Windows Security

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

detecting-rootkit-activity est un skill d’analyse de malware conçu pour repérer des indices de rootkit, comme des processus masqués, des appels système détournés, des structures noyau modifiées, des modules cachés et des artefacts réseau dissimulés. Il s’appuie sur la comparaison croisée des vues et sur des contrôles d’intégrité pour aider à valider des hôtes suspects lorsque les outils standards ne concordent pas.

eradicating-malware-from-infected-systems est une compétence de réponse à incident en cybersécurité destinée à supprimer les malwares, les portes dérobées et les mécanismes de persistance après confinement. Elle fournit des indications de workflow, des fichiers de référence et des scripts pour le nettoyage sous Windows et Linux, la rotation des identifiants, la remédiation des causes racines et la validation.

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

detecting-pass-the-ticket-attacks aide à détecter les activités Kerberos Pass-the-Ticket en corrélant les identifiants d’événements Windows Security 4768, 4769 et 4771. Utilisez-le pour la threat hunting dans Splunk ou Elastic afin d’identifier la réutilisation de tickets, les rétrogradations vers RC4 et des volumes TGS inhabituels, avec des requêtes pratiques et des indications sur les champs.

Skill de détection des attaques Pass-the-Hash pour la chasse aux mouvements latéraux basés sur NTLM, aux connexions de type 3 suspectes et à l’activité T1550.002 avec les journaux de sécurité Windows, Splunk et KQL.

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

detecting-living-off-the-land-with-lolbas aide à détecter les abus de LOLBAS avec Sysmon et les journaux d’événements Windows, en s’appuyant sur la télémétrie des processus, le contexte parent-enfant, des règles Sigma et un guide pratique pour le triage, la chasse et la rédaction de règles. Il prend en charge detecting-living-off-the-land-with-lolbas pour la modélisation des menaces et les workflows analyste autour de certutil, regsvr32, mshta et rundll32.

detecting-golden-ticket-forgery détecte la falsification d’un Kerberos Golden Ticket en analysant l’Event ID Windows 4769, l’usage d’un downgrade vers RC4 (0x17), des durées de ticket anormales et des anomalies krbtgt dans Splunk et Elastic. Conçu pour l’audit de sécurité, l’investigation d’incident et la chasse aux menaces, avec des indications de détection concrètes et exploitables.

detecting-dll-sideloading-attacks aide les équipes de Security Audit, de chasse aux menaces et de réponse à incident à détecter le DLL side-loading avec Sysmon, EDR, MDE et Splunk. Ce guide detecting-dll-sideloading-attacks inclut des notes de workflow, des modèles de chasse, le mapping des standards et des scripts pour transformer des chargements DLL suspects en détections répétables.

La skill de détection des techniques de credential dumping vous aide à détecter les accès à LSASS, l’export SAM, le vol de NTDS.dit et l’abus de comsvcs.dll MiniDump à l’aide de l’Event ID 10 de Sysmon, des journaux de sécurité Windows et de règles de corrélation SIEM. Elle est conçue pour le threat hunting, l’ingénierie de détection et les workflows d’audit de sécurité.

deploying-active-directory-honeytokens aide les défenseurs à planifier et générer des honeytokens Active Directory pour des travaux d’audit de sécurité, notamment de faux comptes à privilèges, de faux SPN pour détecter le Kerberoasting, des appâts GPO et des chemins trompeurs dans BloodHound. Il associe des conseils orientés installation à des scripts et à des indices de télémétrie pour un déploiement et une vérification concrets.

Skill de configuration avancée de Windows Defender pour le durcissement de Microsoft Defender for Endpoint. Couvre les règles ASR, l’accès contrôlé aux dossiers, la protection réseau, la protection contre les exploits, la planification du déploiement et des consignes de déploiement en mode audit d’abord pour les ingénieurs sécurité, les administrateurs IT et les workflows d’audit de sécurité.