Elastic

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

detecting-pass-the-ticket-attacks ayuda a detectar actividad Kerberos Pass-the-Ticket correlando los Event IDs de Windows Security 4768, 4769 y 4771. Úsala para threat hunting en Splunk o Elastic y detectar reutilización de tickets, degradaciones a RC4 y volúmenes inusuales de TGS con consultas prácticas y guía de campos.

deploying-edr-agent-with-crowdstrike ayuda a planificar, instalar y verificar el despliegue del sensor CrowdStrike Falcon en endpoints Windows, macOS y Linux. Usa esta skill de deploying-edr-agent-with-crowdstrike para guía de instalación, configuración de políticas, integración de telemetría con SIEM y preparación para Incident Response.

building-incident-response-dashboard ayuda a los equipos a crear paneles de respuesta a incidentes en tiempo real en Splunk, Elastic o Grafana para el seguimiento activo de incidentes, el estado de contención, los activos afectados, la propagación de IOC y las líneas de tiempo de respuesta. Usa esta habilidad de building-incident-response-dashboard cuando necesites un panel enfocado para analistas SOC, responsables de incidentes y equipos de liderazgo.

building-detection-rules-with-sigma ayuda a los analistas a crear reglas de detección Sigma portables a partir de inteligencia de amenazas o reglas de proveedores, mapearlas a MITRE ATT&CK y convertirlas para SIEM como Splunk, Elastic y Microsoft Sentinel. Usa esta guía de building-detection-rules-with-sigma para flujos de trabajo de auditoría de seguridad, estandarización y detection-as-code.