作成者 mukul975
detecting-lateral-movement-with-zeek は、Zeek を使った脅威ハンティングとインシデント対応向けのサイバーセキュリティスキルです。conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log、kerberos.log といった Zeek ログを使い、SMB の管理共有アクセス、DCE/RPC のサービス作成、NTLM スプレー、Kerberos の異常、内部での不審な転送などを検知するのに役立ちます。
作成者 mukul975
detecting-rdp-brute-force-attacks は、Windows Security Event Logs を分析して RDP のブルートフォースパターンを見つけるのに役立ちます。たとえば、4625 の失敗が繰り返されるケース、失敗後に 4624 が成功する流れ、NLA 関連のログオン、送信元 IP の集中などを確認できます。Security Audit、脅威ハンティング、EVTX ベースの再現性ある調査に向いています。
作成者 mukul975
EDR、Sysmon、Windowsイベントの相関を使って T1003 の credential dumping を検知するための detecting-t1003-credential-dumping-with-edr スキルです。LSASS、SAM、NTDS.dit、LSA secrets、キャッシュされた認証情報のダンプを見つけるための脅威ハンティングに使えます。アラートの妥当性確認、インシデントの範囲特定、実用的なワークフロー指針による誤検知の低減に役立ちます。
作成者 mukul975
detecting-container-escape-with-falco-rules は、Falco のランタイムセキュリティルールでコンテナ脱出の試みを検知するためのスキルです。システムコールのシグナル、特権コンテナ、ホストパスの悪用、検証、インシデント対応のワークフローに重点を置き、Kubernetes と Linux のコンテナ環境での運用を支援します。
