detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaThreat Hunting

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-evasion-techniques-in-endpoint-logs

Puntuación editorial

Esta skill obtiene 84/100 y es una buena candidata para el directorio. Ofrece un caso de uso claro para la evasión de defensas TA0005, flujos concretos de trabajo con registros de endpoint y scripts/recursos de apoyo que reducen las dudas frente a un prompt genérico. Aun así, los usuarios del directorio deben esperar cierta fricción de adopción, porque el repositorio no muestra un comando de instalación en SKILL.md y el contenido previsualizado aparece algo fragmentado entre archivos.

84/100

Puntos fuertes

Disparo claro para investigaciones de evasión de defensas en endpoint, con casos de uso explícitos para manipulación de logs, timestomping, inyección de procesos y desactivación de herramientas de seguridad.
El soporte operativo es mejor que en una skill meramente documental: incluye flujos de trabajo, referencias y dos scripts para analizar registros de eventos de Windows / datos de tipo EVTX.
Buen valor para decidir la instalación gracias a correspondencias respaldadas por evidencia con MITRE ATT&CK, Sigma, IDs de eventos de Sysmon y patrones de detección.

Puntos a tener en cuenta

No hay un comando de instalación en SKILL.md, así que es posible que los usuarios deban inferir la configuración y el comportamiento de invocación.
La vista previa sugiere que el flujo principal está repartido entre varios archivos, lo que puede ralentizar el primer uso pese al volumen de contenido.

Endpoint Security Edr Logs Event Logs Sysmon Windows Security Detection Engineering Sigma Rules

Resumen

Resumen general de la skill de detecting-evasion-techniques-in-endpoint-logs

Qué hace esta skill

La skill detecting-evasion-techniques-in-endpoint-logs te ayuda a cazar técnicas de evasión de defensas en telemetría de endpoints Windows, especialmente actividad MITRE ATT&CK TA0005 como borrado de registros, timestomping, inyección de procesos y desactivación de herramientas de seguridad. Es especialmente útil para analistas que necesitan un flujo de detección práctico, no solo una lista de comandos sospechosos.

Quién debería instalarla

Usa la detecting-evasion-techniques-in-endpoint-logs skill si haces threat hunting, detection engineering o triaje de incidentes sobre logs de Sysmon, Windows Security o EDR. Encaja mejor cuando ya cuentas con datos de eventos del endpoint y quieres convertir una sospecha difusa en una búsqueda repetible.

Qué la hace diferente

Esta skill se apoya en IDs de evento concretos, patrones de consulta y plantillas de hunting, en lugar de consejos genéricos. El repo incluye orientación de flujo de trabajo, una plantilla de detección y ejemplos basados en scripts, lo que hace que la detecting-evasion-techniques-in-endpoint-logs skill sea más accionable que un prompt genérico para “find malicious activity”.

Cómo usar la skill detecting-evasion-techniques-in-endpoint-logs

Instálala y confirma el alcance

Instálala con npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-evasion-techniques-in-endpoint-logs. Después de la instalación, confirma que la skill se active para solicitudes de evasión de defensas en endpoints, no para evasión de red ni para reversing de malware. Si tu caso trata sobre proxying, tráfico moldeado o desempaquetado de payloads, esta skill no es la adecuada.

Empieza con las entradas correctas

Para un buen detecting-evasion-techniques-in-endpoint-logs usage, proporciona:

fuente de logs: Sysmon, Windows Security o EDR
técnica objetivo: por ejemplo T1070.001, T1055 o T1562.001
ventana temporal: últimas 24 horas frente a 30–90 días
restricciones del entorno: dominio, ruido de base, allowlists, herramientas admin conocidas

Entrada débil: “find evasion.”
Mejor entrada: “Hunt for T1070.001 log clearing in Sysmon and Security logs across the last 14 days on 200 endpoints; prioritize evidence that distinguishes admin maintenance from attacker cleanup.”

