Splunk

detecting-service-account-abuse ist eine Threat-Hunting-Skill zum Aufspüren von Missbrauch von Servicekonten in Windows-, AD-, SIEM- und EDR-Telemetrie. Der Fokus liegt auf verdächtigen interaktiven Anmeldungen, Rechteausweitung, lateraler Bewegung und Zugriffsanomalien – mit Hunt-Template, Event-IDs und Workflow-Referenzen für wiederholbare Untersuchungen.

detecting-azure-service-principal-abuse hilft dabei, verdächtige Aktivitäten von Microsoft Entra ID Service Principals in Azure zu erkennen, zu untersuchen und zu dokumentieren. Nutzen Sie es für Security Audits, Cloud Incident Response und Threat Hunting, um Änderungen an Anmeldeinformationen, Missbrauch von Admin-Zustimmungen, Rollenzuweisungen, Besitzpfade und Anomalien bei Anmeldungen zu prüfen.

analyzing-security-logs-with-splunk unterstützt bei der Untersuchung von Sicherheitsvorfällen in Splunk, indem Windows-, Firewall-, Proxy- und Authentifizierungs-Logs zu Zeitleisten und Belegen korreliert werden. Diese analyzing-security-logs-with-splunk Skill ist ein praxisnaher Leitfaden für Security Audits, Incident Response und Threat Hunting.

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

detecting-pass-the-ticket-attacks hilft dabei, Kerberos-Pass-the-Ticket-Aktivitäten zu erkennen, indem Windows Security Event IDs 4768, 4769 und 4771 korreliert werden. Nutzen Sie es für Threat Hunting in Splunk oder Elastic, um Ticket-Reuse, RC4-Downgrades und ungewöhnliche TGS-Volumina mit praxisnahen Queries und Feldhinweisen zu identifizieren.

detecting-pass-the-hash-attacks Skill zum Aufspüren von NTLM-basierter lateraler Bewegung, verdächtigen Type-3-Logons und T1550.002-Aktivität mit Windows-Sicherheitsprotokollen, Splunk und KQL.

detecting-lateral-movement-in-network hilft dabei, laterale Bewegung nach einer Kompromittierung in Unternehmensnetzwerken zu erkennen – mithilfe von Windows-Ereignisprotokollen, Zeek-Telemetrie, SMB, RDP und SIEM-Korrelation. Das ist nützlich für Threat Hunting, Incident Response und detecting-lateral-movement-in-network im Rahmen von Security-Audit-Prüfungen mit praxisnahen Detection-Workflows.

Die Skill-Lösung detecting-kerberoasting-attacks unterstützt bei der Jagd auf Kerberoasting, indem sie verdächtige Kerberos-TGS-Anfragen, schwache Ticket-Verschlüsselung und typische Muster von Service-Accounts erkennt. Sie eignet sich für SIEM-, EDR- und EVTX-Analysen sowie für Threat-Modeling-Workflows mit praxistauglichen Detection-Templates und Hinweisen zum Tuning.

detecting-insider-threat-behaviors hilft Analysten dabei, Insider-Risikosignale wie ungewöhnlichen Datenzugriff, Aktivitäten außerhalb der Arbeitszeiten, Massendownloads, Missbrauch von Berechtigungen und an Kündigung gekoppelte Datendiebstähle aufzuspüren. Nutzen Sie diesen detecting-insider-threat-behaviors-Guide für Threat Hunting, UEBA-ähnliches Triage und Threat Modeling mit Workflow-Vorlagen, SIEM-Abfragebeispielen und Risikogewichtungen.

detecting-golden-ticket-forgery erkennt die Fälschung von Kerberos Golden Tickets durch die Analyse von Windows Event ID 4769, der Nutzung von RC4-Downgrades (0x17), untypischen Ticket-Laufzeiten und krbtgt-Anomalien in Splunk und Elastic. Entwickelt für Security Audits, Incident Investigations und Threat Hunting mit praxisnahen Hinweisen zur Erkennung.

