Edr

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

detecting-process-hollowing-technique aide à traquer le process hollowing (T1055.012) dans la télémétrie Windows en corrélant les lancements suspendus, les altérations mémoire, les anomalies parent-enfant et les preuves d’API. Conçu pour les threat hunters, les detection engineers et les intervenants qui ont besoin d’un workflow pratique de detecting-process-hollowing-technique pour le Threat Hunting.

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Skill de détection des attaques Living off the Land pour les audits de sécurité, le threat hunting et la réponse à incident. Détectez l’abus de binaires Windows légitimes comme `certutil`, `mshta`, `rundll32` et `regsvr32` à partir de la création de processus, de la ligne de commande et de la télémétrie parent-enfant. Ce guide se concentre sur des patterns de détection exploitables pour les LOLBin, pas sur un durcissement Windows général.

La compétence detecting-insider-threat-behaviors aide les analystes à repérer des signaux de risque interne comme des accès inhabituels aux données, des activités hors horaires, des téléchargements massifs, des abus de privilèges et des vols corrélés à une démission. Utilisez ce guide detecting-insider-threat-behaviors pour la threat hunting, le triage de type UEBA et la modélisation des menaces, avec des modèles de workflow, des exemples de requêtes SIEM et des pondérations de risque.

detecting-dll-sideloading-attacks aide les équipes de Security Audit, de chasse aux menaces et de réponse à incident à détecter le DLL side-loading avec Sysmon, EDR, MDE et Splunk. Ce guide detecting-dll-sideloading-attacks inclut des notes de workflow, des modèles de chasse, le mapping des standards et des scripts pour transformer des chargements DLL suspects en détections répétables.

deploying-edr-agent-with-crowdstrike aide à planifier, installer et vérifier le déploiement du capteur CrowdStrike Falcon sur les terminaux Windows, macOS et Linux. Utilisez cette compétence deploying-edr-agent-with-crowdstrike pour obtenir des নির্দেশications d’installation, configurer les politiques, intégrer la télémétrie au SIEM et préparer la réponse aux incidents.

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

building-threat-hunt-hypothesis-framework vous aide à construire des hypothèses de threat hunting testables à partir du renseignement sur les menaces, du mapping ATT&CK et de la télémétrie. Utilisez ce skill building-threat-hunt-hypothesis-framework pour planifier vos chasses, mapper les sources de données, exécuter des requêtes et documenter les résultats dans le cadre du threat hunting et du Threat Modeling avec building-threat-hunt-hypothesis-framework.