Cybersecurity

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

La skill de detectar anomalías de red con Zeek ayuda a desplegar Zeek para la monitorización pasiva de redes, revisar logs estructurados y crear detecciones personalizadas para beaconing, DNS tunneling y actividad inusual de protocolos. Está pensada para threat hunting, respuesta a incidentes, metadatos de red listos para SIEM y flujos de trabajo de auditoría de seguridad; no para prevención en línea.

detecting-beaconing-patterns-with-zeek ayuda a analizar intervalos de `conn.log` de Zeek para detectar beaconing de estilo C2. Usa ZAT, agrupa flujos por origen, destino y puerto, y puntúa patrones de baja variación con comprobaciones estadísticas. Es ideal para SOC, threat hunting, respuesta a incidentes y flujos de trabajo de auditoría de seguridad con detecting-beaconing-patterns-with-zeek.

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

analyzing-supply-chain-malware-artifacts es una skill de análisis de malware para rastrear actualizaciones troyanizadas, dependencias envenenadas y manipulación de canales de compilación. Úsala para comparar artefactos confiables y no confiables, extraer indicadores, evaluar el alcance de la intrusión y redactar hallazgos con menos conjeturas.

La skill generating-threat-intelligence-reports convierte datos ciberanalizados en informes de inteligencia de amenazas estratégicos, operativos, tácticos o flash para ejecutivos, equipos SOC, responsables de IR y analistas. Admite inteligencia terminada, lenguaje de confianza, gestión de TLP y recomendaciones claras para Report Writing.

evaluating-threat-intelligence-platforms te ayuda a comparar productos TIP por ingesta de feeds, compatibilidad con STIX/TAXII, automatización, flujo de trabajo de analistas, integraciones y coste total de propiedad. Usa esta guía de evaluating-threat-intelligence-platforms para compras, migraciones o planificación de madurez, incluida la evaluación de evaluating-threat-intelligence-platforms para Threat Modeling cuando la elección de plataforma afecta a la trazabilidad y al intercambio de evidencias.

detecting-living-off-the-land-with-lolbas ayuda a detectar el abuso de LOLBAS con Sysmon y los registros de eventos de Windows, usando telemetría de procesos, contexto de relación padre-hijo, reglas Sigma y una guía práctica para triaje, hunting y redacción de reglas. Da soporte a detecting-living-off-the-land-with-lolbas para tareas de Threat Modeling y flujos de trabajo de analistas con certutil, regsvr32, mshta y rundll32.

Habilidad detecting-living-off-the-land-attacks para auditoría de seguridad, threat hunting y respuesta a incidentes. Detecta el abuso de binarios legítimos de Windows como certutil, mshta, rundll32 y regsvr32 mediante telemetría de creación de procesos, línea de comandos y relaciones padre-hijo. La guía se centra en patrones accionables de detección de LOLBins, no en el endurecimiento general de Windows.

detecting-lateral-movement-in-network ayuda a detectar movimientos laterales posteriores a una intrusión en redes empresariales usando registros de eventos de Windows, telemetría de Zeek, SMB, RDP y correlación en SIEM. Es útil para threat hunting, respuesta a incidentes y revisiones de Security Audit con flujos de detección prácticos.

detecting-golden-ticket-forgery detecta la falsificación de Kerberos Golden Ticket mediante el análisis del Event ID 4769 de Windows, el uso de degradación a RC4 (0x17), duraciones anómalas de los tickets y anomalías de krbtgt en Splunk y Elastic. Está pensado para auditorías de seguridad, investigación de incidentes y threat hunting, con orientación práctica para la detección.

detecting-dll-sideloading-attacks ayuda a equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a detectar la carga lateral de DLL con Sysmon, EDR, MDE y Splunk. Esta guía de detecting-dll-sideloading-attacks incluye notas de flujo de trabajo, plantillas de hunting, mapeo a estándares y scripts para convertir cargas sospechosas de DLL en detecciones repetibles.

detecting-deepfake-audio-in-vishing-attacks ayuda a los equipos de seguridad a analizar audio en busca de voz generada por IA en casos de vishing, fraude y suplantación de identidad. Extrae características espectrales y basadas en MFCC, puntúa muestras sospechosas y genera un informe de estilo forense para su revisión. Es ideal para flujos de trabajo de auditoría de seguridad y respuesta a incidentes.

