Threat Detection

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

detecting-modbus-command-injection-attacks aide les analystes sécurité à repérer des écritures Modbus TCP/RTU suspectes, des codes de fonction anormaux, des trames mal formées et des écarts par rapport à la baseline dans les environnements ICS et SCADA. Utilisez-le pour le triage d’incident, la surveillance OT et un audit de sécurité lorsque vous avez besoin de conseils de détection adaptés à Modbus, et non d’une simple consigne générique sur les anomalies.

detecting-living-off-the-land-with-lolbas aide à détecter les abus de LOLBAS avec Sysmon et les journaux d’événements Windows, en s’appuyant sur la télémétrie des processus, le contexte parent-enfant, des règles Sigma et un guide pratique pour le triage, la chasse et la rédaction de règles. Il prend en charge detecting-living-off-the-land-with-lolbas pour la modélisation des menaces et les workflows analyste autour de certutil, regsvr32, mshta et rundll32.

Skill de détection des attaques Living off the Land pour les audits de sécurité, le threat hunting et la réponse à incident. Détectez l’abus de binaires Windows légitimes comme `certutil`, `mshta`, `rundll32` et `regsvr32` à partir de la création de processus, de la ligne de commande et de la télémétrie parent-enfant. Ce guide se concentre sur des patterns de détection exploitables pour les LOLBin, pas sur un durcissement Windows général.

detecting-lateral-movement-in-network aide à détecter les déplacements latéraux après compromission dans les réseaux d’entreprise, à partir des journaux d’événements Windows, des télémétries Zeek, de SMB, de RDP et de la corrélation SIEM. Il est utile pour la chasse aux menaces, la réponse à incident et les revues d’audit de sécurité, avec des workflows de détection concrets pour detecting-lateral-movement-in-network.

detecting-insider-threat-with-ueba vous aide à créer des détections UEBA dans Elasticsearch ou OpenSearch pour des cas de menace interne, avec notamment des lignes de base comportementales, des scores d’anomalie, une analyse par groupe de pairs et des alertes corrélées pour l’exfiltration de données, l’abus de privilèges et les accès non autorisés. Il convient à detecting-insider-threat-with-ueba dans des workflows de réponse à incident.