Mitre Attack

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

analyzing-campaign-attribution-evidence ayuda a los analistas a valorar el solapamiento de infraestructura, la coherencia con ATT&CK, la similitud del malware, la temporización y los artefactos lingüísticos para sustentar la atribución de campañas. Usa esta guía de analyzing-campaign-attribution-evidence para revisiones de CTI, análisis de incidentes y Security Audit.

hunting-advanced-persistent-threats es una skill de threat hunting para detectar actividad de estilo APT en telemetría de endpoint, red y memoria. Ayuda a los analistas a construir búsquedas guiadas por hipótesis, mapear hallazgos a MITRE ATT&CK y convertir la inteligencia de amenazas en consultas prácticas y pasos de investigación, en lugar de búsquedas improvisadas.

executing-red-team-exercise es una habilidad de ciberseguridad para planificar y hacer seguimiento de ejercicios realistas de red team. Permite emulación de adversarios en tareas de reconocimiento, selección de técnicas, ejecución y revisión de brechas de detección, por lo que resulta útil para trabajos de auditoría de seguridad y evaluaciones alineadas con ATT&CK.

La skill detecting-wmi-persistence ayuda a analistas de threat hunting y DFIR a detectar la persistencia de suscripciones de eventos WMI en telemetría de Windows usando los Event IDs 19, 20 y 21 de Sysmon. Úsala para identificar actividad maliciosa de EventFilter, EventConsumer y FilterToConsumerBinding, validar hallazgos y distinguir la persistencia de un atacante de la automatización administrativa legítima.

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Habilidad detecting-living-off-the-land-attacks para auditoría de seguridad, threat hunting y respuesta a incidentes. Detecta el abuso de binarios legítimos de Windows como certutil, mshta, rundll32 y regsvr32 mediante telemetría de creación de procesos, línea de comandos y relaciones padre-hijo. La guía se centra en patrones accionables de detección de LOLBins, no en el endurecimiento general de Windows.

La skill detectando-kerberoasting-attacks ayuda a cazar Kerberoasting al identificar solicitudes Kerberos TGS sospechosas, cifrado débil de tickets y patrones de cuentas de servicio. Úsala para SIEM, EDR, EVTX y flujos de trabajo de Threat Modeling con plantillas de detección prácticas y orientación para ajustar reglas.

detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.

detecting-dll-sideloading-attacks ayuda a equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a detectar la carga lateral de DLL con Sysmon, EDR, MDE y Splunk. Esta guía de detecting-dll-sideloading-attacks incluye notas de flujo de trabajo, plantillas de hunting, mapeo a estándares y scripts para convertir cargas sospechosas de DLL en detecciones repetibles.

detecting-command-and-control-over-dns es una skill de ciberseguridad para detectar C2 sobre DNS, incluidos tunneling, beaconing, dominios DGA y abuso de TXT/CNAME. Ayuda a analistas SOC, threat hunters y auditorías de seguridad con comprobaciones de entropía, correlación con passive DNS y flujos de detección al estilo Zeek o Suricata.

correlating-threat-campaigns ayuda a analistas de Threat Intelligence a correlacionar incidentes, IOCs y TTPs en evidencia a nivel de campaña. Úsalo para comparar eventos históricos, separar vínculos sólidos de coincidencias débiles y construir agrupaciones defendibles para informes de MISP, SIEM y CTI.

La skill conducting-post-incident-lessons-learned ayuda a los equipos de respuesta a incidentes a realizar revisiones estructuradas posteriores al incidente, construir cronologías basadas en hechos, identificar causas raíz, registrar qué funcionó y qué falló, y convertir cada incidente en mejoras medibles con responsables, plazos y actualizaciones de los playbooks.

conducting-pass-the-ticket-attack es una habilidad de Auditoría de Seguridad y red team para planificar y documentar flujos de trabajo de Pass-the-Ticket. Te ayuda a revisar tickets Kerberos, mapear señales de detección y generar un flujo estructurado de validación o informe usando la habilidad conducting-pass-the-ticket-attack.

conducting-cloud-penetration-testing te ayuda a planificar y ejecutar evaluaciones autorizadas de entornos cloud en AWS, Azure y GCP. Úsala para detectar configuraciones incorrectas de IAM, exposición de metadatos, recursos públicos y rutas de escalada, y luego convertir los hallazgos en un informe de auditoría de seguridad. Encaja con la skill conducting-cloud-penetration-testing para flujos de trabajo de Security Audit.

La skill collecting-threat-intelligence-with-misp te ayuda a recopilar, normalizar, buscar y exportar inteligencia de amenazas en MISP. Usa esta guía de collecting-threat-intelligence-with-misp para feeds, flujos de trabajo con PyMISP, filtrado de eventos, reducción de warninglists y uso práctico de collecting-threat-intelligence-with-misp para Threat Modeling y operaciones de CTI.

Skill building-threat-intelligence-platform para diseñar, desplegar y revisar una plataforma de inteligencia de amenazas con MISP, OpenCTI, TheHive, Cortex, STIX/TAXII y Elasticsearch. Úsala para guías de instalación, flujos de uso y planificación de Security Audit respaldada por referencias del repositorio y scripts.

building-threat-hunt-hypothesis-framework te ayuda a crear hipótesis de threat hunting verificables a partir de inteligencia de amenazas, mapeo a ATT&CK y telemetría. Usa esta skill de building-threat-hunt-hypothesis-framework para planificar búsquedas, mapear fuentes de datos, ejecutar consultas y documentar hallazgos para threat hunting y building-threat-hunt-hypothesis-framework para Threat Modeling.

building-threat-actor-profile-from-osint ayuda a los equipos de inteligencia de amenazas a convertir OSINT en perfiles estructurados de actores de amenaza. Permite perfilar grupos o campañas concretas, con mapeo a ATT&CK, correlación de infraestructura, trazabilidad de fuentes y notas de confianza para un análisis defendible.

Skill building-soc-playbook-for-ransomware para equipos SOC que necesitan un playbook estructurado de respuesta ante ransomware. Cubre disparadores de detección, contención, erradicación, recuperación y procedimientos listos para auditoría, alineados con NIST SP 800-61 y MITRE ATT&CK. Úsala para crear playbooks prácticos, hacer ejercicios tabletop y apoyar auditorías de seguridad.

building-detection-rules-with-sigma ayuda a los analistas a crear reglas de detección Sigma portables a partir de inteligencia de amenazas o reglas de proveedores, mapearlas a MITRE ATT&CK y convertirlas para SIEM como Splunk, Elastic y Microsoft Sentinel. Usa esta guía de building-detection-rules-with-sigma para flujos de trabajo de auditoría de seguridad, estandarización y detection-as-code.

building-detection-rule-with-splunk-spl ayuda a analistas de SOC e ingenieros de detección a crear búsquedas correlativas en Splunk SPL para la detección de amenazas, el ajuste fino y la revisión de Security Audit. Úsalo para convertir un briefing de detección en una regla desplegable con mapeo MITRE, enriquecimiento y guía de validación.