作成者 mukul975
detecting-lateral-movement-with-zeek は、Zeek を使った脅威ハンティングとインシデント対応向けのサイバーセキュリティスキルです。conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log、kerberos.log といった Zeek ログを使い、SMB の管理共有アクセス、DCE/RPC のサービス作成、NTLM スプレー、Kerberos の異常、内部での不審な転送などを検知するのに役立ちます。
作成者 mukul975
analyzing-cobaltstrike-malleable-c2-profiles は、Cobalt Strike の Malleable C2 プロファイルを解析し、C2 の指標、回避特性、検知アイデアを抽出することで、マルウェア分析、脅威ハンティング、Security Audit のワークフローを支援します。プロファイルと beacon 設定の解析には `dissect.cobaltstrike` と `pyMalleableC2` を使用します。
作成者 mukul975
exploiting-kerberoasting-with-impacket は、許可されたテスターが Impacket の GetUserSPNs.py を使って Kerberoasting を計画・実行する際に役立ちます。SPN の列挙から TGS チケットの抽出、オフラインでのクラック、検知を意識したレポート作成までをカバーします。侵入テストのワークフローで使うための、導入と利用の文脈が明確な exploiting-kerberoasting-with-impacket ガイドとして活用できます。
作成者 mukul975
detecting-shadow-it-cloud-usage は、プロキシログ、DNS クエリ、netflow から、無許可の SaaS やクラウド利用を特定するのに役立つ skill です。ドメインを分類し、承認済みリストと照合し、detecting-shadow-it-cloud-usage skill guide の構造化された証跡を使ってセキュリティ監査のワークフローを支援します。
作成者 mukul975
detecting-service-account-abuse は、Windows、AD、SIEM、EDR のテレメトリからサービスアカウントの不正利用を見つけるための脅威ハンティングスキルです。不審な対話型ログオン、権限昇格、横展開、アクセス異常に重点を置き、再現性のある調査を支えるハントテンプレート、イベント ID、ワークフロー参照を備えています。
作成者 mukul975
detecting-s3-data-exfiltration-attempts は、CloudTrail の S3 data events、GuardDuty の findings、Amazon Macie の alerts、S3 のアクセスパターンを突き合わせて、AWS S3 でのデータ窃取の可能性を調査するのに役立ちます。Security Audit、インシデント対応、疑わしい一括ダウンロードの分析に、この detecting-s3-data-exfiltration-attempts skill を活用してください。
作成者 mukul975
detecting-rdp-brute-force-attacks は、Windows Security Event Logs を分析して RDP のブルートフォースパターンを見つけるのに役立ちます。たとえば、4625 の失敗が繰り返されるケース、失敗後に 4624 が成功する流れ、NLA 関連のログオン、送信元 IP の集中などを確認できます。Security Audit、脅威ハンティング、EVTX ベースの再現性ある調査に向いています。
作成者 mukul975
analyzing-usb-device-connection-history は、Windows のレジストリハイブ、イベントログ、`setupapi.dev.log` を使って USB デバイスの接続履歴を調査するのに役立ちます。デジタルフォレンジック、内部不正調査、インシデント対応に対応し、時系列の復元、デバイスの関連付け、リムーバブルメディア証拠の分析を支援します。
作成者 mukul975
analyzing-browser-forensics-with-hindsight は、Hindsight を使って Chromium 系ブラウザのアーティファクトを分析するデジタル・フォレンジクス向けスキルです。履歴、ダウンロード、Cookie、オートフィル、ブックマーク、保存済み認証情報のメタデータ、キャッシュ、拡張機能まで扱えます。Web アクティビティの再構成、タイムラインの確認、Chrome、Edge、Brave、Opera の各プロファイル調査に役立ちます。
作成者 mukul975
analyzing-bootkit-and-rootkit-samples は、MBR、VBR、UEFI、rootkit の調査に使えるマルウェア分析スキルです。OS 層より下で侵害が残り続けるケースで、ブートセクタ、ファームウェアモジュール、anti-rootkit の兆候を確認するのに役立ちます。実務的な手順、わかりやすいワークフロー、そして根拠に基づくトリアージを求める Malware Analysis 担当者に適しています。
作成者 mukul975
detecting-network-anomalies-with-zeek skill は、Zeek を使った受動的なネットワーク監視の導入、構造化ログの確認、ビーコン通信、DNSトンネリング、異常なプロトコル活動を検知するためのカスタム検出の作成を支援します。脅威ハンティング、インシデント対応、SIEM向けのネットワークメタデータ収集、セキュリティ監査のワークフローに適しており、インラインでの防御用途には向きません。
作成者 mukul975
