Mitre Attack

detecting-service-account-abuse ist eine Threat-Hunting-Skill zum Aufspüren von Missbrauch von Servicekonten in Windows-, AD-, SIEM- und EDR-Telemetrie. Der Fokus liegt auf verdächtigen interaktiven Anmeldungen, Rechteausweitung, lateraler Bewegung und Zugriffsanomalien – mit Hunt-Template, Event-IDs und Workflow-Referenzen für wiederholbare Untersuchungen.

analyzing-campaign-attribution-evidence hilft Analysten dabei, Infrastruktur-Überschneidungen, ATT&CK-Konsistenz, Malware-Ähnlichkeiten, Zeitbezug und sprachliche Artefakte abzuwägen, um belastbare Kampagnenzuschreibungen vorzunehmen. Nutzen Sie diesen analyzing-campaign-attribution-evidence-Leitfaden für CTI, Incident-Analysen und Security-Audit-Reviews.

hunting-advanced-persistent-threats ist ein Threat-Hunting-Skill zur Erkennung von APT-typischer Aktivität über Endpoint-, Netzwerk- und Speicher-Telemetrie. Er unterstützt Analysten dabei, hypothesengetriebene Hunts aufzubauen, Funde mit MITRE ATT&CK zu verknüpfen und Threat Intelligence in praxisnahe Queries und Untersuchungsschritte zu übersetzen – statt in ungezielte Ad-hoc-Suchen zu verfallen.

executing-red-team-exercise ist ein Cybersecurity-Skill zum Planen und Nachverfolgen realistischer Red-Team-Übungen. Er unterstützt Adversary Emulation über Aufklärung, Technikauswahl, Ausführung und die Analyse von Detection Gaps und eignet sich damit für Security-Audit-Aufgaben und ATT&CK-gestützte Assessments.

Die Skill "detecting-wmi-persistence" hilft Threat Huntern und DFIR-Analysten dabei, WMI-Ereignisabonnement-Persistenz in Windows-Telemetrie mit den Sysmon-Ereignis-IDs 19, 20 und 21 zu erkennen. Nutzen Sie sie, um bösartige Aktivitäten von EventFilter, EventConsumer und FilterToConsumerBinding zu identifizieren, Funde zu validieren und Angreifer-Persistenz von legitimer Admin-Automatisierung zu unterscheiden.

detecting-process-hollowing-technique hilft dabei, Process Hollowing (T1055.012) in Windows-Telemetrie aufzuspüren, indem es Suspend-Starts, Speicher-Manipulation, Anomalien in Parent-Child-Beziehungen und API-Hinweise miteinander korreliert. Entwickelt für Threat Hunter, Detection Engineers und Incident Responder, die einen praxisnahen detecting-process-hollowing-technique für den Threat-Hunting-Workflow brauchen.

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Skill zur Erkennung von Living-off-the-Land-Angriffen für Security Audits, Threat Hunting und Incident Response. Erkennen Sie den Missbrauch legitimer Windows-Binaries wie certutil, mshta, rundll32 und regsvr32 anhand von Prozessstarts, Kommandozeilen- und Parent-Child-Telemetrie. Der Leitfaden konzentriert sich auf umsetzbare LOLBin-Erkennungsmuster und nicht auf allgemeine Windows-Härtung.

Die Skill-Lösung detecting-kerberoasting-attacks unterstützt bei der Jagd auf Kerberoasting, indem sie verdächtige Kerberos-TGS-Anfragen, schwache Ticket-Verschlüsselung und typische Muster von Service-Accounts erkennt. Sie eignet sich für SIEM-, EDR- und EVTX-Analysen sowie für Threat-Modeling-Workflows mit praxistauglichen Detection-Templates und Hinweisen zum Tuning.

detecting-insider-threat-behaviors hilft Analysten dabei, Insider-Risikosignale wie ungewöhnlichen Datenzugriff, Aktivitäten außerhalb der Arbeitszeiten, Massendownloads, Missbrauch von Berechtigungen und an Kündigung gekoppelte Datendiebstähle aufzuspüren. Nutzen Sie diesen detecting-insider-threat-behaviors-Guide für Threat Hunting, UEBA-ähnliches Triage und Threat Modeling mit Workflow-Vorlagen, SIEM-Abfragebeispielen und Risikogewichtungen.

detecting-dll-sideloading-attacks unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, DLL-Sideloading mit Sysmon, EDR, MDE und Splunk zu erkennen. Dieser Guide zu detecting-dll-sideloading-attacks enthält Workflow-Notizen, Hunt-Templates, Standards-Mapping und Skripte, um verdächtige DLL-Ladevorgänge in wiederholbare Detektionen zu überführen.

detecting-command-and-control-over-dns ist eine Cybersecurity-Skill für das Erkennen von C2 über DNS, einschließlich Tunneling, Beaconing, DGA-Domains und Missbrauch von TXT/CNAME. Sie unterstützt SOC-Analysten, Threat Hunter und Security Audits mit Entropieprüfungen, passiver DNS-Korrelation und Erkennungs-Workflows im Stil von Zeek oder Suricata.

correlating-threat-campaigns hilft Threat-Intelligence-Analysten dabei, Incidents, IOCs und TTPs zu kampagnenbezogenen Belegen zusammenzuführen. Nutzen Sie es, um historische Ereignisse zu vergleichen, starke Zusammenhänge von schwachen Treffern zu trennen und belastbare Cluster für MISP, SIEM und CTI-Reports aufzubauen.

