Blue Team

detecting-lateral-movement-with-zeek est une compétence de cybersécurité basée sur Zeek, conçue pour la chasse aux menaces et la réponse à incident. Elle aide à détecter l’accès aux partages d’administration SMB, la création de services DCE/RPC, le spray NTLM, les anomalies Kerberos et les transferts internes suspects à partir de journaux Zeek tels que `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` et `kerberos.log`.

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

Compétence detecting-t1003-credential-dumping-with-edr pour la threat hunting avec EDR, Sysmon et la corrélation des événements Windows afin de détecter le dumping d’identifiants via LSASS, SAM, NTDS.dit, les secrets LSA et les identifiants mis en cache. À utiliser pour valider les alertes, circonscrire les incidents et réduire les faux positifs grâce à un workflow concret.

detecting-container-escape-with-falco-rules aide à détecter les tentatives d’évasion de conteneur grâce aux règles de sécurité d’exécution Falco. Le contenu se concentre sur les signaux syscall, les conteneurs privilégiés, l’abus des chemins d’hôte, la validation et les workflows de réponse à incident pour les environnements Kubernetes et les conteneurs Linux.