par mukul975
Compétence detecting-t1003-credential-dumping-with-edr pour la threat hunting avec EDR, Sysmon et la corrélation des événements Windows afin de détecter le dumping d’identifiants via LSASS, SAM, NTDS.dit, les secrets LSA et les identifiants mis en cache. À utiliser pour valider les alertes, circonscrire les incidents et réduire les faux positifs grâce à un workflow concret.
par mukul975
detecting-dcsync-attack-in-active-directory est une compétence de threat hunting pour repérer les abus de DCSync dans Active Directory en corrélant les événements 4662, les GUID de réplication et les comptes DC légitimes. Utilisez-la pour confirmer, trier et documenter une activité de vol d’identifiants avec Splunk, KQL et des scripts d’analyse.
par mukul975
Compétence « extracting-config-from-agent-tesla-rat » pour l’analyse de malware : extraire la configuration .NET d’Agent Tesla, les identifiants SMTP/FTP/Telegram, les réglages du keylogger et les points de terminaison C2 avec un workflow reproductible.
