hunting-advanced-persistent-threats

par mukul975

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

Étoiles0

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieThreat Hunting

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill hunting-advanced-persistent-threats

Score éditorial

Cette skill obtient un score de 78/100, ce qui en fait une fiche solide mais pas de premier plan : les utilisateurs du répertoire disposent d’un workflow de chasse APT clairement ciblé et suffisamment étoffé pour décider d’une installation, tout en devant s’attendre à une certaine dépendance de configuration à des outils de sécurité externes et à des bibliothèques Python d’appui.

78/100

Points forts

Forte déclencheabilité : le frontmatter indique explicitement quand l’utiliser, notamment pour les cycles de threat hunting, les anomalies UEBA et les demandes liées à ATT&CK/Velociraptor/osquery/Zeek.
Profondeur opérationnelle : le corps de la skill est dense, avec plusieurs sections, contraintes et blocs de code, ainsi qu’un script compagnon et une référence d’API qui soutiennent une véritable exécution de chasse.
Bon levier pour les agents : les références aux techniques ATT&CK, à NIST CSF, à D3FEND et à osquery/attackcti fournissent des points d’ancrage concrets pour le workflow plutôt qu’une simple consigne de chasse générique.

Points de vigilance

Aucune commande d’installation dans SKILL.md, donc les utilisateurs doivent déduire les dépendances à partir de la référence API et des imports du script.
L’extrait du script semble dépendre de bibliothèques externes (attackcti, osquery) et la skill suppose probablement l’existence de télémétrie et d’outils de sécurité d’entreprise, ce qui limite son intérêt dans des environnements légers.

Mitre Attack Apt Osquery Zeek Velociraptor Edr Security Network Security

Vue d’ensemble

Vue d’ensemble du skill hunting-advanced-persistent-threats

hunting-advanced-persistent-threats est un skill pratique de threat hunting pour repérer des activités de type APT à travers les données endpoint, réseau et mémoire. Il convient particulièrement aux analystes et ingénieurs sécurité qui veulent une méthode structurée pour valider un comportement suspect, rattacher les constats à MITRE ATT&CK et transformer l’intelligence en hunts plutôt qu’en recherches ad hoc.

Le skill hunting-advanced-persistent-threats est surtout utile lorsque vous disposez déjà de la télémétrie et que vous avez besoin d’un cadre reproductible pour répondre à la question : « Ces TTPs sont-elles présentes dans mon environnement ? ». Il privilégie un hunting guidé par des hypothèses, et non la gestion en temps réel d’un incident, ce qui le rend adapté aux cycles de hunts planifiés, au suivi après UEBA et à la validation de l’exposition.

À quoi ce skill sert le mieux

Ce skill vous aide à construire un hunt autour de comportements d’attaque connus : regroupement de TTPs, cartographie vers des techniques ATT&CK et requêtes concrètes pour des outils comme osquery et Zeek. Si vous cherchez un guide hunting-advanced-persistent-threats qui transforme du threat intelligence en étapes d’investigation, c’est un bon choix.

Utilisateurs et environnements les plus adaptés

Utilisez-le si vous travaillez avec EDR, des logs endpoint, de la télémétrie réseau ou des artefacts mémoire et que vous voulez un processus de hunting reproductible. Il est particulièrement pertinent pour les équipes qui utilisent la terminologie MITRE ATT&CK, les threat hunts planifiés ou les workflows d’ingénierie de détection.

À quel moment il n’est plus adapté

Ne l’utilisez pas comme substitut à une réponse à incident lorsqu’une compromission est confirmée. Si votre besoin principal est simplement de trier largement des alertes SOC sans hypothèse de hunt, un prompt générique peut être plus simple que le skill hunting-advanced-persistent-threats.

Comment utiliser le skill hunting-advanced-persistent-threats

Installez-le et inspectez d’abord le dépôt

Installez le skill hunting-advanced-persistent-threats avec le gestionnaire de skills de votre plateforme, puis lisez les fichiers source avant de l’utiliser dans des workflows de production. Commencez par SKILL.md, puis ouvrez references/api-reference.md et scripts/agent.py pour comprendre le flux ATT&CK attendu et la logique de génération des requêtes.

Donnez-lui une vraie hypothèse de hunt

L’usage le plus solide du skill hunting-advanced-persistent-threats commence par une entrée étroite : un acteur nommé, une technique ATT&CK, un schéma d’alerte ou une famille de comportements suspects. Meilleur prompt : « Cherche des signes de vol d’identifiants et de mouvement latéral de type APT29 à l’aide d’osquery et de Zeek ; priorise les endpoints Windows avec une activité récente de PowerShell et de tâches planifiées. » Prompt faible : « Trouve des APTs. »

Workflow recommandé pour améliorer la qualité des résultats

Utilisez le skill en trois étapes : définissez l’hypothèse, précisez la télémétrie disponible et cadrez l’environnement. Indiquez quels logs existent, quelle période compte et vers quels outils vous voulez orienter la sortie. Cela rend la décision d’installation du skill hunting-advanced-persistent-threats plus utile, car vous pouvez anticiper s’il générera des hunts exploitables ou un commentaire ATT&CK trop générique.

