Siem

detecting-rdp-brute-force-attacks hilft bei der Analyse von Windows Security Event Logs auf RDP-Brute-Force-Muster, darunter wiederholte 4625-Fehler, 4624-Erfolge nach Fehlschlägen, NLA-bezogene Anmeldungen und Konzentration auf einzelne Quell-IPs. Geeignet für Security Audits, Threat Hunting und reproduzierbare Untersuchungen auf EVTX-Basis.

Leitfaden zur Konfiguration von hostbasierter Intrusion Detection mit Wazuh, OSSEC oder AIDE für die Überwachung von Dateiintegrität, Systemänderungen und complianceorientierter Endpunktsicherheit in Security-Audit-Workflows.

analyzing-security-logs-with-splunk unterstützt bei der Untersuchung von Sicherheitsvorfällen in Splunk, indem Windows-, Firewall-, Proxy- und Authentifizierungs-Logs zu Zeitleisten und Belegen korreliert werden. Diese analyzing-security-logs-with-splunk Skill ist ein praxisnaher Leitfaden für Security Audits, Incident Response und Threat Hunting.

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Skill zur Erkennung von Living-off-the-Land-Angriffen für Security Audits, Threat Hunting und Incident Response. Erkennen Sie den Missbrauch legitimer Windows-Binaries wie certutil, mshta, rundll32 und regsvr32 anhand von Prozessstarts, Kommandozeilen- und Parent-Child-Telemetrie. Der Leitfaden konzentriert sich auf umsetzbare LOLBin-Erkennungsmuster und nicht auf allgemeine Windows-Härtung.

detecting-lateral-movement-in-network hilft dabei, laterale Bewegung nach einer Kompromittierung in Unternehmensnetzwerken zu erkennen – mithilfe von Windows-Ereignisprotokollen, Zeek-Telemetrie, SMB, RDP und SIEM-Korrelation. Das ist nützlich für Threat Hunting, Incident Response und detecting-lateral-movement-in-network im Rahmen von Security-Audit-Prüfungen mit praxisnahen Detection-Workflows.

Die Skill-Lösung detecting-kerberoasting-attacks unterstützt bei der Jagd auf Kerberoasting, indem sie verdächtige Kerberos-TGS-Anfragen, schwache Ticket-Verschlüsselung und typische Muster von Service-Accounts erkennt. Sie eignet sich für SIEM-, EDR- und EVTX-Analysen sowie für Threat-Modeling-Workflows mit praxistauglichen Detection-Templates und Hinweisen zum Tuning.

detecting-insider-threat-with-ueba hilft dir, UEBA-Erkennungen in Elasticsearch oder OpenSearch für Insider-Threat-Fälle aufzubauen – inklusive Verhaltens-Baselines, Anomalie-Scoring, Peer-Group-Analysen und korrelierten Alerts für Datenabfluss, Missbrauch von Berechtigungen und unautorisierten Zugriff. Es passt zu detecting-insider-threat-with-ueba für Incident-Response-Workflows.

detecting-insider-threat-behaviors hilft Analysten dabei, Insider-Risikosignale wie ungewöhnlichen Datenzugriff, Aktivitäten außerhalb der Arbeitszeiten, Massendownloads, Missbrauch von Berechtigungen und an Kündigung gekoppelte Datendiebstähle aufzuspüren. Nutzen Sie diesen detecting-insider-threat-behaviors-Guide für Threat Hunting, UEBA-ähnliches Triage und Threat Modeling mit Workflow-Vorlagen, SIEM-Abfragebeispielen und Risikogewichtungen.

detecting-fileless-attacks-on-endpoints hilft beim Aufbau von Erkennungen für speicherbasierte Angriffe auf Windows-Endpunkten, darunter PowerShell-Missbrauch, WMI-Persistenz, reflektives Laden und Prozessinjektion. Nutzen Sie es für Security Audit, Threat Hunting und Detection Engineering mit Sysmon-, AMSI- und PowerShell-Logging.

Das Skill „detecting-email-forwarding-rules-attack“ unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, bösartige Weiterleitungsregeln in Mailboxen zu finden, die für Persistenz und E-Mail-Abgriff missbraucht werden. Es führt Analysten durch Belege aus Microsoft 365 und Exchange, verdächtige Regelmuster sowie praxisnahe Triage für Weiterleitungs-, Umleitungs-, Lösch- und Verbergungsverhalten.

detecting-attacks-on-scada-systems ist ein Cybersecurity-Skill zum Erkennen von Angriffen auf SCADA- sowie OT/ICS-Umgebungen. Er unterstützt bei der Analyse von Missbrauch industrieller Protokolle, unautorisierten PLC-Befehlen, HMI-Kompromittierung, Manipulation von Historian-Daten und Denial-of-Service – mit praxisnahen Hinweisen für Incident Response und die Validierung von Detection-Regeln.

detecting-anomalous-authentication-patterns hilft bei der Analyse von Authentifizierungs-Logs auf Impossible Travel, Brute Force, Password Spraying, Credential Stuffing und Aktivitäten kompromittierter Konten. Entwickelt für Security Audit-, SOC-, IAM- und Incident-Response-Workflows mit baselinebewusster Erkennung und belegter Sign-in-Analyse.

