Cybersecurity

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

La skill de détection d’anomalies réseau avec Zeek aide à déployer Zeek pour la surveillance passive du réseau, à examiner des journaux structurés et à créer des détections personnalisées pour le beaconing, le DNS tunneling et les activités de protocoles inhabituelles. Elle convient particulièrement à la chasse aux menaces, à la réponse aux incidents, aux métadonnées réseau prêtes pour un SIEM et aux workflows d’audit de sécurité, mais pas à la prévention en ligne.

detecting-beaconing-patterns-with-zeek aide à analyser les intervalles du fichier `conn.log` de Zeek pour détecter un beaconing de type C2. Le skill s’appuie sur ZAT, regroupe les flux par source, destination et port, puis attribue un score aux motifs à faible gigue à l’aide de contrôles statistiques. Il est particulièrement adapté aux équipes SOC, au threat hunting, à la réponse à incident et aux workflows d’audit de sécurité impliquant detecting-beaconing-patterns-with-zeek.

building-patch-tuesday-response-process aide les équipes à mettre en place un processus Microsoft Patch Tuesday reproductible pour trier les avis, hiérarchiser les risques, tester les correctifs, valider le déploiement et suivre la conformité. Idéal pour les opérations de sécurité, la gestion des vulnérabilités et le pilotage de projet autour de building-patch-tuesday-response-process.

analyzing-supply-chain-malware-artifacts est un skill d’analyse malware pour remonter la piste de mises à jour trojanisées, de dépendances empoisonnées et d’altérations de pipeline de build. Utilisez-le pour comparer des artefacts fiables et suspects, extraire des indicateurs de compromission, évaluer l’étendue de l’incident et rédiger des conclusions avec moins d’incertitude.

Le skill generating-threat-intelligence-reports transforme des données cyber analysées en rapports de threat intelligence stratégiques, opérationnels, tactiques ou flash, destinés aux dirigeants, aux équipes SOC, aux responsables IR et aux analystes. Il prend en charge le finished intelligence, le langage de confiance, la gestion du TLP et des recommandations claires pour la rédaction de rapports.

evaluating-threat-intelligence-platforms vous aide à comparer les produits TIP selon l’ingestion de flux, la prise en charge de STIX/TAXII, l’automatisation, les workflows analystes, les intégrations et le coût total de possession. Utilisez ce guide evaluating-threat-intelligence-platforms pour les achats, une migration ou la planification de maturité, y compris l’évaluation de evaluating-threat-intelligence-platforms pour le Threat Modeling lorsque le choix de la plateforme influence la traçabilité et le partage des preuves.

detecting-living-off-the-land-with-lolbas aide à détecter les abus de LOLBAS avec Sysmon et les journaux d’événements Windows, en s’appuyant sur la télémétrie des processus, le contexte parent-enfant, des règles Sigma et un guide pratique pour le triage, la chasse et la rédaction de règles. Il prend en charge detecting-living-off-the-land-with-lolbas pour la modélisation des menaces et les workflows analyste autour de certutil, regsvr32, mshta et rundll32.

Skill de détection des attaques Living off the Land pour les audits de sécurité, le threat hunting et la réponse à incident. Détectez l’abus de binaires Windows légitimes comme `certutil`, `mshta`, `rundll32` et `regsvr32` à partir de la création de processus, de la ligne de commande et de la télémétrie parent-enfant. Ce guide se concentre sur des patterns de détection exploitables pour les LOLBin, pas sur un durcissement Windows général.

detecting-lateral-movement-in-network aide à détecter les déplacements latéraux après compromission dans les réseaux d’entreprise, à partir des journaux d’événements Windows, des télémétries Zeek, de SMB, de RDP et de la corrélation SIEM. Il est utile pour la chasse aux menaces, la réponse à incident et les revues d’audit de sécurité, avec des workflows de détection concrets pour detecting-lateral-movement-in-network.

detecting-golden-ticket-forgery détecte la falsification d’un Kerberos Golden Ticket en analysant l’Event ID Windows 4769, l’usage d’un downgrade vers RC4 (0x17), des durées de ticket anormales et des anomalies krbtgt dans Splunk et Elastic. Conçu pour l’audit de sécurité, l’investigation d’incident et la chasse aux menaces, avec des indications de détection concrètes et exploitables.

detecting-dll-sideloading-attacks aide les équipes de Security Audit, de chasse aux menaces et de réponse à incident à détecter le DLL side-loading avec Sysmon, EDR, MDE et Splunk. Ce guide detecting-dll-sideloading-attacks inclut des notes de workflow, des modèles de chasse, le mapping des standards et des scripts pour transformer des chargements DLL suspects en détections répétables.

detecting-deepfake-audio-in-vishing-attacks aide les équipes de sécurité à analyser l’audio pour repérer la parole générée par IA dans des cas de vishing, de fraude et d’usurpation d’identité. Il extrait des caractéristiques spectrales et basées sur les MFCC, attribue un score aux échantillons suspects et produit un rapport de type forensique pour examen. Idéal pour les workflows d’audit de sécurité et de réponse à incident.

