Sentinel

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

detecting-azure-service-principal-abuse aide à détecter, enquêter et documenter les activités suspectes des principaux de service Microsoft Entra ID dans Azure. Utilisez-la pour les audits de sécurité, la réponse aux incidents cloud et la threat hunting afin d’examiner les changements d’identifiants, les abus de consentement administrateur, les affectations de rôles, les chemins de propriété et les anomalies de connexion.

detecting-azure-lateral-movement aide les analystes sécurité à traquer les mouvements latéraux dans Azure AD/Entra ID et Microsoft Sentinel à partir des journaux d’audit Microsoft Graph, de la télémétrie de connexion et de corrélations KQL. Utilisez-le pour le triage d’incidents, l’ingénierie de détection et les workflows d’audit sécurité couvrant les abus de consentement, l’usage détourné de principals de service, le vol de jetons et les pivots interlocataires.

detecting-fileless-attacks-on-endpoints aide à créer des détections pour les attaques en mémoire sur les endpoints Windows, notamment les abus de PowerShell, la persistance via WMI, le chargement réfléchi et l’injection de processus. Utilisez-le pour les audits de sécurité, la chasse aux menaces et l’ingénierie de détection avec Sysmon, AMSI et la journalisation PowerShell.

deploying-edr-agent-with-crowdstrike aide à planifier, installer et vérifier le déploiement du capteur CrowdStrike Falcon sur les terminaux Windows, macOS et Linux. Utilisez cette compétence deploying-edr-agent-with-crowdstrike pour obtenir des নির্দেশications d’installation, configurer les politiques, intégrer la télémétrie au SIEM et préparer la réponse aux incidents.

building-threat-hunt-hypothesis-framework vous aide à construire des hypothèses de threat hunting testables à partir du renseignement sur les menaces, du mapping ATT&CK et de la télémétrie. Utilisez ce skill building-threat-hunt-hypothesis-framework pour planifier vos chasses, mapper les sources de données, exécuter des requêtes et documenter les résultats dans le cadre du threat hunting et du Threat Modeling avec building-threat-hunt-hypothesis-framework.

building-detection-rules-with-sigma aide les analystes à créer des règles de détection Sigma portables à partir de renseignements sur les menaces ou de règles éditeur, à les mapper sur MITRE ATT&CK et à les convertir pour des SIEM comme Splunk, Elastic et Microsoft Sentinel. Utilisez ce guide building-detection-rules-with-sigma pour les workflows de Security Audit, la standardisation et la détection as code.

building-cloud-siem-with-sentinel est un guide pratique pour déployer Microsoft Sentinel comme couche SIEM et SOAR dans le cloud. Il couvre l’ingestion de journaux multi-cloud, les détections KQL, l’investigation des incidents et les playbooks de réponse Logic Apps pour les opérations de Security Audit et de SOC. Utilisez ce skill building-cloud-siem-with-sentinel lorsque vous avez besoin d’un point de départ basé sur un repo pour la supervision centralisée de la sécurité cloud.