Mitre Attack

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

analyzing-campaign-attribution-evidence aide les analystes à évaluer le chevauchement d’infrastructure, la cohérence avec ATT&CK, la similarité des malwares, la chronologie et les indices linguistiques afin d’étayer une attribution de campagne défendable. Utilisez ce guide analyzing-campaign-attribution-evidence pour les revues CTI, l’analyse d’incidents et les audits de sécurité.

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

executing-red-team-exercise est une compétence de cybersécurité pour planifier et suivre des exercices réalistes de red team. Elle prend en charge l’émulation d’adversaires tout au long de la reconnaissance, du choix des techniques, de l’exécution et de l’analyse des écarts de détection, ce qui la rend utile pour les travaux d’audit de sécurité et les évaluations alignées sur ATT&CK.

Le skill detecting-wmi-persistence aide les threat hunters et les analystes DFIR à détecter la persistance par abonnement d’événements WMI dans la télémétrie Windows à l’aide des Event ID Sysmon 19, 20 et 21. Servez-vous-en pour repérer des activités malveillantes EventFilter, EventConsumer et FilterToConsumerBinding, valider les résultats et distinguer une persistance d’attaquant d’une automatisation d’administration légitime.

detecting-process-hollowing-technique aide à traquer le process hollowing (T1055.012) dans la télémétrie Windows en corrélant les lancements suspendus, les altérations mémoire, les anomalies parent-enfant et les preuves d’API. Conçu pour les threat hunters, les detection engineers et les intervenants qui ont besoin d’un workflow pratique de detecting-process-hollowing-technique pour le Threat Hunting.

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Skill de détection des attaques Living off the Land pour les audits de sécurité, le threat hunting et la réponse à incident. Détectez l’abus de binaires Windows légitimes comme `certutil`, `mshta`, `rundll32` et `regsvr32` à partir de la création de processus, de la ligne de commande et de la télémétrie parent-enfant. Ce guide se concentre sur des patterns de détection exploitables pour les LOLBin, pas sur un durcissement Windows général.

Le skill détecter les attaques Kerberoasting aide à traquer le Kerberoasting en repérant les requêtes Kerberos TGS suspectes, les chiffrages faibles des tickets et les schémas liés aux comptes de service. Utilisez-le pour des workflows SIEM, EDR et EVTX, ainsi que pour la détection des attaques Kerberoasting dans des workflows de Threat Modeling, avec des modèles de détection pratiques et des conseils d’ajustement.

La compétence detecting-insider-threat-behaviors aide les analystes à repérer des signaux de risque interne comme des accès inhabituels aux données, des activités hors horaires, des téléchargements massifs, des abus de privilèges et des vols corrélés à une démission. Utilisez ce guide detecting-insider-threat-behaviors pour la threat hunting, le triage de type UEBA et la modélisation des menaces, avec des modèles de workflow, des exemples de requêtes SIEM et des pondérations de risque.

detecting-dll-sideloading-attacks aide les équipes de Security Audit, de chasse aux menaces et de réponse à incident à détecter le DLL side-loading avec Sysmon, EDR, MDE et Splunk. Ce guide detecting-dll-sideloading-attacks inclut des notes de workflow, des modèles de chasse, le mapping des standards et des scripts pour transformer des chargements DLL suspects en détections répétables.

detecting-command-and-control-over-dns est un skill de cybersécurité dédié à la détection du command-and-control (C2) via DNS, notamment les tunnels DNS, les beaconing, les domaines DGA et les abus de TXT/CNAME. Il aide les analystes SOC, les threat hunters et les équipes d’audit sécurité grâce à des contrôles d’entropie, à la corrélation avec le DNS passif et à des workflows de détection de type Zeek ou Suricata.

correlating-threat-campaigns aide les analystes Threat Intelligence à relier incidents, IOC et TTP pour produire des preuves au niveau campagne. Utilisez-la pour comparer des événements historiques, distinguer les liens solides des correspondances fragiles et bâtir un clustering défendable pour les rapports MISP, SIEM et CTI.

