Sysmon

La skill detecting-wmi-persistence ayuda a analistas de threat hunting y DFIR a detectar la persistencia de suscripciones de eventos WMI en telemetría de Windows usando los Event IDs 19, 20 y 21 de Sysmon. Úsala para identificar actividad maliciosa de EventFilter, EventConsumer y FilterToConsumerBinding, validar hallazgos y distinguir la persistencia de un atacante de la automatización administrativa legítima.

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

skill de detección de Pass-the-Hash para cazar movimiento lateral basado en NTLM, inicios de sesión sospechosos de tipo 3 y actividad T1550.002 con registros de seguridad de Windows, Splunk y KQL.

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

detecting-living-off-the-land-with-lolbas ayuda a detectar el abuso de LOLBAS con Sysmon y los registros de eventos de Windows, usando telemetría de procesos, contexto de relación padre-hijo, reglas Sigma y una guía práctica para triaje, hunting y redacción de reglas. Da soporte a detecting-living-off-the-land-with-lolbas para tareas de Threat Modeling y flujos de trabajo de analistas con certutil, regsvr32, mshta y rundll32.

Habilidad detecting-living-off-the-land-attacks para auditoría de seguridad, threat hunting y respuesta a incidentes. Detecta el abuso de binarios legítimos de Windows como certutil, mshta, rundll32 y regsvr32 mediante telemetría de creación de procesos, línea de comandos y relaciones padre-hijo. La guía se centra en patrones accionables de detección de LOLBins, no en el endurecimiento general de Windows.

La skill detecting-fileless-malware-techniques admite flujos de trabajo de Malware Analysis para investigar malware sin archivos que se ejecuta en memoria mediante PowerShell, WMI, reflexión de .NET, cargas útiles residentes en el registro y LOLBins. Úsala para pasar de alertas sospechosas a triaje respaldado por evidencias, ideas de detección y siguientes pasos de hunting.

detecting-fileless-attacks-on-endpoints ayuda a crear detecciones para ataques en memoria en endpoints Windows, incluyendo abuso de PowerShell, persistencia con WMI, reflective loading e inyección de procesos. Úsalo para Security Audit, threat hunting e ingeniería de detecciones con Sysmon, AMSI y registros de PowerShell.

detecting-dll-sideloading-attacks ayuda a equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a detectar la carga lateral de DLL con Sysmon, EDR, MDE y Splunk. Esta guía de detecting-dll-sideloading-attacks incluye notas de flujo de trabajo, plantillas de hunting, mapeo a estándares y scripts para convertir cargas sospechosas de DLL en detecciones repetibles.

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

La skill de análisis de logs de Windows en Splunk ayuda a analistas SOC a investigar logs de Security, System y Sysmon en Splunk para detectar ataques de autenticación, escalada de privilegios, persistencia y movimiento lateral. Úsala para triage de incidentes, ingeniería de detecciones y análisis de líneas de tiempo con patrones SPL mapeados y guía de Event ID.