Lee primero estos archivos

Para una detecting-evasion-techniques-in-endpoint-logs guide lo más rápido posible, lee:

SKILL.md para ver alcance y disparadores
assets/template.md para el formato de salida del hunt
references/api-reference.md para IDs de evento y patrones de detección
references/workflows.md para el flujo de hunting y despliegue
references/standards.md para el contexto de ATT&CK y Sigma

Usa un flujo de trabajo primero de hunting

La detecting-evasion-techniques-in-endpoint-logs usage más fiable es: elegir una técnica, validar la cobertura de logs, ejecutar una consulta acotada y luego hacer triaje. Empieza con la plantilla de hunting, mapea la técnica a la fuente de eventos correcta y solo después amplía hacia telemetría adyacente como árboles de procesos o cambios de registro. Así mantienes manejables los falsos positivos y el resultado es más fácil de operacionalizar.

Preguntas frecuentes de la skill detecting-evasion-techniques-in-endpoint-logs

¿Es principalmente para Threat Hunting?

Sí. detecting-evasion-techniques-in-endpoint-logs for Threat Hunting es el caso de uso más claro porque la skill está construida alrededor de búsquedas guiadas por hipótesis, triaje y refinamiento de reglas. También funciona para detection engineering cuando quieres convertir hallazgos del hunt en una regla SIEM reutilizable.

¿Puedo usarla con un prompt genérico?

Puedes, pero la skill funciona mejor cuando quieres menos improvisación. Un prompt genérico puede generar consejos amplios; esta skill aporta entradas específicas por técnica, pistas sobre la fuente de eventos y un flujo de trabajo práctico que es más fácil de reutilizar entre investigaciones.

¿Cuáles son los límites?

Está centrada en telemetría de endpoint y en evasión de defensas orientada a Windows. No esperes que resuelva evasión a nivel de red, análisis forense de memoria o análisis completo de malware. Si tus logs no incluyen creación de procesos, ejecución de scripts o cambios en la hora de los archivos, el valor de detección será limitado.

¿Es apta para principiantes?

Sí, si ya manejas términos básicos de logging en endpoints. Los principiantes sacan más provecho empezando con una sola técnica, una sola fuente de datos y un solo rango temporal, en lugar de intentar cazar todos los métodos de evasión a la vez.

Cómo mejorar detecting-evasion-techniques-in-endpoint-logs

Dale a la skill un contexto de hunting más preciso

La mayor mejora de calidad viene de especificar la técnica, la plataforma y el ruido esperado. Por ejemplo, menciona wevtutil cl, Clear-EventLog, Sysmon Event ID 2 o comandos para desactivar Defender cuando sea relevante. Eso ayuda a que la detecting-evasion-techniques-in-endpoint-logs skill genere lógica de detección precisa en lugar de lenguaje de hunting demasiado amplio.

Incluye detalles de línea base y exclusiones

Si tu entorno tiene scripts de administración, herramientas de imaging, tareas de mantenimiento de EDR o agentes de backup, dilo desde el principio. Los falsos positivos suelen venir de mantenimiento legítimo de logs u ოპeraciones de seguridad, así que el mejor resultado de detecting-evasion-techniques-in-endpoint-logs install es un prompt que incluya comportamiento conocido y válido para excluir.

Itera a partir de evidencias, no de suposiciones

Después de la primera salida, refina aportando los artefactos reales: IDs de evento, líneas de comando, imágenes de origen/destino o hosts ruidosos. Pide una consulta más acotada, una lista de verificación de triaje o una versión del hunt con mayor señal. Esa es la forma más rápida de mejorar detecting-evasion-techniques-in-endpoint-logs usage sin ampliar el alcance más de la cuenta.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

Threat Hunting

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

detecting-network-anomalies-with-zeek

por mukul975

La skill de detectar anomalías de red con Zeek ayuda a desplegar Zeek para la monitorización pasiva de redes, revisar logs estructurados y crear detecciones personalizadas para beaconing, DNS tunneling y actividad inusual de protocolos. Está pensada para threat hunting, respuesta a incidentes, metadatos de red listos para SIEM y flujos de trabajo de auditoría de seguridad; no para prevención en línea.

Security Audit

Favoritos 0GitHub 6.1k