Windows Security

detecting-service-account-abuse ist eine Threat-Hunting-Skill zum Aufspüren von Missbrauch von Servicekonten in Windows-, AD-, SIEM- und EDR-Telemetrie. Der Fokus liegt auf verdächtigen interaktiven Anmeldungen, Rechteausweitung, lateraler Bewegung und Zugriffsanomalien – mit Hunt-Template, Event-IDs und Workflow-Referenzen für wiederholbare Untersuchungen.

detecting-rdp-brute-force-attacks hilft bei der Analyse von Windows Security Event Logs auf RDP-Brute-Force-Muster, darunter wiederholte 4625-Fehler, 4624-Erfolge nach Fehlschlägen, NLA-bezogene Anmeldungen und Konzentration auf einzelne Quell-IPs. Geeignet für Security Audits, Threat Hunting und reproduzierbare Untersuchungen auf EVTX-Basis.

detecting-rootkit-activity ist eine Malware-Analysis-Skill zum Aufspüren von Rootkit-Indizien wie versteckten Prozessen, gehookten Systemaufrufen, veränderten Kernel-Strukturen, verborgenen Modulen und verdeckten Netzwerkspuren. Sie nutzt Cross-View-Vergleiche und Integritätsprüfungen, um verdächtige Hosts zu verifizieren, wenn Standard-Tools zu unterschiedlichen Ergebnissen kommen.

eradicating-malware-from-infected-systems ist eine Skill für die Cybersecurity-Vorfallsreaktion zur Entfernung von Malware, Backdoors und Persistenzmechanismen nach der Eindämmung. Sie bietet Workflow-Hinweise, Referenzdateien und Skripte für die Bereinigung von Windows- und Linux-Systemen, das Rotieren von Anmeldedaten, die Behebung der Ursache und die Validierung.

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

detecting-pass-the-ticket-attacks hilft dabei, Kerberos-Pass-the-Ticket-Aktivitäten zu erkennen, indem Windows Security Event IDs 4768, 4769 und 4771 korreliert werden. Nutzen Sie es für Threat Hunting in Splunk oder Elastic, um Ticket-Reuse, RC4-Downgrades und ungewöhnliche TGS-Volumina mit praxisnahen Queries und Feldhinweisen zu identifizieren.

detecting-pass-the-hash-attacks Skill zum Aufspüren von NTLM-basierter lateraler Bewegung, verdächtigen Type-3-Logons und T1550.002-Aktivität mit Windows-Sicherheitsprotokollen, Splunk und KQL.

Die Skill „detecting-evasion-techniques-in-endpoint-logs“ hilft dabei, Verteidigungsumgehung in Windows-Endpunktprotokollen aufzuspüren, darunter das Löschen von Logs, Timestomping, Prozessinjektion und das Deaktivieren von Sicherheitstools. Sie eignet sich für Threat Hunting, Detection Engineering und Incident-Triage mit Sysmon-, Windows-Security- oder EDR-Telemetrie.

detecting-living-off-the-land-with-lolbas hilft dabei, den Missbrauch von LOLBAS mit Sysmon und Windows-Ereignisprotokollen zu erkennen. Dafür nutzt es Prozess-Telemetrie, Parent-Child-Kontext, Sigma-Regeln und eine praxisnahe Anleitung für Triage, Hunting und das Entwerfen von Regeln. Es unterstützt detecting-living-off-the-land-with-lolbas bei Threat Modeling und Analysten-Workflows rund um certutil, regsvr32, mshta und rundll32.

detecting-golden-ticket-forgery erkennt die Fälschung von Kerberos Golden Tickets durch die Analyse von Windows Event ID 4769, der Nutzung von RC4-Downgrades (0x17), untypischen Ticket-Laufzeiten und krbtgt-Anomalien in Splunk und Elastic. Entwickelt für Security Audits, Incident Investigations und Threat Hunting mit praxisnahen Hinweisen zur Erkennung.

detecting-dll-sideloading-attacks unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, DLL-Sideloading mit Sysmon, EDR, MDE und Splunk zu erkennen. Dieser Guide zu detecting-dll-sideloading-attacks enthält Workflow-Notizen, Hunt-Templates, Standards-Mapping und Skripte, um verdächtige DLL-Ladevorgänge in wiederholbare Detektionen zu überführen.

Der Skill detecting-credential-dumping-techniques hilft dir dabei, LSASS-Zugriffe, SAM-Exporte, den Diebstahl von NTDS.dit und den Missbrauch von comsvcs.dll MiniDump mithilfe von Sysmon Event ID 10, Windows-Sicherheitsprotokollen und SIEM-Korrelationsregeln zu erkennen. Er ist für Threat Hunting, Detection Engineering und Security-Audit-Workflows konzipiert.

deploying-active-directory-honeytokens hilft Verteidigern dabei, Active Directory Honeytokens für Security-Audit-Aufgaben zu planen und zu erzeugen – darunter gefälschte privilegierte Konten, gefälschte SPNs zur Erkennung von Kerberoasting, Lockvogel-GPO-Fallen und täuschende BloodHound-Pfade. Es verbindet installierungsorientierte Hinweise mit Skripten und Telemetrie-Signalen für eine praxisnahe Bereitstellung und Prüfung.

configuring-windows-defender-advanced-settings Skill für die Härtung von Microsoft Defender for Endpoint. Behandelt ASR-Regeln, kontrollierten Ordnerzugriff, Netzwerkschutz, Exploit Protection, Deployment-Planung und eine Audit-first-Rollout-Strategie für Security Engineers, IT-Admins und Security-Audit-Workflows.