Fichiers et संकेत à lire en premier

Lisez references/api-reference.md pour les bibliothèques prises en charge et les références de techniques, puis scripts/agent.py pour comprendre comment les groupes ATT&CK sont traduits en hunts. Si vous prévoyez d’adapter le skill, vérifiez aussi les hypothèses de stack technique dans le script avant de copier des requêtes dans votre propre environnement.

FAQ du skill hunting-advanced-persistent-threats

Est-ce réservé aux analystes avancés ?

Non. Le skill hunting-advanced-persistent-threats est utilisable par des débutants s’ils peuvent fournir une hypothèse claire et savent quelle télémétrie ils possèdent. L’important n’est pas une expertise ATT&CK très poussée, mais le fait de donner au modèle assez de contexte pour générer un hunt adapté à votre environnement.

En quoi est-ce différent d’un prompt classique ?

Un prompt classique produit souvent une checklist large. Le skill hunting-advanced-persistent-threats est plus pertinent si vous voulez un guide de hunting-advanced-persistent-threats plus discipliné, relié à des techniques ATT&CK, à des types de télémétrie et à des chemins de requêtes concrets.

Avec quels outils fonctionne-t-il le mieux ?

Il fonctionne le mieux dans des environnements qui collectent déjà des données endpoint et réseau, surtout lorsque osquery, Zeek ou une analyse alignée sur ATT&CK fait partie du workflow. Si votre stack n’expose pas de télémétrie interrogeable, le skill sera moins utile qu’un modèle d’investigation manuel.

Quand ne faut-il pas l’utiliser ?

Ne l’utilisez pas pour gérer une compromission en direct, et ne l’utilisez pas si vous n’avez aucun objectif de hunting au-delà de « chercher des choses mauvaises ». Le skill est le plus efficace lorsque vous pouvez nommer le comportement de menace que vous voulez tester et la source de données que vous voulez interroger.

Comment améliorer le skill hunting-advanced-persistent-threats

Fournissez des entrées plus précises

Le gain de qualité le plus net vient de la spécificité : nommez l’acteur, la technique, la plateforme et la période. Par exemple, demandez un usage de hunting-advanced-persistent-threats contre T1059 et T1053 sur des hôtes Windows sur les 14 derniers jours, avec des sorties au format osquery et une courte checklist pour l’analyste.

Partagez vos contraintes de télémétrie

Dites au skill ce que vous pouvez réellement interroger : champs EDR, Sysmon, journaux de connexions Zeek, artefacts mémoire ou seulement des métadonnées endpoint. Si vous omettez cela, le skill peut produire de bonnes idées de hunt difficiles à exécuter. Une entrée précise vaut toujours mieux qu’une intention large dans hunting-advanced-persistent-threats pour le threat hunting.

Itérez de l’hypothèse vers la requête

Utilisez le premier résultat pour affiner le hunt : retirez les techniques non prises en charge, resserrez vers les chemins de persistance les plus probables et demandez des variantes de requêtes par source de logs. Si la première passe est trop large, demandez moins de techniques ATT&CK et des pivots plus précis, comme le processus parent, la ligne de commande, les tâches planifiées ou les destinations sortantes.

Surveillez les échecs les plus courants

Le problème le plus fréquent est une cartographie ATT&CK trop large, impressionnante en apparence mais impossible à exécuter dans votre stack. Un autre problème est l’absence de contexte sur les actifs, ce qui rend le hunt moins pertinent. Améliorez la sortie du skill hunting-advanced-persistent-threats en fournissant d’abord l’environnement, puis le comportement, puis le format de livrable.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

detecting-s3-data-exfiltration-attempts

par mukul975

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

Security Audit

Favoris 0GitHub 6.2k

analyzing-usb-device-connection-history

par mukul975

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Digital Forensics

Favoris 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-ransomware-encryption-behavior

par mukul975

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Incident Response

Favoris 0GitHub 0

detecting-privilege-escalation-attempts

par mukul975

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

Threat Hunting

Favoris 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

par mukul975

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

Threat Hunting

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

detecting-process-hollowing-technique

par mukul975

detecting-process-hollowing-technique aide à traquer le process hollowing (T1055.012) dans la télémétrie Windows en corrélant les lancements suspendus, les altérations mémoire, les anomalies parent-enfant et les preuves d’API. Conçu pour les threat hunters, les detection engineers et les intervenants qui ont besoin d’un workflow pratique de detecting-process-hollowing-technique pour le Threat Hunting.

Threat Hunting

Favoris 0GitHub 0

detecting-rdp-brute-force-attacks

par mukul975

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

Security Audit

Favoris 0GitHub 6.2k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

exploiting-kerberoasting-with-impacket

par mukul975

exploiting-kerberoasting-with-impacket aide les testeurs autorisés à préparer un Kerberoasting avec `GetUserSPNs.py` d’Impacket, de l’énumération des SPN à l’extraction des tickets TGS, au cassage hors ligne et au reporting tenant compte de la détection. Utilisez ce guide exploiting-kerberoasting-with-impacket pour des workflows de test d’intrusion, avec un contexte clair d’installation et d’utilisation.

Penetration Testing

Favoris 0GitHub 6.2k

detecting-shadow-it-cloud-usage

par mukul975

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

Security Audit

Favoris 0GitHub 6.2k

detecting-service-account-abuse

par mukul975

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

Threat Hunting

Favoris 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

par mukul975

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

Digital Forensics

Favoris 0GitHub 6.2k