detecting-wmi-persistence

par mukul975

Le skill detecting-wmi-persistence aide les threat hunters et les analystes DFIR à détecter la persistance par abonnement d’événements WMI dans la télémétrie Windows à l’aide des Event ID Sysmon 19, 20 et 21. Servez-vous-en pour repérer des activités malveillantes EventFilter, EventConsumer et FilterToConsumerBinding, valider les résultats et distinguer une persistance d’attaquant d’une automatisation d’administration légitime.

Étoiles0

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieThreat Hunting

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-wmi-persistence

Score éditorial

Ce skill obtient 78/100 et mérite d’être सूची?

78/100

Points forts

Trigger clair et précis : chasse à la persistance des abonnements d’événements WMI via les Event ID Sysmon 19, 20 et 21.
Le workflow opérationnel est bien détaillé avec les prérequis, les types de consommateurs suspects et des exemples d’énumération PowerShell/WMI.
Les fichiers d’appui renforcent l’ensemble : un script agent Python et une référence API pour les champs et commandes Sysmon/WMI.

Points de vigilance

Nécessite un environnement assez spécifique : journalisation WMI via Sysmon, ingestion SIEM et accès PowerShell/WMI sur des endpoints Windows.
L’installabilité reste un peu limitée par l’absence de commande d’installation et par un niveau de signal de workflow seulement modéré au-delà du cœur de détection.

Wmi Persistence Sysmon Windows Mitre Attack Dfir Event Logs Endpoint Security

Vue d’ensemble

Aperçu du skill detecting-wmi-persistence

Le skill detecting-wmi-persistence vous aide à traquer la persistance par abonnement à des événements WMI dans la télémétrie Windows, en particulier les Event IDs Sysmon 19, 20 et 21. Il est particulièrement adapté aux threat hunters, aux analystes DFIR et aux équipes blue team qui doivent déterminer si une activité WMI suspecte relève d’une automatisation d’administration légitime ou d’une persistance attaquant.

À quoi sert detecting-wmi-persistence

Ce skill detecting-wmi-persistence est conçu pour une mission précise : identifier les activités malveillantes EventFilter, EventConsumer et FilterToConsumerBinding liées à MITRE ATT&CK T1546.003. Il est surtout utile lorsque vous disposez déjà de télémétrie ou d’une alerte et que vous voulez passer rapidement du signal à la preuve.

En quoi il diffère d’un prompt générique

Contrairement à un prompt large du type « vérifier la persistance », detecting-wmi-persistence vous donne un modèle de données concret : journaux Sysmon, requêtes sur les espaces de noms WMI, types de consommateurs suspects et étapes de nettoyage. Cela le rend plus fiable pour des investigations répétables et plus simple à intégrer dans un workflow SIEM ou endpoint.

Utilisateurs et environnements les plus adaptés

Utilisez detecting-wmi-persistence si Sysmon est déployé, si vous ingérez les événements Windows via Windows event forwarding ou un SIEM, et si vous avez suffisamment d’accès pour interroger root\subscription. Il convient mieux à l’ingénierie de chasse, à la réponse à incident et à la validation purple team qu’à une enquête légère menée uniquement depuis un poste de travail.

Comment utiliser le skill detecting-wmi-persistence

Installer le skill detecting-wmi-persistence

Installez avec :

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-wmi-persistence

Ouvrez ensuite d’abord skills/detecting-wmi-persistence/SKILL.md, puis references/api-reference.md et scripts/agent.py pour comprendre le mappage des événements et la logique de détection.

Démarrer avec la bonne entrée

L’usage de detecting-wmi-persistence fonctionne mieux si vous fournissez l’un de ces éléments : un extrait d’événement Sysmon, un nom d’hôte suspect, une fenêtre temporelle ou un nom précis de consommateur/filtre WMI. Une demande vague comme « vérifier une persistance WMI » est plus lente à exploiter que « enquêter sur les Event IDs Sysmon 19-21 depuis l’hôte X entre 02:00 et 06:00 UTC ».

Workflow recommandé pour la threat hunting

Pour detecting-wmi-persistence en Threat Hunting, commencez par les Event IDs Sysmon 19, 20 et 21, puis vérifiez si le consumer est CommandLineEventConsumer ou ActiveScriptEventConsumer, puis validez le binding dans root\subscription. Si vous avez un nom de filtre ou de consumer candidat, utilisez-le pour resserrer la chasse avant de tout énumérer.

Ce qu’il faut lire en premier dans le dépôt

Lisez references/api-reference.md pour les Event IDs, l’énumération PowerShell et les classes de consumers suspects. Lisez scripts/agent.py si vous voulez comprendre comment le skill automatise la collecte, ce qu’il considère comme suspect, et quelles hypothèses il fait sur l’accès Windows et la disponibilité de la télémétrie.

