Windows Security

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

eradicating-malware-from-infected-systems es una skill de respuesta a incidentes de ciberseguridad para eliminar malware, backdoors y mecanismos de persistencia después de contener el incidente. Incluye orientación de flujo de trabajo, archivos de referencia y scripts para la limpieza en Windows y Linux, la rotación de credenciales, la remediación de la causa raíz y la validación.

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

detecting-pass-the-ticket-attacks ayuda a detectar actividad Kerberos Pass-the-Ticket correlando los Event IDs de Windows Security 4768, 4769 y 4771. Úsala para threat hunting en Splunk o Elastic y detectar reutilización de tickets, degradaciones a RC4 y volúmenes inusuales de TGS con consultas prácticas y guía de campos.

skill de detección de Pass-the-Hash para cazar movimiento lateral basado en NTLM, inicios de sesión sospechosos de tipo 3 y actividad T1550.002 con registros de seguridad de Windows, Splunk y KQL.

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

detecting-living-off-the-land-with-lolbas ayuda a detectar el abuso de LOLBAS con Sysmon y los registros de eventos de Windows, usando telemetría de procesos, contexto de relación padre-hijo, reglas Sigma y una guía práctica para triaje, hunting y redacción de reglas. Da soporte a detecting-living-off-the-land-with-lolbas para tareas de Threat Modeling y flujos de trabajo de analistas con certutil, regsvr32, mshta y rundll32.

detecting-golden-ticket-forgery detecta la falsificación de Kerberos Golden Ticket mediante el análisis del Event ID 4769 de Windows, el uso de degradación a RC4 (0x17), duraciones anómalas de los tickets y anomalías de krbtgt en Splunk y Elastic. Está pensado para auditorías de seguridad, investigación de incidentes y threat hunting, con orientación práctica para la detección.

detecting-dll-sideloading-attacks ayuda a equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a detectar la carga lateral de DLL con Sysmon, EDR, MDE y Splunk. Esta guía de detecting-dll-sideloading-attacks incluye notas de flujo de trabajo, plantillas de hunting, mapeo a estándares y scripts para convertir cargas sospechosas de DLL en detecciones repetibles.

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

deploying-active-directory-honeytokens ayuda a los defensores a planificar y generar honeytokens de Active Directory para trabajos de auditoría de seguridad, incluidos cuentas privilegiadas falsas, SPN falsos para detectar Kerberoasting, trampas de GPO señuelo y rutas engañosas en BloodHound. Combina una guía orientada a la instalación con scripts y señales de telemetría para facilitar una implementación y revisión prácticas.

Skill de configuración avanzada de Windows Defender para el endurecimiento de Microsoft Defender for Endpoint. Cubre reglas ASR, acceso controlado a carpetas, protección de red, protección contra vulnerabilidades, planificación de despliegue y guía de implementación con enfoque de auditoría primero para ingenieros de seguridad, administradores de TI y flujos de trabajo de auditoría de seguridad.