Incident Response

detecting-lateral-movement-with-zeek est une compétence de cybersécurité basée sur Zeek, conçue pour la chasse aux menaces et la réponse à incident. Elle aide à détecter l’accès aux partages d’administration SMB, la création de services DCE/RPC, le spray NTLM, les anomalies Kerberos et les transferts internes suspects à partir de journaux Zeek tels que `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` et `kerberos.log`.

analyzing-windows-shellbag-artifacts aide les analystes DFIR à interpréter les artefacts de registre Windows Shellbag pour reconstituer la navigation dans les dossiers, l’accès à des dossiers supprimés, l’usage de supports amovibles et l’activité sur des partages réseau, avec SBECmd et ShellBags Explorer. C’est un guide pratique analyzing-windows-shellbag-artifacts pour l’intervention sur incident et la forensique.

analyzing-cobaltstrike-malleable-c2-profiles aide à parser les profils Malleable C2 de Cobalt Strike pour en extraire des indicateurs C2, des traces d’évasion et des pistes de détection, dans des workflows d’analyse malware, de threat hunting et d’audit de sécurité. Le skill s’appuie sur dissect.cobaltstrike et pyMalleableC2 pour l’analyse des profils et de la configuration beacon.

exploiting-kerberoasting-with-impacket aide les testeurs autorisés à préparer un Kerberoasting avec `GetUserSPNs.py` d’Impacket, de l’énumération des SPN à l’extraction des tickets TGS, au cassage hors ligne et au reporting tenant compte de la détection. Utilisez ce guide exploiting-kerberoasting-with-impacket pour des workflows de test d’intrusion, avec un contexte clair d’installation et d’utilisation.

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

detecting-rootkit-activity est un skill d’analyse de malware conçu pour repérer des indices de rootkit, comme des processus masqués, des appels système détournés, des structures noyau modifiées, des modules cachés et des artefacts réseau dissimulés. Il s’appuie sur la comparaison croisée des vues et sur des contrôles d’intégrité pour aider à valider des hôtes suspects lorsque les outils standards ne concordent pas.

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

La skill de détection d’anomalies réseau avec Zeek aide à déployer Zeek pour la surveillance passive du réseau, à examiner des journaux structurés et à créer des détections personnalisées pour le beaconing, le DNS tunneling et les activités de protocoles inhabituelles. Elle convient particulièrement à la chasse aux menaces, à la réponse aux incidents, aux métadonnées réseau prêtes pour un SIEM et aux workflows d’audit de sécurité, mais pas à la prévention en ligne.

detecting-modbus-command-injection-attacks aide les analystes sécurité à repérer des écritures Modbus TCP/RTU suspectes, des codes de fonction anormaux, des trames mal formées et des écarts par rapport à la baseline dans les environnements ICS et SCADA. Utilisez-le pour le triage d’incident, la surveillance OT et un audit de sécurité lorsque vous avez besoin de conseils de détection adaptés à Modbus, et non d’une simple consigne générique sur les anomalies.

Le skill detecting-business-email-compromise aide les analystes, les équipes SOC et les intervenants en gestion d’incident à identifier les tentatives de BEC grâce à des vérifications des en-têtes d’e-mail, des indices d’ingénierie sociale, une logique de détection et des workflows orientés réponse. Utilisez-le comme guide pratique detecting-business-email-compromise pour le triage, la validation et le confinement.

detecting-azure-lateral-movement aide les analystes sécurité à traquer les mouvements latéraux dans Azure AD/Entra ID et Microsoft Sentinel à partir des journaux d’audit Microsoft Graph, de la télémétrie de connexion et de corrélations KQL. Utilisez-le pour le triage d’incidents, l’ingénierie de détection et les workflows d’audit sécurité couvrant les abus de consentement, l’usage détourné de principals de service, le vol de jetons et les pivots interlocataires.

Guide de configuration de la détection d’intrusion hôte pour mettre en place un HIDS avec Wazuh, OSSEC ou AIDE afin de surveiller l’intégrité des fichiers, les changements système et la sécurité des terminaux axée conformité dans des workflows d’audit de sécurité.

Compétence detecting-t1003-credential-dumping-with-edr pour la threat hunting avec EDR, Sysmon et la corrélation des événements Windows afin de détecter le dumping d’identifiants via LSASS, SAM, NTDS.dit, les secrets LSA et les identifiants mis en cache. À utiliser pour valider les alertes, circonscrire les incidents et réduire les faux positifs grâce à un workflow concret.

detecting-dcsync-attack-in-active-directory est une compétence de threat hunting pour repérer les abus de DCSync dans Active Directory en corrélant les événements 4662, les GUID de réplication et les comptes DC légitimes. Utilisez-la pour confirmer, trier et documenter une activité de vol d’identifiants avec Splunk, KQL et des scripts d’analyse.

detecting-container-escape-with-falco-rules aide à détecter les tentatives d’évasion de conteneur grâce aux règles de sécurité d’exécution Falco. Le contenu se concentre sur les signaux syscall, les conteneurs privilégiés, l’abus des chemins d’hôte, la validation et les workflows de réponse à incident pour les environnements Kubernetes et les conteneurs Linux.

analyzing-malware-persistence-with-autoruns est une compétence Sysinternals Autoruns pour l’analyse de malware. Elle aide à inspecter la persistance Windows dans les clés Run, les services, les tâches planifiées, Winlogon, les pilotes et WMI, grâce à un workflow reproductible avec export CSV, revue des entrées suspectes et résultats prêts à être consignés dans un rapport.

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

extracting-windows-event-logs-artifacts vous aide à extraire, parser et analyser les journaux d’événements Windows (EVTX) pour la criminalistique numérique, la réponse à incident et la chasse aux menaces. Il prend en charge une analyse structurée des ouvertures de session, des créations de processus, des installations de services, des tâches planifiées, des changements de privilèges et de l’effacement des journaux avec Chainsaw, Hayabusa et EvtxECmd.

Guide d'extraction des artefacts mémoire avec Rekall pour analyser des images mémoire Windows. Découvrez les schémas d'installation et d'utilisation pour repérer les processus cachés, le code injecté, les VAD suspectes, les DLL chargées et l'activité réseau en investigation numérique.

La compétence extracting-credentials-from-memory-dump aide à analyser des dumps mémoire Windows pour extraire des hachages NTLM, des secrets LSA, du matériel Kerberos et des jetons, à l’aide de workflows Volatility 3 et pypykatz. Elle est conçue pour la criminalistique numérique et la réponse à incident lorsque vous avez besoin de preuves solides, d’évaluer l’impact sur les comptes et d’obtenir des recommandations de remédiation à partir d’un dump valide.