Leitfaden zu deploying-osquery-for-endpoint-monitoring für die Bereitstellung und Konfiguration von osquery für Endpoint-Transparenz, flächendeckendes Monitoring und SQL-gestütztes Threat Hunting. Nutzen Sie ihn, um die Installation zu planen, den Workflow und die API-Referenzen nachzuvollziehen und geplante Abfragen, Log-Erfassung sowie die zentrale Auswertung auf Windows-, macOS- und Linux-Endpoints zu operationalisieren.

deploying-edr-agent-with-crowdstrike hilft bei der Planung, Installation und Verifizierung des Rollouts des CrowdStrike Falcon Sensors auf Windows-, macOS- und Linux-Endpunkten. Verwenden Sie diese Skill für Installationshinweise, Policy-Setup, die SIEM-Integration von Telemetrie und die Vorbereitung auf Incident Response.

correlating-security-events-in-qradar unterstützt SOC- und Detection-Teams dabei, IBM QRadar Offenses mit AQL, Offense-Kontext, Custom Rules und Referenzdaten zu korrelieren. Nutzen Sie diesen Leitfaden, um Vorfälle zu untersuchen, False Positives zu reduzieren und stärkere Korrelationslogik für Incident Response aufzubauen.

Die Skill „configuring-suricata-for-network-monitoring“ unterstützt beim Einrichten und Feinabstimmen von Suricata für IDS/IPS-Monitoring, EVE-JSON-Logging, Regelverwaltung und SIEM-taugliche Ausgaben. Sie eignet sich für den Workflow „configuring-suricata-for-network-monitoring“ im Rahmen eines Security-Audit, wenn praktische Einrichtung, Validierung und die Reduktion von False Positives gefragt sind.

conducting-malware-incident-response unterstützt IR-Teams dabei, verdächtige Malware zu priorisieren, Infektionen zu bestätigen, die Ausbreitung einzugrenzen, Endpunkte zu isolieren und Bereinigung sowie Wiederherstellung zu unterstützen. Es ist für conducting-malware-incident-response in Incident-Response-Workflows konzipiert und verbindet evidenzbasierte Schritte, telemetriegestützte Entscheidungen und praxisnahe Anleitungen zur Eindämmung.

building-vulnerability-scanning-workflow hilft SOC-Teams dabei, einen wiederholbaren Prozess für Schwachstellenscans zu entwickeln – von der Erkennung und Priorisierung über das Tracking von Remediation bis hin zum Reporting über verschiedene Assets hinweg. Der Skill unterstützt Security-Audit-Use-Cases mit Scanner-Orchestrierung, KEV-bewusster Risikobewertung und praxisnahen Workflow-Hinweisen, die über einen einmaligen Scan hinausgehen.

building-threat-hunt-hypothesis-framework hilft dir dabei, aus Threat Intelligence, ATT&CK-Mapping und Telemetrie testbare Threat-Hunt-Hypothesen abzuleiten. Nutze diese building-threat-hunt-hypothesis-framework Skill, um Hunts zu planen, Datenquellen zuzuordnen, Abfragen auszuführen und Erkenntnisse für das Threat Hunting sowie für building-threat-hunt-hypothesis-framework im Threat Modeling zu dokumentieren.

building-threat-feed-aggregation-with-misp hilft Ihnen, MISP bereitzustellen, um Threat-Intelligence-Feeds zu aggregieren, zu korrelieren und zu teilen – für zentrales IOC-Management und SIEM-Integration. Dieser Skill-Guide behandelt Installations- und Nutzungsmuster, Feed-Synchronisierung, API-Aktionen und praktische Workflow-Schritte für Threat-Intelligence-Teams.

Die Skill "building-soc-metrics-and-kpi-tracking" verwandelt SOC-Aktivitätsdaten in KPIs wie MTTD, MTTR, Alarmqualität, Analystenproduktivität und Erkennungsabdeckung. Sie eignet sich für SOC-Leitung, Security Operations und Observability-Teams, die belastbare Berichte, Trendanalysen und managementtaugliche Kennzahlen auf Basis von Splunk-Workflows benötigen.

building-detection-rules-with-sigma hilft Analysten dabei, aus Threat Intel oder Vendor-Regeln portable Sigma-Detection-Regeln zu erstellen, sie MITRE ATT&CK zuzuordnen und sie für SIEMs wie Splunk, Elastic und Microsoft Sentinel zu konvertieren. Nutzen Sie diesen building-detection-rules-with-sigma Leitfaden für Security-Audit-Workflows, Standardisierung und Detection as Code.

building-detection-rule-with-splunk-spl unterstützt SOC-Analysten und Detection Engineers dabei, Splunk-SPL-Korrelationssuchen für Threat Detection, Tuning und Security-Audit-Reviews zu erstellen. Nutze es, um aus einem Detection-Brief eine einsetzbare Regel mit MITRE-Mapping, Enrichment und Validierungshinweisen zu machen.