Threat Hunting

detecting-lateral-movement-with-zeek est une compétence de cybersécurité basée sur Zeek, conçue pour la chasse aux menaces et la réponse à incident. Elle aide à détecter l’accès aux partages d’administration SMB, la création de services DCE/RPC, le spray NTLM, les anomalies Kerberos et les transferts internes suspects à partir de journaux Zeek tels que `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` et `kerberos.log`.

analyzing-cobaltstrike-malleable-c2-profiles aide à parser les profils Malleable C2 de Cobalt Strike pour en extraire des indicateurs C2, des traces d’évasion et des pistes de détection, dans des workflows d’analyse malware, de threat hunting et d’audit de sécurité. Le skill s’appuie sur dissect.cobaltstrike et pyMalleableC2 pour l’analyse des profils et de la configuration beacon.

exploiting-kerberoasting-with-impacket aide les testeurs autorisés à préparer un Kerberoasting avec `GetUserSPNs.py` d’Impacket, de l’énumération des SPN à l’extraction des tickets TGS, au cassage hors ligne et au reporting tenant compte de la détection. Utilisez ce guide exploiting-kerberoasting-with-impacket pour des workflows de test d’intrusion, avec un contexte clair d’installation et d’utilisation.

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

La skill de détection d’anomalies réseau avec Zeek aide à déployer Zeek pour la surveillance passive du réseau, à examiner des journaux structurés et à créer des détections personnalisées pour le beaconing, le DNS tunneling et les activités de protocoles inhabituelles. Elle convient particulièrement à la chasse aux menaces, à la réponse aux incidents, aux métadonnées réseau prêtes pour un SIEM et aux workflows d’audit de sécurité, mais pas à la prévention en ligne.

detecting-modbus-protocol-anomalies aide à détecter les comportements suspects Modbus/TCP et Modbus RTU dans les réseaux OT et ICS, notamment les codes de fonction invalides, les accès aux registres hors plage, les cadences d’interrogation anormales, les écritures non autorisées et les trames malformées. Utile pour un audit de sécurité et un triage fondé sur des preuves.

detecting-typosquatting-packages-in-npm-pypi aide à repérer les paquets npm et PyPI suspects en comparant la similarité des noms, la récence de publication et les anomalies de téléchargement. Utilisez-le pour les audits de sécurité, la revue des dépendances et le filtrage initial des risques supply chain grâce à un processus reproductible de vérification des registres.

Compétence detecting-t1003-credential-dumping-with-edr pour la threat hunting avec EDR, Sysmon et la corrélation des événements Windows afin de détecter le dumping d’identifiants via LSASS, SAM, NTDS.dit, les secrets LSA et les identifiants mis en cache. À utiliser pour valider les alertes, circonscrire les incidents et réduire les faux positifs grâce à un workflow concret.

detecting-dcsync-attack-in-active-directory est une compétence de threat hunting pour repérer les abus de DCSync dans Active Directory en corrélant les événements 4662, les GUID de réplication et les comptes DC légitimes. Utilisez-la pour confirmer, trier et documenter une activité de vol d’identifiants avec Splunk, KQL et des scripts d’analyse.

detecting-container-escape-with-falco-rules aide à détecter les tentatives d’évasion de conteneur grâce aux règles de sécurité d’exécution Falco. Le contenu se concentre sur les signaux syscall, les conteneurs privilégiés, l’abus des chemins d’hôte, la validation et les workflows de réponse à incident pour les environnements Kubernetes et les conteneurs Linux.

Skill detecting-bluetooth-low-energy-attacks pour les tests de sécurité BLE autorisés. Il aide à évaluer l’exposition à l’écoute, le risque de rejeu, l’abus de l’énumération GATT, l’usurpation des publicités et les indices d’une attaque de type Man-in-the-Middle à l’aide d’outils BLE réels et d’un guide de workflow.

Skill de configuration de Snort IDS pour installer, configurer, valider et ajuster Snort 3 sur des segments réseau autorisés. Inclut des usages concrets, le chargement des règles, des vérifications en ligne de commande, la réduction des faux positifs et des workflows d’audit de sécurité.

analyzing-malware-sandbox-evasion-techniques aide les analystes malware à examiner les comportements Cuckoo et AnyRun pour repérer les vérifications de timing, les artefacts de VM, les garde-fous liés à l’interaction utilisateur et l’allongement artificiel des délais d’exécution. Cette compétence est conçue pour un flux de travail d’analyse ciblé autour de analyzing-malware-sandbox-evasion-techniques dans le cadre de l’analyse malware, afin d’évaluer si un échantillon cherche à se cacher d’une sandbox.

analyzing-malware-persistence-with-autoruns est une compétence Sysinternals Autoruns pour l’analyse de malware. Elle aide à inspecter la persistance Windows dans les clés Run, les services, les tâches planifiées, Winlogon, les pilotes et WMI, grâce à un workflow reproductible avec export CSV, revue des entrées suspectes et résultats prêts à être consignés dans un rapport.

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

extracting-windows-event-logs-artifacts vous aide à extraire, parser et analyser les journaux d’événements Windows (EVTX) pour la criminalistique numérique, la réponse à incident et la chasse aux menaces. Il prend en charge une analyse structurée des ouvertures de session, des créations de processus, des installations de services, des tâches planifiées, des changements de privilèges et de l’effacement des journaux avec Chainsaw, Hayabusa et EvtxECmd.

Guide d'extraction des artefacts mémoire avec Rekall pour analyser des images mémoire Windows. Découvrez les schémas d'installation et d'utilisation pour repérer les processus cachés, le code injecté, les VAD suspectes, les DLL chargées et l'activité réseau en investigation numérique.

Guide du skill extracting-iocs-from-malware-samples pour l’analyse de malwares : extraire les hashes, IP, domaines, URLs, artefacts hôte et indices de validation à partir d’échantillons pour la threat intelligence et la détection.