Elastic

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

detecting-pass-the-ticket-attacks aide à détecter les activités Kerberos Pass-the-Ticket en corrélant les identifiants d’événements Windows Security 4768, 4769 et 4771. Utilisez-le pour la threat hunting dans Splunk ou Elastic afin d’identifier la réutilisation de tickets, les rétrogradations vers RC4 et des volumes TGS inhabituels, avec des requêtes pratiques et des indications sur les champs.

deploying-edr-agent-with-crowdstrike aide à planifier, installer et vérifier le déploiement du capteur CrowdStrike Falcon sur les terminaux Windows, macOS et Linux. Utilisez cette compétence deploying-edr-agent-with-crowdstrike pour obtenir des নির্দেশications d’installation, configurer les politiques, intégrer la télémétrie au SIEM et préparer la réponse aux incidents.

building-incident-response-dashboard aide les équipes à créer des tableaux de bord de réponse aux incidents en temps réel dans Splunk, Elastic ou Grafana pour suivre les incidents actifs, l’état du confinement, les actifs touchés, la propagation des IOC et les chronologies de réponse. Utilisez cette compétence building-incident-response-dashboard lorsque vous avez besoin d’un tableau de bord ciblé pour les analystes SOC, les coordinateurs d’incident et la direction.

building-detection-rules-with-sigma aide les analystes à créer des règles de détection Sigma portables à partir de renseignements sur les menaces ou de règles éditeur, à les mapper sur MITRE ATT&CK et à les convertir pour des SIEM comme Splunk, Elastic et Microsoft Sentinel. Utilisez ce guide building-detection-rules-with-sigma pour les workflows de Security Audit, la standardisation et la détection as code.