作成者 mukul975
detecting-service-account-abuse は、Windows、AD、SIEM、EDR のテレメトリからサービスアカウントの不正利用を見つけるための脅威ハンティングスキルです。不審な対話型ログオン、権限昇格、横展開、アクセス異常に重点を置き、再現性のある調査を支えるハントテンプレート、イベント ID、ワークフロー参照を備えています。
作成者 mukul975
detecting-pass-the-ticket-attacks は、Windows の Security Event ID 4768、4769、4771 を相関させて Kerberos の Pass-the-Ticket 活動を検知するための skill です。Splunk や Elastic での脅威ハンティングに使えば、チケットの再利用、RC4 へのダウングレード、異常な TGS ボリュームを、実用的なクエリとフィールドの指針つきで見つけやすくなります。
作成者 mukul975
deploying-edr-agent-with-crowdstrike は、Windows、macOS、Linux の各エンドポイントに CrowdStrike Falcon Sensor を計画・導入・検証するための支援をします。導入手順、ポリシー設定、テレメトリの SIEM 連携、Incident Response 対応の準備にこの deploying-edr-agent-with-crowdstrike skill を活用してください。
作成者 mukul975
building-incident-response-dashboard は、Splunk、Elastic、Grafana でリアルタイムのインシデント対応ダッシュボードを構築するのに役立ちます。アクティブなインシデント追跡、封じ込め状況、影響を受けた資産、IOC の拡散状況、対応タイムラインの可視化に最適です。SOC アナリスト、インシデントコマンダー、経営層向けに、集中的なダッシュボードが必要なときに使う skill です。
作成者 mukul975
building-detection-rules-with-sigma は、脅威インテリジェンスやベンダールールから移植性の高い Sigma 検知ルールを作成し、MITRE ATT&CK にマッピングして、Splunk、Elastic、Microsoft Sentinel などの SIEM 向けに変換するのに役立ちます。Security Audit のワークフロー、標準化、detection-as-code にこの building-detection-rules-with-sigma ガイドを活用してください。
