Windows

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Guide de configuration de la détection d’intrusion hôte pour mettre en place un HIDS avec Wazuh, OSSEC ou AIDE afin de surveiller l’intégrité des fichiers, les changements système et la sécurité des terminaux axée conformité dans des workflows d’audit de sécurité.

Utilisez le skill windows-vm pour créer, gérer et vous connecter en SSH à une VM Windows 11 sans interface dans Docker avec accélération KVM. Il convient à l’automatisation de poste de travail, à la configuration d’applications Windows et aux workflows d’agent répétables lorsque vous avez besoin d’un vrai environnement Windows sans RDP manuel.

extracting-windows-event-logs-artifacts vous aide à extraire, parser et analyser les journaux d’événements Windows (EVTX) pour la criminalistique numérique, la réponse à incident et la chasse aux menaces. Il prend en charge une analyse structurée des ouvertures de session, des créations de processus, des installations de services, des tâches planifiées, des changements de privilèges et de l’effacement des journaux avec Chainsaw, Hayabusa et EvtxECmd.

Le skill detecting-wmi-persistence aide les threat hunters et les analystes DFIR à détecter la persistance par abonnement d’événements WMI dans la télémétrie Windows à l’aide des Event ID Sysmon 19, 20 et 21. Servez-vous-en pour repérer des activités malveillantes EventFilter, EventConsumer et FilterToConsumerBinding, valider les résultats et distinguer une persistance d’attaquant d’une automatisation d’administration légitime.

detecting-process-hollowing-technique aide à traquer le process hollowing (T1055.012) dans la télémétrie Windows en corrélant les lancements suspendus, les altérations mémoire, les anomalies parent-enfant et les preuves d’API. Conçu pour les threat hunters, les detection engineers et les intervenants qui ont besoin d’un workflow pratique de detecting-process-hollowing-technique pour le Threat Hunting.

analyzing-memory-dumps-with-volatility est une compétence Volatility 3 pour la criminalistique mémoire, le triage de malwares, l’analyse des processus cachés, des injections, de l’activité réseau et des identifiants dans des dumps RAM sous Windows, Linux ou macOS. Utilisez-la lorsque vous avez besoin d’un guide reproductible d’analyse de dumps mémoire avec Volatility pour la réponse à incident et l’analyse de malwares.

detecting-lateral-movement-in-network aide à détecter les déplacements latéraux après compromission dans les réseaux d’entreprise, à partir des journaux d’événements Windows, des télémétries Zeek, de SMB, de RDP et de la corrélation SIEM. Il est utile pour la chasse aux menaces, la réponse à incident et les revues d’audit de sécurité, avec des workflows de détection concrets pour detecting-lateral-movement-in-network.

Guide de déploiement d’osquery pour le monitoring des terminaux, destiné à configurer la visibilité sur les endpoints, le suivi à l’échelle du parc et la threat hunting pilotée par SQL. Utilisez-le pour préparer l’installation, comprendre le workflow et les références d’API, puis industrialiser les requêtes planifiées, la collecte des journaux et la revue centralisée sur des endpoints Windows, macOS et Linux.

deploying-edr-agent-with-crowdstrike aide à planifier, installer et vérifier le déploiement du capteur CrowdStrike Falcon sur les terminaux Windows, macOS et Linux. Utilisez cette compétence deploying-edr-agent-with-crowdstrike pour obtenir des নির্দেশications d’installation, configurer les politiques, intégrer la télémétrie au SIEM et préparer la réponse aux incidents.

Skill de configuration avancée de Windows Defender pour le durcissement de Microsoft Defender for Endpoint. Couvre les règles ASR, l’accès contrôlé aux dossiers, la protection réseau, la protection contre les exploits, la planification du déploiement et des consignes de déploiement en mode audit d’abord pour les ingénieurs sécurité, les administrateurs IT et les workflows d’audit de sécurité.

analyzing-windows-registry-for-artifacts aide les analystes à extraire des preuves à partir des ruches du Registre Windows afin d’identifier l’activité utilisateur, les logiciels installés, les programmes de démarrage automatique, l’historique USB et les indices de compromission pour des workflows de réponse à incident ou d’audit de sécurité.

analyzing-windows-prefetch-with-python analyse les fichiers Windows Prefetch (.pf) avec windowsprefetch pour reconstituer l’historique d’exécution, repérer les binaires renommés ou usurpés, et aider au triage d’incidents ainsi qu’à l’analyse de malwares.

La compétence d’analyse des journaux d’événements Windows dans Splunk aide les analystes SOC à enquêter, dans Splunk, sur les journaux Windows Security, System et Sysmon afin d’identifier des attaques d’authentification, des escalades de privilèges, des mécanismes de persistance et des mouvements latéraux. Utilisez-la pour le triage d’incidents, l’ingénierie de détection et l’analyse chronologique, avec des modèles SPL cartographiés et des indications sur les Event ID.

La skill analyzing-windows-amcache-artifacts analyse les données Windows Amcache.hve pour retrouver des indices d’exécution de programmes, de logiciels installés, d’activité des périphériques et de chargement de pilotes dans des workflows DFIR et d’audit de sécurité. Elle s’appuie sur AmcacheParser et des নির্দেশ?

La compétence analyzing-powershell-empire-artifacts aide les équipes de Security Audit à détecter les artefacts PowerShell Empire dans les journaux Windows grâce au Script Block Logging, aux schémas de lanceur Base64, aux IOC des stagers, aux signatures de modules et aux références de détection, pour le triage et la rédaction de règles.

Skill d’analyse du PowerShell Script Block Logging pour parser les événements Windows PowerShell Script Block Logging ID 4104 à partir de fichiers EVTX, reconstruire les blocs de script fragmentés et signaler les commandes obfusquées, les charges utiles encodées, les abus de Invoke-Expression, les download cradles et les tentatives de contournement d’AMSI dans un cadre de Security Audit.

La compétence winui-app vous aide à démarrer, développer et dépanner des applications de bureau WinUI 3 avec C# et le Windows App SDK. Utilisez-la pour vérifier que l’environnement est prêt, créer une nouvelle application, faire des choix de shell et de navigation, gérer les contrôles XAML, le thème, l’accessibilité, le déploiement et les workflows de correction au lancement pour le développement frontend.

La skill screenshot aide à capturer un écran complet, une fenêtre d’application ou une zone précise quand il vous faut une image au niveau du système d’exploitation, et non une simple capture depuis le navigateur. Utilisez-la pour les usages de capture d’écran dans Workflow Automation, avec des règles sur l’emplacement d’enregistrement, la gestion des autorisations macOS et des consignes d’installation claires pour des captures de bureau fiables.