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

detecting-attacks-on-historian-servers ayuda a detectar actividad sospechosa en servidores historian de OT como OSIsoft PI, Ignition y Wonderware en el límite IT/OT. Usa esta guía de detecting-attacks-on-historian-servers para respuesta a incidentes, consultas no autorizadas, manipulación de datos, abuso de API y triaje de movimiento lateral.

detecting-api-enumeration-attacks ayuda a equipos de auditoría de seguridad a detectar sondeos de API, BOLA e IDOR mediante el análisis de IDs secuenciales, ráfagas de 404, fallos de autorización y rutas de descubrimiento de documentación. Está pensada para orientar la detección basada en logs, redactar reglas y revisar de forma práctica patrones de abuso de API.

correlating-threat-campaigns ayuda a analistas de Threat Intelligence a correlacionar incidentes, IOCs y TTPs en evidencia a nivel de campaña. Úsalo para comparar eventos históricos, separar vínculos sólidos de coincidencias débiles y construir agrupaciones defendibles para informes de MISP, SIEM y CTI.

La skill configuring-pfsense-firewall-rules te ayuda a diseñar reglas de pfSense para segmentación, NAT, acceso VPN y control del tráfico. Úsala para crear o auditar políticas de firewall para zonas LAN, DMZ, invitados e IoT, con orientación práctica para instalación, uso y flujos de trabajo de Security Audit.

configuring-ldap-security-hardening ayuda a ingenieros de seguridad y auditores a evaluar riesgos de LDAP, incluido el bind anónimo, la firma débil, la ausencia de LDAPS y las brechas en channel binding. Usa esta guía de configuring-ldap-security-hardening para revisar la documentación de referencia, ejecutar el asistente de auditoría en Python y generar remediaciones prácticas para un Security Audit.

conducting-pass-the-ticket-attack es una habilidad de Auditoría de Seguridad y red team para planificar y documentar flujos de trabajo de Pass-the-Ticket. Te ayuda a revisar tickets Kerberos, mapear señales de detección y generar un flujo estructurado de validación o informe usando la habilidad conducting-pass-the-ticket-attack.

conducting-memory-forensics-with-volatility te ayuda a analizar volcados de RAM con Volatility 3 para detectar código inyectado, procesos sospechosos, conexiones de red, robo de credenciales y actividad oculta del kernel. Es una habilidad práctica de conducting-memory-forensics-with-volatility para triaje de Forense Digital y respuesta a incidentes.

Habilidad conducting-external-reconnaissance-with-osint para footprinting externo pasivo, mapeo de superficie de ataque y preparación de auditorías de seguridad usando fuentes públicas como DNS, crt.sh, Shodan, GitHub y datos filtrados. Pensada para reconocimiento autorizado, con control claro del alcance, separación de fuentes y hallazgos prácticos.

Guía de conducting-domain-persistence-with-dcsync para trabajos autorizados de auditoría de seguridad en Active Directory. Aprende notas de instalación, uso y flujo de trabajo para evaluar permisos de DCSync, exposición de KRBTGT, riesgo de Golden Ticket y pasos de remediación con los scripts, referencias y plantilla de informe incluidos.

conducting-api-security-testing ayuda a testers autorizados a evaluar API REST, GraphQL y gRPC en busca de fallos de autenticación, autorización, limitación de velocidad, validación de entradas y lógica de negocio mediante un flujo de trabajo alineado con el OWASP API Security Top 10. Úsala para realizar pruebas de seguridad de API estructuradas, basadas en evidencias, y revisiones de auditoría de seguridad.