Threat Hunting

detecting-beaconing-patterns-with-zeek ayuda a analizar intervalos de `conn.log` de Zeek para detectar beaconing de estilo C2. Usa ZAT, agrupa flujos por origen, destino y puerto, y puntúa patrones de baja variación con comprobaciones estadísticas. Es ideal para SOC, threat hunting, respuesta a incidentes y flujos de trabajo de auditoría de seguridad con detecting-beaconing-patterns-with-zeek.

detecting-azure-lateral-movement ayuda a analistas de seguridad a buscar movimiento lateral en Azure AD/Entra ID y Microsoft Sentinel usando registros de auditoría de Microsoft Graph, telemetría de inicio de sesión y correlación KQL. Úsalo para triage de incidentes, ingeniería de detecciones y flujos de auditoría de seguridad que abarcan abuso de consentimiento, uso indebido de service principals, robo de tokens y pivoteo entre tenant.

analyzing-security-logs-with-splunk ayuda a investigar eventos de seguridad en Splunk correlacionando registros de Windows, firewall, proxy y autenticación en líneas de tiempo y evidencia. Este skill de analyzing-security-logs-with-splunk es una guía práctica para auditoría de seguridad, respuesta a incidentes y threat hunting.

analyzing-golang-malware-with-ghidra ayuda a analistas a hacer ingeniería inversa de malware compilado con Go en Ghidra, con flujos de trabajo para recuperar funciones, extraer cadenas, revisar metadatos de compilación y mapear dependencias. La skill analyzing-golang-malware-with-ghidra resulta útil para triaje de malware, respuesta a incidentes y tareas de auditoría de seguridad que requieren pasos de análisis prácticos y específicos de Go.

detecting-living-off-the-land-with-lolbas ayuda a detectar el abuso de LOLBAS con Sysmon y los registros de eventos de Windows, usando telemetría de procesos, contexto de relación padre-hijo, reglas Sigma y una guía práctica para triaje, hunting y redacción de reglas. Da soporte a detecting-living-off-the-land-with-lolbas para tareas de Threat Modeling y flujos de trabajo de analistas con certutil, regsvr32, mshta y rundll32.

La skill detectando-kerberoasting-attacks ayuda a cazar Kerberoasting al identificar solicitudes Kerberos TGS sospechosas, cifrado débil de tickets y patrones de cuentas de servicio. Úsala para SIEM, EDR, EVTX y flujos de trabajo de Threat Modeling con plantillas de detección prácticas y orientación para ajustar reglas.

detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.

La skill detecting-fileless-malware-techniques admite flujos de trabajo de Malware Analysis para investigar malware sin archivos que se ejecuta en memoria mediante PowerShell, WMI, reflexión de .NET, cargas útiles residentes en el registro y LOLBins. Úsala para pasar de alertas sospechosas a triaje respaldado por evidencias, ideas de detección y siguientes pasos de hunting.

La skill de detección de ataques por reglas de reenvío de correo ayuda a los equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a encontrar reglas maliciosas de reenvío en buzones usadas para persistencia y recolección de correos. Guía a los analistas a través de evidencias de Microsoft 365 y Exchange, patrones sospechosos de reglas y una triage práctica para comportamientos de reenvío, redirección, eliminación y ocultación.

detecting-dll-sideloading-attacks ayuda a equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a detectar la carga lateral de DLL con Sysmon, EDR, MDE y Splunk. Esta guía de detecting-dll-sideloading-attacks incluye notas de flujo de trabajo, plantillas de hunting, mapeo a estándares y scripts para convertir cargas sospechosas de DLL en detecciones repetibles.

detecting-attacks-on-historian-servers ayuda a detectar actividad sospechosa en servidores historian de OT como OSIsoft PI, Ignition y Wonderware en el límite IT/OT. Usa esta guía de detecting-attacks-on-historian-servers para respuesta a incidentes, consultas no autorizadas, manipulación de datos, abuso de API y triaje de movimiento lateral.

detecting-anomalous-authentication-patterns ayuda a analizar registros de autenticación para detectar viajes imposibles, fuerza bruta, password spraying, credential stuffing y actividad de cuentas comprometidas. Está diseñado para flujos de trabajo de auditoría de seguridad, SOC, IAM y respuesta a incidentes, con detección basada en líneas de referencia y análisis de inicios de sesión respaldado por evidencias.

Guía de deploying-osquery-for-endpoint-monitoring para desplegar y configurar osquery con visibilidad de endpoints, monitorización de toda la flota e investigación de amenazas basada en SQL. Úsala para planificar la instalación, revisar el flujo de trabajo y las referencias de API, y poner en marcha consultas programadas, recopilación de logs y revisión centralizada en endpoints Windows, macOS y Linux.

correlating-security-events-in-qradar ayuda a equipos de SOC y detección a correlacionar delitos de IBM QRadar con AQL, contexto del delito, reglas personalizadas y datos de referencia. Usa esta guía para investigar incidentes, reducir falsos positivos y crear una lógica de correlación más sólida para respuesta a incidentes.

containing-active-breach es una skill de respuesta a incidentes para contener una brecha activa en tiempo real. Ayuda a aislar hosts, bloquear tráfico sospechoso, deshabilitar cuentas comprometidas y frenar el movimiento lateral mediante una guía estructurada de containing-active-breach con referencias prácticas a APIs y scripts.

building-threat-hunt-hypothesis-framework te ayuda a crear hipótesis de threat hunting verificables a partir de inteligencia de amenazas, mapeo a ATT&CK y telemetría. Usa esta skill de building-threat-hunt-hypothesis-framework para planificar búsquedas, mapear fuentes de datos, ejecutar consultas y documentar hallazgos para threat hunting y building-threat-hunt-hypothesis-framework para Threat Modeling.

La skill de análisis de TTPs de actores de amenaza con MITRE ATT&CK ayuda a mapear informes de amenazas a las tácticas, técnicas y sub-técnicas de MITRE ATT&CK, crear vistas de cobertura y priorizar brechas de detección. Incluye una plantilla de informe, referencias de ATT&CK y scripts para buscar técnicas y analizar brechas, por lo que resulta útil para CTI, SOC, ingeniería de detección y modelado de amenazas.

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Skill de análisis de PowerShell Script Block Logging para parsear el Event ID 4104 de Windows PowerShell Script Block Logging desde archivos EVTX, reconstruir bloques de script fragmentados y detectar comandos ofuscados, cargas codificadas, abuso de Invoke-Expression, download cradles e intentos de bypass de AMSI para trabajos de auditoría de seguridad.

La skill de análisis de persistencia en Linux ayuda a investigar la persistencia en Linux después de una intrusión, incluidos trabajos de crontab, unidades systemd, abuso de LD_PRELOAD, cambios en perfiles de shell y puertas traseras en SSH authorized_keys. Está pensada para flujos de trabajo de respuesta a incidentes, threat hunting y auditoría de seguridad con auditd y comprobaciones de integridad de archivos.