Das Skill „detecting-email-forwarding-rules-attack“ unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, bösartige Weiterleitungsregeln in Mailboxen zu finden, die für Persistenz und E-Mail-Abgriff missbraucht werden. Es führt Analysten durch Belege aus Microsoft 365 und Exchange, verdächtige Regelmuster sowie praxisnahe Triage für Weiterleitungs-, Umleitungs-, Lösch- und Verbergungsverhalten.

detecting-dll-sideloading-attacks unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, DLL-Sideloading mit Sysmon, EDR, MDE und Splunk zu erkennen. Dieser Guide zu detecting-dll-sideloading-attacks enthält Workflow-Notizen, Hunt-Templates, Standards-Mapping und Skripte, um verdächtige DLL-Ladevorgänge in wiederholbare Detektionen zu überführen.

deploying-edr-agent-with-crowdstrike hilft bei der Planung, Installation und Verifizierung des Rollouts des CrowdStrike Falcon Sensors auf Windows-, macOS- und Linux-Endpunkten. Verwenden Sie diese Skill für Installationshinweise, Policy-Setup, die SIEM-Integration von Telemetrie und die Vorbereitung auf Incident Response.

building-threat-hunt-hypothesis-framework hilft dir dabei, aus Threat Intelligence, ATT&CK-Mapping und Telemetrie testbare Threat-Hunt-Hypothesen abzuleiten. Nutze diese building-threat-hunt-hypothesis-framework Skill, um Hunts zu planen, Datenquellen zuzuordnen, Abfragen auszuführen und Erkenntnisse für das Threat Hunting sowie für building-threat-hunt-hypothesis-framework im Threat Modeling zu dokumentieren.

Die Skill "building-soc-metrics-and-kpi-tracking" verwandelt SOC-Aktivitätsdaten in KPIs wie MTTD, MTTR, Alarmqualität, Analystenproduktivität und Erkennungsabdeckung. Sie eignet sich für SOC-Leitung, Security Operations und Observability-Teams, die belastbare Berichte, Trendanalysen und managementtaugliche Kennzahlen auf Basis von Splunk-Workflows benötigen.

building-incident-response-dashboard hilft Teams, Echtzeit-Dashboards für die Incident Response in Splunk, Elastic oder Grafana aufzubauen – für das aktive Incident-Tracking, den Containment-Status, betroffene Assets, die Verbreitung von IOCs und Reaktionszeitpläne. Verwenden Sie diese building-incident-response-dashboard-Fähigkeit, wenn Sie ein fokussiertes Dashboard für SOC-Analysten, Incident Commander und die Führungsebene benötigen.

building-detection-rules-with-sigma hilft Analysten dabei, aus Threat Intel oder Vendor-Regeln portable Sigma-Detection-Regeln zu erstellen, sie MITRE ATT&CK zuzuordnen und sie für SIEMs wie Splunk, Elastic und Microsoft Sentinel zu konvertieren. Nutzen Sie diesen building-detection-rules-with-sigma Leitfaden für Security-Audit-Workflows, Standardisierung und Detection as Code.

building-detection-rule-with-splunk-spl unterstützt SOC-Analysten und Detection Engineers dabei, Splunk-SPL-Korrelationssuchen für Threat Detection, Tuning und Security-Audit-Reviews zu erstellen. Nutze es, um aus einem Detection-Brief eine einsetzbare Regel mit MITRE-Mapping, Enrichment und Validierungshinweisen zu machen.

Die Skill "analyzing-windows-event-logs-in-splunk" hilft SOC-Analysten dabei, Windows-Sicherheits-, System- und Sysmon-Logs in Splunk auf Authentifizierungsangriffe, Privilegieneskalation, Persistenz und laterale Bewegung zu untersuchen. Nutzen Sie sie für Incident-Triage, Detection Engineering und Zeitachsenanalysen mit zugeordneten SPL-Mustern und Hinweisen zu Event-IDs.

analyzing-dns-logs-for-exfiltration hilft SOC-Analysten dabei, DNS-Tunneling, DGA-ähnliche Domains, TXT-Missbrauch und verdeckte C2-Muster in SIEM- oder Zeek-Logs zu erkennen. Nutzen Sie es für Security-Audit-Workflows, wenn Sie Entropieanalysen, Auffälligkeiten bei Anfragevolumen und praxisnahe Triage-Hinweise benötigen.