FAQ sur le skill detecting-wmi-persistence

detecting-wmi-persistence est-il réservé aux utilisateurs de Sysmon ?

Dans l’ensemble, oui. Le skill est construit autour des Event IDs Sysmon 19, 20 et 21 ; si vous n’avez pas activé la journalisation WMI de Sysmon, le skill detecting-wmi-persistence sera nettement moins efficace. Vous pouvez toujours utiliser les idées de requêtes WMI, mais vous perdrez le chemin de détection le plus solide.

Faut-il être expert WMI pour l’utiliser ?

Non. Le guide detecting-wmi-persistence est utile aux débutants capables de fournir des logs ou du contexte hôte, parce qu’il transforme un contrôle de persistance très ciblé en chasse structurée. Il faut toutefois disposer d’un accès Windows suffisant pour valider les subscriptions, ou travailler avec une personne qui l’a.

Quand ne faut-il pas utiliser ce skill ?

N’utilisez pas detecting-wmi-persistence comme skill général de triage malware ni comme remplacement d’une analyse forensique endpoint complète. Si le problème dépasse la seule persistance WMI, vous aurez peut-être d’abord intérêt à utiliser un skill de hunting ou d’IR plus généraliste.

En quoi se compare-t-il à un prompt classique ?

Un prompt classique demande souvent au modèle d’inférer le workflow de mémoire. Le skill detecting-wmi-persistence vous donne une trajectoire plus serrée : Event IDs, classes d’artefacts probables et étapes de validation appuyées par le dépôt, ce qui réduit généralement les faux départs et améliore la structure de l’investigation.

Comment améliorer le skill detecting-wmi-persistence

Fournir une télémétrie de meilleure qualité dès le départ

Le principal levier d’amélioration pour detecting-wmi-persistence, c’est la qualité de l’entrée. Fournissez le XML Sysmon brut, des extraits d’événements transférés, le rôle de l’hôte et la plage horaire. Par exemple, « Host WS-17, événements Sysmon 19-21, CommandLineEventConsumer suspect, contexte utilisateur inconnu » est bien plus utile que « je crois que WMI est bizarre ».

Distinguer l’automatisation légitime de la persistance suspecte

Une erreur fréquente consiste à surinterpréter un usage WMI d’administration légitime. Améliorez les résultats de detecting-wmi-persistence en indiquant ce qui est normal dans votre environnement : outils de déploiement connus, agents de gestion planifiés ou scripts approuvés. Ce contexte aide la chasse à se concentrer sur les filtres, consumers et bindings inhabituels.

Itérer avec des questions de suivi ciblées

Après le premier passage, demandez au skill detecting-wmi-persistence de se concentrer sur un seul type d’artefact à la fois : filter, consumer ou binding. Vous pouvez aussi demander une checklist de validation, un plan de requêtes orienté nettoyage ou une traduction de requête SIEM. Cette façon d’itérer produit généralement des résultats plus exploitables qu’un verdict large et unique.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

detecting-s3-data-exfiltration-attempts

par mukul975

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

Security Audit

Favoris 0GitHub 6.2k

analyzing-usb-device-connection-history

par mukul975

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Digital Forensics

Favoris 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-ransomware-encryption-behavior

par mukul975

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Incident Response

Favoris 0GitHub 0

detecting-privilege-escalation-attempts

par mukul975

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

Threat Hunting

Favoris 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

par mukul975

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

Threat Hunting

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

detecting-process-hollowing-technique

par mukul975

detecting-process-hollowing-technique aide à traquer le process hollowing (T1055.012) dans la télémétrie Windows en corrélant les lancements suspendus, les altérations mémoire, les anomalies parent-enfant et les preuves d’API. Conçu pour les threat hunters, les detection engineers et les intervenants qui ont besoin d’un workflow pratique de detecting-process-hollowing-technique pour le Threat Hunting.

Threat Hunting

Favoris 0GitHub 0

detecting-rdp-brute-force-attacks

par mukul975

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

Security Audit

Favoris 0GitHub 6.2k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

exploiting-kerberoasting-with-impacket

par mukul975

exploiting-kerberoasting-with-impacket aide les testeurs autorisés à préparer un Kerberoasting avec `GetUserSPNs.py` d’Impacket, de l’énumération des SPN à l’extraction des tickets TGS, au cassage hors ligne et au reporting tenant compte de la détection. Utilisez ce guide exploiting-kerberoasting-with-impacket pour des workflows de test d’intrusion, avec un contexte clair d’installation et d’utilisation.

Penetration Testing

Favoris 0GitHub 6.2k

detecting-shadow-it-cloud-usage

par mukul975

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

Security Audit

Favoris 0GitHub 6.2k

detecting-service-account-abuse

par mukul975

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

Threat Hunting

Favoris 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

par mukul975

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

Digital Forensics

Favoris 0GitHub 6.2k