detecting-modbus-protocol-anomalies は、OT/ICS ネットワークにおける不審な Modbus/TCP および Modbus RTU の挙動を検知するのに役立ちます。無効な function code、範囲外の register アクセス、異常な polling 間隔、許可されていない write、壊れた frame などを対象に、Security Audit や根拠に基づくトリアージに有用です。
作成者 mukul975
detecting-typosquatting-packages-in-npm-pypi は、名前の類似度、公開時期、ダウンロードの異常を照合して、疑わしい npm および PyPI パッケージを見つけるのに役立ちます。セキュリティ監査、依存関係レビュー、サプライチェーンリスクの初期スクリーニングに使える、再現性のあるレジストリ確認フローです。
作成者 mukul975
EDR、Sysmon、Windowsイベントの相関を使って T1003 の credential dumping を検知するための detecting-t1003-credential-dumping-with-edr スキルです。LSASS、SAM、NTDS.dit、LSA secrets、キャッシュされた認証情報のダンプを見つけるための脅威ハンティングに使えます。アラートの妥当性確認、インシデントの範囲特定、実用的なワークフロー指針による誤検知の低減に役立ちます。
作成者 mukul975
detecting-dcsync-attack-in-active-directory は、Active DirectoryにおけるDCSync悪用を見つけるための脅威ハンティング用スキルです。4662イベント、レプリケーションGUID、正規のDCアカウントを相関させて調査します。Splunk、KQL、解析スクリプトを使って、資格情報窃取の兆候を確認・トリアージ・記録するのに役立ちます。
作成者 mukul975
detecting-container-escape-with-falco-rules は、Falco のランタイムセキュリティルールでコンテナ脱出の試みを検知するためのスキルです。システムコールのシグナル、特権コンテナ、ホストパスの悪用、検証、インシデント対応のワークフローに重点を置き、Kubernetes と Linux のコンテナ環境での運用を支援します。
作成者 mukul975
認可済みのBLEセキュリティテスト向けのdetecting-bluetooth-low-energy-attacksスキルです。実際のBLEツールとワークフローのガイダンスを使って、スニッフィングの露出、リプレイリスク、GATT列挙の悪用、広告スプーフィング、Man-in-the-Middleの兆候を評価するのに役立ちます。
作成者 mukul975
許可されたネットワークセグメントで Snort 3 IDS をインストール、設定、検証、チューニングするための configuring-snort-ids-for-intrusion-detection スキルです。実用的な使い方、ルール読み込み、CLI チェック、誤検知の削減、Security Audit ワークフローを含みます。
作成者 mukul975
analyzing-malware-sandbox-evasion-techniques は、マルウェア分析者が Cuckoo と AnyRun の挙動を確認し、タイミングチェック、VM 由来アーティファクトの照会、ユーザー操作の有無による分岐、スリープ増幅を見極めるのに役立ちます。サンプルがサンドボックスから身を隠しているかを切り分ける、Malware Analysis ワークフローに特化した analyzing-malware-sandbox-evasion-techniques 向けに設計されています。
作成者 mukul975
analyzing-malware-persistence-with-autoruns は、マルウェア分析向けの Sysinternals Autoruns スキルです。Run キー、サービス、スケジュール済みタスク、Winlogon、ドライバー、WMI などの Windows 永続化を確認し、CSV エクスポート、疑わしい項目のレビュー、レポート化しやすい調査結果まで、再現性のあるワークフローで支援します。
作成者 mukul975
hunting-advanced-persistent-threats は、エンドポイント、ネットワーク、メモリの各テレメトリを横断して APT 風の活動を検知するための脅威ハンティング skill です。仮説駆動のハントを組み立て、調査結果を MITRE ATT&CK に対応付け、脅威インテリジェンスを場当たり的な検索ではなく、実用的なクエリと調査手順に落とし込むのに役立ちます。
作成者 mukul975
extracting-windows-event-logs-artifacts は、デジタルフォレンジック、インシデント対応、脅威ハンティング向けに Windows Event Logs(EVTX)を抽出・解析・分析するための skill です。Chainsaw、Hayabusa、EvtxECmd を使って、ログオン、プロセス作成、サービスのインストール、スケジュールタスク、権限変更、ログ消去などを構造的に確認できます。
作成者 mukul975
RekallでWindowsメモリイメージを解析するための extracting-memory-artifacts-with-rekall ガイドです。インストール手順と使い方のパターンを学び、Digital Forensicsで隠しプロセス、注入コード、不審なVAD、読み込まれたDLL、ネットワーク活動を見つける方法を確認できます。
作成者 mukul975
マルウェア分析向けの extracting-iocs-from-malware-samples スキルガイドです。サンプルからハッシュ、IP、ドメイン、URL、ホスト上の痕跡、検証の手がかりを抽出し、脅威インテリジェンスや検知に活用できます。
