por mukul975
detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.
por mukul975
detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.
por mukul975
detecting-modbus-command-injection-attacks ayuda a los analistas de seguridad a identificar actividad sospechosa de escritura en Modbus TCP/RTU, códigos de función anómalos, tramas mal formadas y desviaciones de la línea base en entornos ICS y SCADA. Úsalo para triaje de incidentes, monitorización OT y auditorías de seguridad cuando necesites orientación de detección específica de Modbus, no una indicación genérica de anomalías.
por mukul975
detecting-living-off-the-land-with-lolbas ayuda a detectar el abuso de LOLBAS con Sysmon y los registros de eventos de Windows, usando telemetría de procesos, contexto de relación padre-hijo, reglas Sigma y una guía práctica para triaje, hunting y redacción de reglas. Da soporte a detecting-living-off-the-land-with-lolbas para tareas de Threat Modeling y flujos de trabajo de analistas con certutil, regsvr32, mshta y rundll32.
por mukul975
Habilidad detecting-living-off-the-land-attacks para auditoría de seguridad, threat hunting y respuesta a incidentes. Detecta el abuso de binarios legítimos de Windows como certutil, mshta, rundll32 y regsvr32 mediante telemetría de creación de procesos, línea de comandos y relaciones padre-hijo. La guía se centra en patrones accionables de detección de LOLBins, no en el endurecimiento general de Windows.
por mukul975
detecting-lateral-movement-in-network ayuda a detectar movimientos laterales posteriores a una intrusión en redes empresariales usando registros de eventos de Windows, telemetría de Zeek, SMB, RDP y correlación en SIEM. Es útil para threat hunting, respuesta a incidentes y revisiones de Security Audit con flujos de detección prácticos.
por mukul975
detecting-insider-threat-with-ueba te ayuda a crear detecciones UEBA en Elasticsearch o OpenSearch para casos de amenazas internas, incluyendo líneas base de comportamiento, puntuación de anomalías, análisis de grupos de pares y alertas correlacionadas para exfiltración de datos, abuso de privilegios y acceso no autorizado. Encaja con workflows de Respuesta a Incidentes para detecting-insider-threat-with-ueba.
