Edr

hunting-advanced-persistent-threats es una skill de threat hunting para detectar actividad de estilo APT en telemetría de endpoint, red y memoria. Ayuda a los analistas a construir búsquedas guiadas por hipótesis, mapear hallazgos a MITRE ATT&CK y convertir la inteligencia de amenazas en consultas prácticas y pasos de investigación, en lugar de búsquedas improvisadas.

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Habilidad detecting-living-off-the-land-attacks para auditoría de seguridad, threat hunting y respuesta a incidentes. Detecta el abuso de binarios legítimos de Windows como certutil, mshta, rundll32 y regsvr32 mediante telemetría de creación de procesos, línea de comandos y relaciones padre-hijo. La guía se centra en patrones accionables de detección de LOLBins, no en el endurecimiento general de Windows.

detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.

detecting-dll-sideloading-attacks ayuda a equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a detectar la carga lateral de DLL con Sysmon, EDR, MDE y Splunk. Esta guía de detecting-dll-sideloading-attacks incluye notas de flujo de trabajo, plantillas de hunting, mapeo a estándares y scripts para convertir cargas sospechosas de DLL en detecciones repetibles.

deploying-edr-agent-with-crowdstrike ayuda a planificar, instalar y verificar el despliegue del sensor CrowdStrike Falcon en endpoints Windows, macOS y Linux. Usa esta skill de deploying-edr-agent-with-crowdstrike para guía de instalación, configuración de políticas, integración de telemetría con SIEM y preparación para Incident Response.

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

building-threat-hunt-hypothesis-framework te ayuda a crear hipótesis de threat hunting verificables a partir de inteligencia de amenazas, mapeo a ATT&CK y telemetría. Usa esta skill de building-threat-hunt-hypothesis-framework para planificar búsquedas, mapear fuentes de datos, ejecutar consultas y documentar hallazgos para threat hunting y building-threat-hunt-hypothesis-framework para Threat Modeling.