Le skill conducting-post-incident-lessons-learned aide les équipes Incident Response à mener des retours d’expérience structurés après incident, à établir des chronologies factuelles, à identifier les causes profondes, à consigner ce qui a bien fonctionné et ce qui a échoué, puis à transformer chaque incident en améliorations mesurables avec responsables, échéances et mises à jour des playbooks.

conducting-pass-the-ticket-attack est une compétence de Security Audit et de red-team dédiée à la planification et à la documentation des workflows Pass-the-Ticket. Elle aide à examiner les tickets Kerberos, à cartographier les signaux de détection et à produire un flux de validation ou de rapport structuré à l’aide de la compétence conducting-pass-the-ticket-attack.

conducting-cloud-penetration-testing vous aide à planifier et à mener des évaluations cloud autorisées sur AWS, Azure et GCP. Servez-vous-en pour repérer les erreurs de configuration IAM, l’exposition des métadonnées, les ressources publiques et les chemins d’escalade, puis transformer les résultats en rapport d’audit de sécurité. Il s’intègre au skill conducting-cloud-penetration-testing dans les workflows d’audit de sécurité.

La compétence collecting-threat-intelligence-with-misp vous aide à collecter, normaliser, rechercher et exporter la threat intelligence dans MISP. Utilisez ce guide collecting-threat-intelligence-with-misp pour les flux, les workflows PyMISP, le filtrage d’événements, la réduction des warninglists et des usages concrets de collecting-threat-intelligence-with-misp pour le Threat Modeling et les opérations CTI.

Skill building-threat-intelligence-platform pour concevoir, déployer et évaluer une plateforme de threat intelligence avec MISP, OpenCTI, TheHive, Cortex, STIX/TAXII et Elasticsearch. À utiliser pour les consignes d’installation, les workflows d’utilisation et la planification d’un Security Audit, avec l’appui de références au dépôt et de scripts.

building-threat-hunt-hypothesis-framework vous aide à construire des hypothèses de threat hunting testables à partir du renseignement sur les menaces, du mapping ATT&CK et de la télémétrie. Utilisez ce skill building-threat-hunt-hypothesis-framework pour planifier vos chasses, mapper les sources de données, exécuter des requêtes et documenter les résultats dans le cadre du threat hunting et du Threat Modeling avec building-threat-hunt-hypothesis-framework.

building-threat-actor-profile-from-osint aide les équipes de threat intelligence à transformer l’OSINT en profils structurés d’acteurs de menace. Elle prend en charge le profilage de groupes nommés ou de campagnes, avec cartographie ATT&CK, corrélation des infrastructures, traçabilité des sources et notes de confiance pour une analyse défendable.

Le skill building-soc-playbook-for-ransomware s’adresse aux équipes SOC qui ont besoin d’un playbook structuré de réponse au ransomware. Il couvre les déclencheurs de détection, le confinement, l’éradication, la reprise et des procédures prêtes pour l’audit, alignées sur NIST SP 800-61 et MITRE ATT&CK. À utiliser pour créer un playbook concret, animer des exercices de simulation et soutenir les audits de sécurité.

building-detection-rules-with-sigma aide les analystes à créer des règles de détection Sigma portables à partir de renseignements sur les menaces ou de règles éditeur, à les mapper sur MITRE ATT&CK et à les convertir pour des SIEM comme Splunk, Elastic et Microsoft Sentinel. Utilisez ce guide building-detection-rules-with-sigma pour les workflows de Security Audit, la standardisation et la détection as code.

building-detection-rule-with-splunk-spl aide les analystes SOC et les ingénieurs détection à créer des recherches corrélées Splunk SPL pour la détection de menaces, le tuning et la revue Security Audit. Utilisez-le pour transformer un brief de détection en règle déployable, avec cartographie MITRE, enrichissement et consignes de validation.