Blue Team

detecting-lateral-movement-with-zeek es una habilidad de ciberseguridad basada en Zeek para threat hunting y respuesta a incidentes. Ayuda a detectar acceso a recursos compartidos de administración SMB, creación de servicios DCE/RPC, spray de NTLM, anomalías de Kerberos y transferencias internas sospechosas usando logs de Zeek como conn.log, smb_mapping.log, smb_files.log, dce_rpc.log, ntlm.log y kerberos.log.

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Skill detecting-t1003-credential-dumping-with-edr para threat hunting con EDR, Sysmon y correlación de eventos de Windows para detectar volcado de credenciales de LSASS, SAM, NTDS.dit, secretos de LSA y credenciales en caché. Úsalo para validar alertas, acotar incidentes y reducir falsos positivos con una guía práctica de trabajo.

detecting-container-escape-with-falco-rules ayuda a detectar intentos de escape de contenedores con reglas de seguridad en tiempo de ejecución de Falco. Se centra en señales de syscall, contenedores privilegiados, abuso de rutas del host, validación y flujos de respuesta ante incidentes para entornos de Kubernetes y contenedores Linux.