Leitfaden samt praktischen API- und Skriptverweisen zu verlangsamen.

Incident Response
Favoriten 0GitHub 0