Der Skill conducting-post-incident-lessons-learned unterstützt Incident-Response-Teams dabei, strukturierte Nachbesprechungen durchzuführen, belastbare Zeitachsen zu erstellen, Ursachen zu identifizieren, festzuhalten, was funktioniert hat und was nicht, und jeden Vorfall mit Verantwortlichen, Fristen und Playbook-Updates in messbare Verbesserungen zu überführen.

conducting-pass-the-ticket-attack ist eine Skill für Security Audits und Red-Team-Arbeiten zum Planen und Dokumentieren von Pass-the-Ticket-Workflows. Sie hilft dabei, Kerberos-Tickets zu prüfen, Erkennungssignale zuzuordnen und mit der conducting-pass-the-ticket-attack Skill einen strukturierten Ablauf für Validierung oder Bericht zu erstellen.

conducting-cloud-penetration-testing hilft dir, autorisierte Cloud-Assessments über AWS, Azure und GCP zu planen und durchzuführen. Nutze es, um IAM-Fehlkonfigurationen, Exposition von Metadaten, öffentliche Ressourcen und Eskalationspfade zu finden und die Ergebnisse anschließend in einen Sicherheitsprüfbericht zu überführen. Es passt zum conducting-cloud-penetration-testing Skill für Security-Audit-Workflows.

Die Skill "collecting-threat-intelligence-with-misp" hilft dir, Threat Intelligence in MISP zu sammeln, zu normalisieren, zu durchsuchen und zu exportieren. Nutze diesen Guide zu collecting-threat-intelligence-with-misp für Feeds, PyMISP-Workflows, Event-Filterung, Reduzierung von Warninglists und praxisnahe collecting-threat-intelligence-with-misp für Threat Modeling und CTI-Operationen.

building-threat-intelligence-platform Skill für das Entwerfen, Bereitstellen und Prüfen einer Threat-Intelligence-Plattform mit MISP, OpenCTI, TheHive, Cortex, STIX/TAXII und Elasticsearch. Geeignet für Installationshinweise, Nutzungs-Workflows und die Planung von Security Audits, gestützt auf Repository-Referenzen und Skripte.

building-threat-hunt-hypothesis-framework hilft dir dabei, aus Threat Intelligence, ATT&CK-Mapping und Telemetrie testbare Threat-Hunt-Hypothesen abzuleiten. Nutze diese building-threat-hunt-hypothesis-framework Skill, um Hunts zu planen, Datenquellen zuzuordnen, Abfragen auszuführen und Erkenntnisse für das Threat Hunting sowie für building-threat-hunt-hypothesis-framework im Threat Modeling zu dokumentieren.

building-threat-actor-profile-from-osint hilft Threat-Intelligence-Teams dabei, OSINT in strukturierte Profile von Threat Actors zu überführen. Die Skill unterstützt das Profiling benannter Gruppen oder Kampagnen mit ATT&CK-Mapping, Infrastruktur-Korrelation, Quellen-Nachvollziehbarkeit und Confidence-Notizen für belastbare Analysen.

building-soc-playbook-for-ransomware Skill für SOC-Teams, die ein strukturiertes Playbook für die Reaktion auf Ransomware benötigen. Es behandelt Erkennungsauslöser, Eindämmung, Beseitigung, Wiederherstellung und auditfähige Abläufe, abgestimmt auf NIST SP 800-61 und MITRE ATT&CK. Nutzen Sie es für die praxisnahe Erstellung von Playbooks, Tabletop-Übungen und zur Unterstützung von Security Audits.

building-detection-rules-with-sigma hilft Analysten dabei, aus Threat Intel oder Vendor-Regeln portable Sigma-Detection-Regeln zu erstellen, sie MITRE ATT&CK zuzuordnen und sie für SIEMs wie Splunk, Elastic und Microsoft Sentinel zu konvertieren. Nutzen Sie diesen building-detection-rules-with-sigma Leitfaden für Security-Audit-Workflows, Standardisierung und Detection as Code.

building-detection-rule-with-splunk-spl unterstützt SOC-Analysten und Detection Engineers dabei, Splunk-SPL-Korrelationssuchen für Threat Detection, Tuning und Security-Audit-Reviews zu erstellen. Nutze es, um aus einem Detection-Brief eine einsetzbare Regel mit MITRE-Mapping, Enrichment und Validierungshinweisen zu machen.