Powershell

extracting-windows-event-logs-artifacts vous aide à extraire, parser et analyser les journaux d’événements Windows (EVTX) pour la criminalistique numérique, la réponse à incident et la chasse aux menaces. Il prend en charge une analyse structurée des ouvertures de session, des créations de processus, des installations de services, des tâches planifiées, des changements de privilèges et de l’effacement des journaux avec Chainsaw, Hayabusa et EvtxECmd.

La skill d’abus de délégation contrainte guide des tests Active Directory autorisés autour de l’exploitation de la délégation contrainte Kerberos. Elle couvre l’énumération, les requêtes de tickets S4U2self et S4U2proxy, ainsi que des voies concrètes vers le mouvement latéral ou l’élévation de privilèges. Utilisez-la quand vous avez besoin d’un guide reproductible pour un test d’intrusion, et non d’un aperçu général de Kerberos.

eradicating-malware-from-infected-systems est une compétence de réponse à incident en cybersécurité destinée à supprimer les malwares, les portes dérobées et les mécanismes de persistance après confinement. Elle fournit des indications de workflow, des fichiers de référence et des scripts pour le nettoyage sous Windows et Linux, la rotation des identifiants, la remédiation des causes racines et la validation.

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Skill de détection des attaques Living off the Land pour les audits de sécurité, le threat hunting et la réponse à incident. Détectez l’abus de binaires Windows légitimes comme `certutil`, `mshta`, `rundll32` et `regsvr32` à partir de la création de processus, de la ligne de commande et de la télémétrie parent-enfant. Ce guide se concentre sur des patterns de détection exploitables pour les LOLBin, pas sur un durcissement Windows général.

La skill de détection des techniques de malware fileless accompagne les workflows d’analyse de malwares pour enquêter sur les menaces sans fichier qui s’exécutent en mémoire via PowerShell, WMI, la réflexion .NET, des charges utiles résidant dans le registre et des LOLBins. Utilisez-la pour passer d’alertes suspectes à un triage étayé par des preuves, à des idées de détection et à des pistes de chasse à suivre.

detecting-fileless-attacks-on-endpoints aide à créer des détections pour les attaques en mémoire sur les endpoints Windows, notamment les abus de PowerShell, la persistance via WMI, le chargement réfléchi et l’injection de processus. Utilisez-le pour les audits de sécurité, la chasse aux menaces et l’ingénierie de détection avec Sysmon, AMSI et la journalisation PowerShell.

Skill de configuration avancée de Windows Defender pour le durcissement de Microsoft Defender for Endpoint. Couvre les règles ASR, l’accès contrôlé aux dossiers, la protection réseau, la protection contre les exploits, la planification du déploiement et des consignes de déploiement en mode audit d’abord pour les ingénieurs sécurité, les administrateurs IT et les workflows d’audit de sécurité.

analyzing-windows-registry-for-artifacts aide les analystes à extraire des preuves à partir des ruches du Registre Windows afin d’identifier l’activité utilisateur, les logiciels installés, les programmes de démarrage automatique, l’historique USB et les indices de compromission pour des workflows de réponse à incident ou d’audit de sécurité.

La skill analyzing-windows-amcache-artifacts analyse les données Windows Amcache.hve pour retrouver des indices d’exécution de programmes, de logiciels installés, d’activité des périphériques et de chargement de pilotes dans des workflows DFIR et d’audit de sécurité. Elle s’appuie sur AmcacheParser et des নির্দেশ?

La compétence analyzing-powershell-empire-artifacts aide les équipes de Security Audit à détecter les artefacts PowerShell Empire dans les journaux Windows grâce au Script Block Logging, aux schémas de lanceur Base64, aux IOC des stagers, aux signatures de modules et aux références de détection, pour le triage et la rédaction de règles.

Skill d’analyse du PowerShell Script Block Logging pour parser les événements Windows PowerShell Script Block Logging ID 4104 à partir de fichiers EVTX, reconstruire les blocs de script fragmentés et signaler les commandes obfusquées, les charges utiles encodées, les abus de Invoke-Expression, les download cradles et les tentatives de contournement d’AMSI dans un cadre de Security Audit.