Incident Response

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

La skill de detectar anomalías de red con Zeek ayuda a desplegar Zeek para la monitorización pasiva de redes, revisar logs estructurados y crear detecciones personalizadas para beaconing, DNS tunneling y actividad inusual de protocolos. Está pensada para threat hunting, respuesta a incidentes, metadatos de red listos para SIEM y flujos de trabajo de auditoría de seguridad; no para prevención en línea.

detecting-modbus-command-injection-attacks ayuda a los analistas de seguridad a identificar actividad sospechosa de escritura en Modbus TCP/RTU, códigos de función anómalos, tramas mal formadas y desviaciones de la línea base en entornos ICS y SCADA. Úsalo para triaje de incidentes, monitorización OT y auditorías de seguridad cuando necesites orientación de detección específica de Modbus, no una indicación genérica de anomalías.

La skill de detección de BEC ayuda a analistas, equipos SOC y responsables de respuesta a incidentes a identificar intentos de Business Email Compromise (BEC) mediante comprobaciones de encabezados de correo, indicios de ingeniería social, lógica de detección y flujos de trabajo orientados a la respuesta. Úsala como una guía práctica de detección de BEC para tareas de triaje, validación y contención.

detecting-azure-lateral-movement ayuda a analistas de seguridad a buscar movimiento lateral en Azure AD/Entra ID y Microsoft Sentinel usando registros de auditoría de Microsoft Graph, telemetría de inicio de sesión y correlación KQL. Úsalo para triage de incidentes, ingeniería de detecciones y flujos de auditoría de seguridad que abarcan abuso de consentimiento, uso indebido de service principals, robo de tokens y pivoteo entre tenant.

Guía de configuración de la detección de intrusiones en hosts para montar HIDS con Wazuh, OSSEC o AIDE y supervisar la integridad de archivos, los cambios del sistema y la seguridad de endpoints orientada al cumplimiento en flujos de trabajo de auditoría de seguridad.

hunting-advanced-persistent-threats es una skill de threat hunting para detectar actividad de estilo APT en telemetría de endpoint, red y memoria. Ayuda a los analistas a construir búsquedas guiadas por hipótesis, mapear hallazgos a MITRE ATT&CK y convertir la inteligencia de amenazas en consultas prácticas y pasos de investigación, en lugar de búsquedas improvisadas.

extracting-windows-event-logs-artifacts te ayuda a extraer, analizar y examinar Windows Event Logs (EVTX) para forense digital, respuesta a incidentes y threat hunting. Permite revisar de forma estructurada inicios de sesión, creación de procesos, instalaciones de servicios, tareas programadas, cambios de privilegios y borrado de registros con Chainsaw, Hayabusa y EvtxECmd.

Guía de extracting-memory-artifacts-with-rekall para analizar imágenes de memoria de Windows con Rekall. Aprende patrones de instalación y uso para detectar procesos ocultos, código inyectado, VAD sospechosos, DLL cargadas y actividad de red en tareas de informática forense digital.

La skill extracting-credentials-from-memory-dump ayuda a analizar volcados de memoria de Windows para extraer hashes NTLM, secretos de LSA, material de Kerberos y tokens mediante flujos de trabajo con Volatility 3 y pypykatz. Está pensada para análisis forense digital y respuesta a incidentes cuando necesitas evidencia sólida, evaluar el impacto en cuentas y obtener orientación de remediación a partir de un volcado válido.

extracting-browser-history-artifacts es una skill de Forense Digital para extraer historial, cookies, caché, descargas y marcadores de Chrome, Firefox y Edge. Úsala para convertir archivos de perfil del navegador en evidencia lista para líneas de tiempo, con una guía de trabajo repetible y centrada en el caso.

executing-red-team-exercise es una habilidad de ciberseguridad para planificar y hacer seguimiento de ejercicios realistas de red team. Permite emulación de adversarios en tareas de reconocimiento, selección de técnicas, ejecución y revisión de brechas de detección, por lo que resulta útil para trabajos de auditoría de seguridad y evaluaciones alineadas con ATT&CK.

eradicating-malware-from-infected-systems es una skill de respuesta a incidentes de ciberseguridad para eliminar malware, backdoors y mecanismos de persistencia después de contener el incidente. Incluye orientación de flujo de trabajo, archivos de referencia y scripts para la limpieza en Windows y Linux, la rotación de credenciales, la remediación de la causa raíz y la validación.

La skill detecting-wmi-persistence ayuda a analistas de threat hunting y DFIR a detectar la persistencia de suscripciones de eventos WMI en telemetría de Windows usando los Event IDs 19, 20 y 21 de Sysmon. Úsala para identificar actividad maliciosa de EventFilter, EventConsumer y FilterToConsumerBinding, validar hallazgos y distinguir la persistencia de un atacante de la automatización administrativa legítima.

Skill de detección de ataques a la cadena de suministro en CI/CD para auditar GitHub Actions y configuraciones de CI/CD. Ayuda a detectar acciones sin fijar versión, inyección de scripts, confusión de dependencias, exposición de secretos y permisos riesgosos en flujos de trabajo de auditoría de seguridad. Úsalo para revisar un repositorio, un archivo de workflow o un cambio sospechoso en un pipeline con hallazgos y correcciones claras.

La habilidad detecting-stuxnet-style-attacks ayuda a los defensores a detectar patrones de intrusión OT e ICS al estilo Stuxnet, incluyendo manipulación de la lógica de PLC, datos de sensores suplantados, compromiso de estaciones de trabajo de ingeniería y movimiento lateral de IT a OT. Úsala para threat hunting, triaje de incidentes y monitoreo de la integridad de procesos con evidencia de protocolos, hosts y procesos.

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.