Threat Hunting

exploiting-kerberoasting-with-impacket は、許可されたテスターが Impacket の GetUserSPNs.py を使って Kerberoasting を計画・実行する際に役立ちます。SPN の列挙から TGS チケットの抽出、オフラインでのクラック、検知を意識したレポート作成までをカバーします。侵入テストのワークフローで使うための、導入と利用の文脈が明確な exploiting-kerberoasting-with-impacket ガイドとして活用できます。

detecting-shadow-it-cloud-usage は、プロキシログ、DNS クエリ、netflow から、無許可の SaaS やクラウド利用を特定するのに役立つ skill です。ドメインを分類し、承認済みリストと照合し、detecting-shadow-it-cloud-usage skill guide の構造化された証跡を使ってセキュリティ監査のワークフローを支援します。

detecting-service-account-abuse は、Windows、AD、SIEM、EDR のテレメトリからサービスアカウントの不正利用を見つけるための脅威ハンティングスキルです。不審な対話型ログオン、権限昇格、横展開、アクセス異常に重点を置き、再現性のある調査を支えるハントテンプレート、イベント ID、ワークフロー参照を備えています。

detecting-s3-data-exfiltration-attempts は、CloudTrail の S3 data events、GuardDuty の findings、Amazon Macie の alerts、S3 のアクセスパターンを突き合わせて、AWS S3 でのデータ窃取の可能性を調査するのに役立ちます。Security Audit、インシデント対応、疑わしい一括ダウンロードの分析に、この detecting-s3-data-exfiltration-attempts skill を活用してください。

detecting-rdp-brute-force-attacks は、Windows Security Event Logs を分析して RDP のブルートフォースパターンを見つけるのに役立ちます。たとえば、4625 の失敗が繰り返されるケース、失敗後に 4624 が成功する流れ、NLA 関連のログオン、送信元 IP の集中などを確認できます。Security Audit、脅威ハンティング、EVTX ベースの再現性ある調査に向いています。

analyzing-usb-device-connection-history は、Windows のレジストリハイブ、イベントログ、`setupapi.dev.log` を使って USB デバイスの接続履歴を調査するのに役立ちます。デジタルフォレンジック、内部不正調査、インシデント対応に対応し、時系列の復元、デバイスの関連付け、リムーバブルメディア証拠の分析を支援します。

analyzing-browser-forensics-with-hindsight は、Hindsight を使って Chromium 系ブラウザのアーティファクトを分析するデジタル・フォレンジクス向けスキルです。履歴、ダウンロード、Cookie、オートフィル、ブックマーク、保存済み認証情報のメタデータ、キャッシュ、拡張機能まで扱えます。Web アクティビティの再構成、タイムラインの確認、Chrome、Edge、Brave、Opera の各プロファイル調査に役立ちます。

analyzing-bootkit-and-rootkit-samples は、MBR、VBR、UEFI、rootkit の調査に使えるマルウェア分析スキルです。OS 層より下で侵害が残り続けるケースで、ブートセクタ、ファームウェアモジュール、anti-rootkit の兆候を確認するのに役立ちます。実務的な手順、わかりやすいワークフロー、そして根拠に基づくトリアージを求める Malware Analysis 担当者に適しています。

detecting-network-anomalies-with-zeek skill は、Zeek を使った受動的なネットワーク監視の導入、構造化ログの確認、ビーコン通信、DNSトンネリング、異常なプロトコル活動を検知するためのカスタム検出の作成を支援します。脅威ハンティング、インシデント対応、SIEM向けのネットワークメタデータ収集、セキュリティ監査のワークフローに適しており、インラインでの防御用途には向きません。

detecting-modbus-protocol-anomalies は、OT/ICS ネットワークにおける不審な Modbus/TCP および Modbus RTU の挙動を検知するのに役立ちます。無効な function code、範囲外の register アクセス、異常な polling 間隔、許可されていない write、壊れた frame などを対象に、Security Audit や根拠に基づくトリアージに有用です。

hunting-advanced-persistent-threats は、エンドポイント、ネットワーク、メモリの各テレメトリを横断して APT 風の活動を検知するための脅威ハンティング skill です。仮説駆動のハントを組み立て、調査結果を MITRE ATT&CK に対応付け、脅威インテリジェンスを場当たり的な検索ではなく、実用的なクエリと調査手順に落とし込むのに役立ちます。

extracting-windows-event-logs-artifacts は、デジタルフォレンジック、インシデント対応、脅威ハンティング向けに Windows Event Logs（EVTX）を抽出・解析・分析するための skill です。Chainsaw、Hayabusa、EvtxECmd を使って、ログオン、プロセス作成、サービスのインストール、スケジュールタスク、権限変更、ログ消去などを構造的に確認できます。

