detecting-evasion-techniques-in-endpoint-logs

par mukul975

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

Étoiles0

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieThreat Hunting

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-evasion-techniques-in-endpoint-logs

Score éditorial

Cette skill obtient 84/100 et constitue une bonne candidate pour un annuaire. Elle offre un cas d’usage clair autour de TA0005, des workflows concrets sur les logs d’endpoint et des scripts/ressources d’aide qui réduisent les zones d’incertitude par rapport à une simple invite générique. Les utilisateurs de l’annuaire doivent toutefois s’attendre à un peu de friction à l’adoption, car le repo ne montre pas de commande d’installation dans SKILL.md et le contenu aperçu est assez fragmenté entre plusieurs fichiers.

84/100

Points forts

Déclenchement très clair pour les investigations d’évasion des défenses sur endpoint, avec des cas d’usage explicites pour la manipulation de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité.
L’aide opérationnelle est plus solide qu’une simple skill documentaire : elle inclut des workflows, des références et deux scripts pour analyser les journaux d’événements Windows / des données au format EVTX.
Bon apport pour décider de l’installation grâce à des correspondances étayées avec MITRE ATT&CK, Sigma, les Event ID Sysmon et des patterns de détection.

Points de vigilance

Aucune commande d’installation n’apparaît dans SKILL.md, donc les utilisateurs devront peut-être déduire eux-mêmes le mode de configuration et d’appel.
L’aperçu laisse penser que le workflow principal est réparti sur plusieurs fichiers, ce qui peut ralentir la première prise en main malgré une base de contenu importante.

Endpoint Security Edr Logs Event Logs Sysmon Windows Security Detection Engineering Sigma Rules

Vue d’ensemble

Vue d’ensemble de la compétence détecting-evasion-techniques-in-endpoint-logs

Ce que fait cette compétence

La compétence detecting-evasion-techniques-in-endpoint-logs vous aide à traquer les techniques d’évasion des défenses dans la télémétrie des endpoints Windows, en particulier les activités MITRE ATT&CK TA0005 comme l’effacement de journaux, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Elle est surtout utile aux analystes qui ont besoin d’un vrai workflow de détection, pas seulement d’une liste de commandes suspectes.

À qui l’installer

Utilisez la compétence detecting-evasion-techniques-in-endpoint-logs si vous faites du threat hunting, de l’ingénierie de détection ou du triage d’incident sur des logs Sysmon, Windows Security ou EDR. Elle est particulièrement adaptée lorsque vous disposez déjà de données d’événements endpoint et que vous voulez transformer un soupçon vague en chasse reproductible.

Ce qui la différencie

Cette compétence s’appuie sur des IDs d’événements concrets, des modèles de requêtes et des templates de chasse, plutôt que sur des conseils génériques. Le repo inclut des indications de workflow, un template de détection et des exemples basés sur des scripts, ce qui rend la compétence detecting-evasion-techniques-in-endpoint-logs plus exploitable qu’un simple prompt du type « trouve une activité malveillante ».

Comment utiliser la compétence detecting-evasion-techniques-in-endpoint-logs

Installer et vérifier le périmètre

Installez avec npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-evasion-techniques-in-endpoint-logs. Après l’installation, vérifiez que la compétence s’active pour les demandes liées à l’évasion des défenses sur endpoint, et non pour l’évasion réseau ou le reverse engineering de malwares. Si votre cas concerne le proxying, le traffic shaping ou le dépaquetage de payload, cette compétence n’est pas la bonne.

Commencer avec les bons éléments d’entrée

Pour un bon detecting-evasion-techniques-in-endpoint-logs usage, fournissez :

source de logs : Sysmon, Windows Security ou EDR
technique cible : par exemple T1070.001, T1055 ou T1562.001
fenêtre temporelle : dernières 24 heures vs 30 à 90 jours
contraintes d’environnement : domaine, bruit de fond, allowlists, outils d’admin connus

Entrée faible : « trouvez l’évasion ».
Meilleure entrée : « Cherchez l’effacement de journaux T1070.001 dans les logs Sysmon et Security sur les 14 derniers jours, sur 200 endpoints ; privilégiez les indices qui distinguent la maintenance admin du nettoyage mené par un attaquant. »

Lire ces fichiers en premier

Pour utiliser au plus vite le detecting-evasion-techniques-in-endpoint-logs guide, consultez :

SKILL.md pour le périmètre et les déclencheurs
assets/template.md pour le format de sortie de la chasse
references/api-reference.md pour les IDs d’événements et les patterns de détection
references/workflows.md pour le flux de chasse et de déploiement
references/standards.md pour le contexte ATT&CK et Sigma

Adopter un workflow centré sur la chasse

Le detecting-evasion-techniques-in-endpoint-logs usage le plus fiable consiste à choisir une technique, valider la couverture des logs, exécuter une requête ciblée, puis trier les résultats. Commencez par le template de chasse, associez la technique à la bonne source d’événements, puis seulement ensuite élargissez à une télémétrie adjacente comme les arbres de processus ou les changements de registre. Cela permet de garder les faux positifs sous contrôle et facilite l’industrialisation du résultat.

FAQ sur la compétence detecting-evasion-techniques-in-endpoint-logs

Est-ce principalement pour le Threat Hunting ?

