por mukul975
detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.
por mukul975
detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.
por mukul975
skill de detección de Pass-the-Hash para cazar movimiento lateral basado en NTLM, inicios de sesión sospechosos de tipo 3 y actividad T1550.002 con registros de seguridad de Windows, Splunk y KQL.
por mukul975
detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.
por mukul975
detecting-fileless-attacks-on-endpoints ayuda a crear detecciones para ataques en memoria en endpoints Windows, incluyendo abuso de PowerShell, persistencia con WMI, reflective loading e inyección de procesos. Úsalo para Security Audit, threat hunting e ingeniería de detecciones con Sysmon, AMSI y registros de PowerShell.
por mukul975
containing-active-breach es una skill de respuesta a incidentes para contener una brecha activa en tiempo real. Ayuda a aislar hosts, bloquear tráfico sospechoso, deshabilitar cuentas comprometidas y frenar el movimiento lateral mediante una guía estructurada de containing-active-breach con referencias prácticas a APIs y scripts.