RekallでWindowsメモリイメージを解析するための extracting-memory-artifacts-with-rekall ガイドです。インストール手順と使い方のパターンを学び、Digital Forensicsで隠しプロセス、注入コード、不審なVAD、読み込まれたDLL、ネットワーク活動を見つける方法を確認できます。

マルウェア分析向けの extracting-iocs-from-malware-samples スキルガイドです。サンプルからハッシュ、IP、ドメイン、URL、ホスト上の痕跡、検証の手がかりを抽出し、脅威インテリジェンスや検知に活用できます。

exploiting-nopac-cve-2021-42278-42287 スキルは、Active Directory における noPac チェーン（CVE-2021-42278 と CVE-2021-42287）の評価に役立つ実践ガイドです。権限のあるレッドチーム担当者や Security Audit ユーザーが、前提条件を確認し、ワークフロー関連ファイルを見直し、推測に頼らずに悪用可能性を整理できるようにします。

detecting-wmi-persistence skill は、脅威ハンターや DFIR アナリストが、Sysmon の Event ID 19、20、21 を使って Windows テレメトリ内の WMI イベントサブスクリプション永続化を検知するのに役立ちます。悪意ある EventFilter、EventConsumer、FilterToConsumerBinding の活動を特定し、検出結果を検証し、攻撃者の永続化と正当な管理自動化を切り分ける用途に使えます。

detecting-stuxnet-style-attacksは、Stuxnet型のOT/ICS侵入パターンの検知を支援するスキルです。PLCロジックの改ざん、偽装されたセンサーデータ、エンジニアリングワークステーションの侵害、ITからOTへのラテラルムーブメントなどを検出できます。プロトコル、ホスト、プロセスの証拠を使った脅威ハンティング、インシデントのトリアージ、プロセス整合性の監視に活用してください。

detecting-sql-injection-via-waf-logs を使って、WAFと監査ログを解析し、SQLインジェクション攻撃キャンペーンを検知します。Security Audit と SOC の運用向けに設計されており、ModSecurity、AWS WAF、Cloudflare のイベントを解析し、UNION SELECT、OR 1=1、SLEEP()、BENCHMARK() のパターンを分類し、発信元を相関させ、インシデント対応につながる調査結果を生成します。

detecting-ransomware-encryption-behavior は、エントロピー分析、ファイル I/O 監視、行動ベースのヒューリスティックを使って、ランサムウェア型の暗号化を見つけるためのスキルです。大量のファイル変更、連続リネーム、不審なプロセス活動を素早く検知したいときに向いており、インシデント対応、SOC のチューニング、レッドチーム検証で役立ちます。

detecting-process-injection-techniques は、疑わしいインメモリ活動の分析、EDRアラートの検証、プロセスホローイング、APCインジェクション、スレッドハイジャック、リフレクティブローディング、従来型のDLLインジェクションの特定を支援し、Security Audit やマルウェアトリアージに役立ちます。

detecting-process-hollowing-technique は、Windows のテレメトリで中断された起動、メモリ改ざん、親子関係の異常、API の証拠を相関させながら、プロセスホローイング（T1055.012）を追跡するのに役立ちます。脅威ハンター、検知エンジニア、インシデント対応担当者が、Threat Hunting の実務フローで使える実践的な detecting-process-hollowing-technique を求める場面向けに設計されています。

detecting-privilege-escalation-attempts は、Windows と Linux における権限昇格の追跡を支援します。トークン操作、UAC バイパス、引用符なしのサービスパス、カーネルエクスプロイト、sudo/doas の不正利用までカバー。実践的なワークフロー、参考クエリ、補助スクリプトを求める脅威ハンティングチーム向けに設計されています。

detecting-port-scanning-with-fail2ban は、Fail2ban を使ってポートスキャン、SSHブルートフォース、偵察行為を検知し、疑わしいIPをBANしてセキュリティチームへ通知するための設定を支援します。Security Audit のワークフローで、ハードニングと detecting-port-scanning-with-fail2ban に適したスキルであり、ログ、jail、フィルター、安全なチューニングを実務的に扱えます。

detecting-pass-the-ticket-attacks は、Windows の Security Event ID 4768、4769、4771 を相関させて Kerberos の Pass-the-Ticket 活動を検知するための skill です。Splunk や Elastic での脅威ハンティングに使えば、チケットの再利用、RC4 へのダウングレード、異常な TGS ボリュームを、実用的なクエリとフィールドの指針つきで見つけやすくなります。