Oui. detecting-evasion-techniques-in-endpoint-logs for Threat Hunting est le cas d’usage le plus clair, car la compétence est construite autour de recherches fondées sur des hypothèses, du triage et de l’affinage de règles. Elle sert aussi à l’ingénierie de détection lorsque vous voulez transformer les résultats d’une chasse en règle SIEM réutilisable.

Puis-je l’utiliser avec un prompt générique à la place ?

Oui, mais la compétence est plus utile quand vous voulez réduire la part d’improvisation. Un prompt générique peut produire des conseils larges ; cette compétence fournit des éléments spécifiques à la technique, des indications sur les sources d’événements et un workflow pratique, plus facile à réutiliser d’une investigation à l’autre.

Quelles sont ses limites ?

Elle est centrée sur la télémétrie endpoint et sur l’évasion des défenses dans un contexte Windows. N’attendez pas d’elle qu’elle résolve l’évasion réseau, la forensic mémoire ou l’analyse complète de malware. Si vos logs n’incluent pas la création de processus, l’exécution de scripts ou les changements d’horodatage de fichiers, la valeur de détection restera limitée.

Est-elle adaptée aux débutants ?

Oui, si vous connaissez déjà les bases du logging endpoint. Les débutants en tirent le plus de valeur en commençant par une seule technique, une seule source de données et une seule période de temps, plutôt que d’essayer de chasser toutes les méthodes d’évasion en même temps.

Comment améliorer detecting-evasion-techniques-in-endpoint-logs

Donner un contexte de chasse plus précis

Le plus gros gain de qualité vient de la précision sur la technique, la plateforme et le bruit attendu. Par exemple, mentionnez wevtutil cl, Clear-EventLog, l’Event ID 2 de Sysmon ou des commandes de désactivation de Defender quand c’est pertinent. Cela aide la compétence detecting-evasion-techniques-in-endpoint-logs à produire une logique de détection précise plutôt qu’un langage de chasse trop général.

Ajouter les détails de base et d’exclusion

Si votre environnement contient des scripts d’administration, des outils d’imaging, des tâches de maintenance EDR ou des agents de sauvegarde, indiquez-le dès le départ. Les faux positifs proviennent souvent d’une maintenance légitime des journaux ou d’opérations de sécurité, donc le meilleur résultat d’detecting-evasion-techniques-in-endpoint-logs install est un prompt qui intègre les comportements connus à exclure.

Itérer à partir des preuves, pas des suppositions

Après la première réponse, affinez en renvoyant les artefacts réels : IDs d’événements, lignes de commande, images source/cible ou hôtes bruyants. Demandez une requête plus étroite, une checklist de triage ou une version à plus fort signal de la chasse. C’est la façon la plus rapide d’améliorer detecting-evasion-techniques-in-endpoint-logs usage sans élargir inutilement le périmètre.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

detecting-s3-data-exfiltration-attempts

par mukul975

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

Security Audit

Favoris 0GitHub 6.2k

analyzing-usb-device-connection-history

par mukul975

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Digital Forensics

Favoris 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-ransomware-encryption-behavior

par mukul975

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Incident Response

Favoris 0GitHub 0

detecting-privilege-escalation-attempts

par mukul975

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

Threat Hunting

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

detecting-process-hollowing-technique

par mukul975

detecting-process-hollowing-technique aide à traquer le process hollowing (T1055.012) dans la télémétrie Windows en corrélant les lancements suspendus, les altérations mémoire, les anomalies parent-enfant et les preuves d’API. Conçu pour les threat hunters, les detection engineers et les intervenants qui ont besoin d’un workflow pratique de detecting-process-hollowing-technique pour le Threat Hunting.

Threat Hunting

Favoris 0GitHub 0

detecting-rdp-brute-force-attacks

par mukul975

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

Security Audit

Favoris 0GitHub 6.2k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

exploiting-kerberoasting-with-impacket

par mukul975

exploiting-kerberoasting-with-impacket aide les testeurs autorisés à préparer un Kerberoasting avec `GetUserSPNs.py` d’Impacket, de l’énumération des SPN à l’extraction des tickets TGS, au cassage hors ligne et au reporting tenant compte de la détection. Utilisez ce guide exploiting-kerberoasting-with-impacket pour des workflows de test d’intrusion, avec un contexte clair d’installation et d’utilisation.

Penetration Testing

Favoris 0GitHub 6.2k

detecting-shadow-it-cloud-usage

par mukul975

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

Security Audit

Favoris 0GitHub 6.2k

detecting-service-account-abuse

par mukul975

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

Threat Hunting

Favoris 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

par mukul975

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

Digital Forensics

Favoris 0GitHub 6.2k

detecting-network-anomalies-with-zeek

par mukul975

La skill de détection d’anomalies réseau avec Zeek aide à déployer Zeek pour la surveillance passive du réseau, à examiner des journaux structurés et à créer des détections personnalisées pour le beaconing, le DNS tunneling et les activités de protocoles inhabituelles. Elle convient particulièrement à la chasse aux menaces, à la réponse aux incidents, aux métadonnées réseau prêtes pour un SIEM et aux workflows d’audit de sécurité, mais pas à la prévention en ligne.

Security Audit

Favoris 0GitHub 6.1k