Threat Intelligence

Compétence building-ioc-defanging-and-sharing-pipeline pour extraire des IOC, neutraliser les URL, IP, domaines, e-mails et hachages, puis les convertir et les partager en STIX 2.1 via TAXII ou MISP pour les workflows d’audit de sécurité et de threat intelligence.

building-incident-timeline-with-timesketch aide les équipes DFIR à construire des chronologies d’incident collaboratives dans Timesketch en ingérant des preuves Plaso, CSV ou JSONL, en normalisant les horodatages, en corrélant les événements et en documentant les chaînes d’attaque pour le triage et le reporting d’incident.

La skill detecting-mobile-malware-behavior analyse les applications Android et iOS suspectes pour repérer les abus de permissions, l’activité à l’exécution, les indicateurs réseau et les schémas de type malware. Utilisez-la pour le triage, la réponse à incident et la détection du comportement des malwares mobiles dans des workflows d’audit de sécurité, avec une analyse mobile étayée par des preuves.

Le skill detecting-business-email-compromise aide les analystes, les équipes SOC et les intervenants en gestion d’incident à identifier les tentatives de BEC grâce à des vérifications des en-têtes d’e-mail, des indices d’ingénierie sociale, une logique de détection et des workflows orientés réponse. Utilisez-le comme guide pratique detecting-business-email-compromise pour le triage, la validation et le confinement.

detecting-beaconing-patterns-with-zeek aide à analyser les intervalles du fichier `conn.log` de Zeek pour détecter un beaconing de type C2. Le skill s’appuie sur ZAT, regroupe les flux par source, destination et port, puis attribue un score aux motifs à faible gigue à l’aide de contrôles statistiques. Il est particulièrement adapté aux équipes SOC, au threat hunting, à la réponse à incident et aux workflows d’audit de sécurité impliquant detecting-beaconing-patterns-with-zeek.

analyzing-supply-chain-malware-artifacts est un skill d’analyse malware pour remonter la piste de mises à jour trojanisées, de dépendances empoisonnées et d’altérations de pipeline de build. Utilisez-le pour comparer des artefacts fiables et suspects, extraire des indicateurs de compromission, évaluer l’étendue de l’incident et rédiger des conclusions avec moins d’incertitude.

analyzing-ransomware-network-indicators aide à analyser `Zeek conn.log` et `NetFlow` pour repérer le beaconing C2, les sorties TOR, l’exfiltration et les DNS suspects dans le cadre d’un audit de sécurité ou d’une réponse à incident.

analyzing-ransomware-payment-wallets est une compétence de blockchain forensics en lecture seule pour retracer les portefeuilles de paiement ransomware, suivre les mouvements de fonds et regrouper les adresses associées pour les audits de sécurité et la réponse aux incidents. Utilisez-la si vous disposez d’une adresse BTC, d’un hash de transaction ou d’un portefeuille suspect et que vous avez besoin d’un appui à l’attribution fondé sur des preuves.

analyzing-ransomware-leak-site-intelligence aide à surveiller les sites de fuite de données liés aux ransomwares, à extraire des signaux sur les victimes et les groupes, et à produire une threat intelligence structurée pour la réponse à incident, l’évaluation du risque sectoriel et le suivi des adversaires.

analyzing-cloud-storage-access-patterns aide les équipes de sécurité à détecter les accès suspects au stockage cloud dans AWS S3, GCS et Azure Blob Storage. Il analyse les journaux d’audit pour repérer les téléchargements massifs, les nouvelles IP sources, les appels d’API inhabituels, l’énumération de buckets, les accès en dehors des heures ouvrées et d’éventuelles exfiltrations, à l’aide de vérifications de référence et d’anomalies.

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

Le skill generating-threat-intelligence-reports transforme des données cyber analysées en rapports de threat intelligence stratégiques, opérationnels, tactiques ou flash, destinés aux dirigeants, aux équipes SOC, aux responsables IR et aux analystes. Il prend en charge le finished intelligence, le langage de confiance, la gestion du TLP et des recommandations claires pour la rédaction de rapports.