La skill de détection des techniques de credential dumping vous aide à détecter les accès à LSASS, l’export SAM, le vol de NTDS.dit et l’abus de comsvcs.dll MiniDump à l’aide de l’Event ID 10 de Sysmon, des journaux de sécurité Windows et de règles de corrélation SIEM. Elle est conçue pour le threat hunting, l’ingénierie de détection et les workflows d’audit de sécurité.

detecting-attacks-on-historian-servers aide à détecter les activités suspectes sur les serveurs historian OT comme OSIsoft PI, Ignition et Wonderware, à la frontière IT/OT. Utilisez ce guide detecting-attacks-on-historian-servers pour la réponse à incident, l’identification de requêtes non autorisées, la détection de manipulation de données, l’abus d’API et le triage des mouvements latéraux.

detecting-api-enumeration-attacks aide les équipes de Security Audit à détecter le probing d’API, les attaques BOLA et les IDOR en analysant les IDs séquentiels, les rafales de 404, les échecs d’autorisation et les chemins de découverte de la documentation. Conçu pour guider une détection pilotée par les logs, rédiger des règles et passer en revue concrètement les schémas d’abus d’API.

correlating-threat-campaigns aide les analystes Threat Intelligence à relier incidents, IOC et TTP pour produire des preuves au niveau campagne. Utilisez-la pour comparer des événements historiques, distinguer les liens solides des correspondances fragiles et bâtir un clustering défendable pour les rapports MISP, SIEM et CTI.

Le skill configuring-pfsense-firewall-rules vous aide à concevoir des règles pfSense pour la segmentation, le NAT, l’accès VPN et la gestion du trafic. Utilisez-le pour créer ou auditer une politique de pare-feu pour les zones LAN, DMZ, invités et IoT, avec des conseils pratiques pour l’installation, l’utilisation et les workflows d’audit de sécurité.

configuring-ldap-security-hardening aide les ingénieurs sécurité et les auditeurs à évaluer les risques LDAP, notamment le bind anonyme, la signature faible, l’absence de LDAPS et les lacunes de channel binding. Utilisez ce guide configuring-ldap-security-hardening pour consulter les docs de référence, exécuter l’assistant d’audit Python et produire des mesures correctives concrètes pour un audit de sécurité.

conducting-pass-the-ticket-attack est une compétence de Security Audit et de red-team dédiée à la planification et à la documentation des workflows Pass-the-Ticket. Elle aide à examiner les tickets Kerberos, à cartographier les signaux de détection et à produire un flux de validation ou de rapport structuré à l’aide de la compétence conducting-pass-the-ticket-attack.

conducting-memory-forensics-with-volatility vous aide à analyser des dumps RAM avec Volatility 3 pour repérer du code injecté, des processus suspects, des connexions réseau, du vol d’identifiants et une activité noyau cachée. C’est une compétence pratique de conducting-memory-forensics-with-volatility pour le triage en forensic numérique et en réponse à incident.

Skill conducting-external-reconnaissance-with-osint pour le footprinting externe passif, la cartographie de la surface d’attaque et la préparation d’un audit de sécurité à partir de sources publiques comme DNS, crt.sh, Shodan, GitHub et des données de fuite. Conçu pour une reconnaissance autorisée, avec un contrôle clair du périmètre, une séparation des sources et des résultats concrets.

Guide de persistence de domaine avec DCSync pour des audits de sécurité Active Directory autorisés. Découvrez l’installation, l’utilisation et les points de workflow pour évaluer les droits DCSync, l’exposition de KRBTGT, le risque de Golden Ticket et les mesures de remédiation à l’aide des scripts, références et du modèle de rapport inclus.

conducting-api-security-testing aide les testeurs autorisés à évaluer des API REST, GraphQL et gRPC sur les aspects d’authentification, d’autorisation, de limitation de débit, de validation des entrées et de failles de logique métier, à l’aide d’un workflow aligné sur l’OWASP API Security Top 10. Utilisez-le pour des tests de sécurité API structurés, fondés sur des preuves, et pour des revues d’audit sécurité.