Powershell

extracting-windows-event-logs-artifacts te ayuda a extraer, analizar y examinar Windows Event Logs (EVTX) para forense digital, respuesta a incidentes y threat hunting. Permite revisar de forma estructurada inicios de sesión, creación de procesos, instalaciones de servicios, tareas programadas, cambios de privilegios y borrado de registros con Chainsaw, Hayabusa y EvtxECmd.

La skill de abuso de delegación restringida guía pruebas autorizadas en Active Directory sobre el abuso de la delegación restringida de Kerberos. Cubre el reconocimiento, las solicitudes de tickets S4U2self y S4U2proxy, y rutas prácticas para movimiento lateral o escalada de privilegios. Úsala cuando necesites una guía repetible para pruebas de penetración, no una visión general genérica de Kerberos.

eradicating-malware-from-infected-systems es una skill de respuesta a incidentes de ciberseguridad para eliminar malware, backdoors y mecanismos de persistencia después de contener el incidente. Incluye orientación de flujo de trabajo, archivos de referencia y scripts para la limpieza en Windows y Linux, la rotación de credenciales, la remediación de la causa raíz y la validación.

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Habilidad detecting-living-off-the-land-attacks para auditoría de seguridad, threat hunting y respuesta a incidentes. Detecta el abuso de binarios legítimos de Windows como certutil, mshta, rundll32 y regsvr32 mediante telemetría de creación de procesos, línea de comandos y relaciones padre-hijo. La guía se centra en patrones accionables de detección de LOLBins, no en el endurecimiento general de Windows.

La skill detecting-fileless-malware-techniques admite flujos de trabajo de Malware Analysis para investigar malware sin archivos que se ejecuta en memoria mediante PowerShell, WMI, reflexión de .NET, cargas útiles residentes en el registro y LOLBins. Úsala para pasar de alertas sospechosas a triaje respaldado por evidencias, ideas de detección y siguientes pasos de hunting.

detecting-fileless-attacks-on-endpoints ayuda a crear detecciones para ataques en memoria en endpoints Windows, incluyendo abuso de PowerShell, persistencia con WMI, reflective loading e inyección de procesos. Úsalo para Security Audit, threat hunting e ingeniería de detecciones con Sysmon, AMSI y registros de PowerShell.

Skill de configuración avanzada de Windows Defender para el endurecimiento de Microsoft Defender for Endpoint. Cubre reglas ASR, acceso controlado a carpetas, protección de red, protección contra vulnerabilidades, planificación de despliegue y guía de implementación con enfoque de auditoría primero para ingenieros de seguridad, administradores de TI y flujos de trabajo de auditoría de seguridad.

analyzing-windows-registry-for-artifacts ayuda a analistas a extraer evidencias de los hives del Registro de Windows para identificar actividad de usuarios, software instalado, autoruns, historial USB e indicadores de compromiso en flujos de respuesta a incidentes o auditoría de seguridad.

La skill analyzing-windows-amcache-artifacts analiza datos de Windows Amcache.hve para recuperar evidencias de ejecución de programas, software instalado, actividad de dispositivos y carga de controladores en flujos de trabajo de DFIR y auditoría de seguridad. Utiliza AmcacheParser y guías basadas en regipy para facilitar la extracción de artefactos, la correlación de SHA-1 y la revisión de líneas de tiempo.

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Skill de análisis de PowerShell Script Block Logging para parsear el Event ID 4104 de Windows PowerShell Script Block Logging desde archivos EVTX, reconstruir bloques de script fragmentados y detectar comandos ofuscados, cargas codificadas, abuso de Invoke-Expression, download cradles e intentos de bypass de AMSI para trabajos de auditoría de seguridad.