Guide du skill extracting-iocs-from-malware-samples pour l’analyse de malwares : extraire les hashes, IP, domaines, URLs, artefacts hôte et indices de validation à partir d’échantillons pour la threat intelligence et la détection.

evaluating-threat-intelligence-platforms vous aide à comparer les produits TIP selon l’ingestion de flux, la prise en charge de STIX/TAXII, l’automatisation, les workflows analystes, les intégrations et le coût total de possession. Utilisez ce guide evaluating-threat-intelligence-platforms pour les achats, une migration ou la planification de maturité, y compris l’évaluation de evaluating-threat-intelligence-platforms pour le Threat Modeling lorsque le choix de la plateforme influence la traçabilité et le partage des preuves.

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

Skill de détection des attaques Living off the Land pour les audits de sécurité, le threat hunting et la réponse à incident. Détectez l’abus de binaires Windows légitimes comme `certutil`, `mshta`, `rundll32` et `regsvr32` à partir de la création de processus, de la ligne de commande et de la télémétrie parent-enfant. Ce guide se concentre sur des patterns de détection exploitables pour les LOLBin, pas sur un durcissement Windows général.

Le skill détecter les attaques Kerberoasting aide à traquer le Kerberoasting en repérant les requêtes Kerberos TGS suspectes, les chiffrages faibles des tickets et les schémas liés aux comptes de service. Utilisez-le pour des workflows SIEM, EDR et EVTX, ainsi que pour la détection des attaques Kerberoasting dans des workflows de Threat Modeling, avec des modèles de détection pratiques et des conseils d’ajustement.

detecting-insider-threat-with-ueba vous aide à créer des détections UEBA dans Elasticsearch ou OpenSearch pour des cas de menace interne, avec notamment des lignes de base comportementales, des scores d’anomalie, une analyse par groupe de pairs et des alertes corrélées pour l’exfiltration de données, l’abus de privilèges et les accès non autorisés. Il convient à detecting-insider-threat-with-ueba dans des workflows de réponse à incident.

La compétence detecting-insider-threat-behaviors aide les analystes à repérer des signaux de risque interne comme des accès inhabituels aux données, des activités hors horaires, des téléchargements massifs, des abus de privilèges et des vols corrélés à une démission. Utilisez ce guide detecting-insider-threat-behaviors pour la threat hunting, le triage de type UEBA et la modélisation des menaces, avec des modèles de workflow, des exemples de requêtes SIEM et des pondérations de risque.

detecting-email-account-compromise aide les intervenants en réponse à incident et les analystes SOC à enquêter sur la prise de contrôle de boîtes mail Microsoft 365 et Google Workspace en examinant les connexions suspectes, l’abus de règles de boîte de réception, les transferts externes, les consentements OAuth et l’activité des journaux Graph / d’audit. Utilisez-le comme guide pratique de détection de detectig-email-account-compromise pour un triage rapide.

detecting-dll-sideloading-attacks aide les équipes de Security Audit, de chasse aux menaces et de réponse à incident à détecter le DLL side-loading avec Sysmon, EDR, MDE et Splunk. Ce guide detecting-dll-sideloading-attacks inclut des notes de workflow, des modèles de chasse, le mapping des standards et des scripts pour transformer des chargements DLL suspects en détections répétables.

La skill de détection des techniques de credential dumping vous aide à détecter les accès à LSASS, l’export SAM, le vol de NTDS.dit et l’abus de comsvcs.dll MiniDump à l’aide de l’Event ID 10 de Sysmon, des journaux de sécurité Windows et de règles de corrélation SIEM. Elle est conçue pour le threat hunting, l’ingénierie de détection et les workflows d’audit de sécurité.

detecting-command-and-control-over-dns est un skill de cybersécurité dédié à la détection du command-and-control (C2) via DNS, notamment les tunnels DNS, les beaconing, les domaines DGA et les abus de TXT/CNAME. Il aide les analystes SOC, les threat hunters et les équipes d’audit sécurité grâce à des contrôles d’entropie, à la corrélation avec le DNS passif et à des workflows de détection de type Zeek ou Suricata.

Détectez le Business Email Compromise (BEC) avec l’IA grâce au NLP, à la stylométrie, aux signaux comportementaux et au contexte relationnel. Cette skill de détection du Business Email Compromise avec l’IA aide les équipes SOC, fraude et audit sécurité à évaluer les e-mails suspects, à expliquer les signaux de risque et à décider s’il faut mettre en quarantaine, avertir ou escalader.