作成者 mukul975
detecting-service-account-abuse は、Windows、AD、SIEM、EDR のテレメトリからサービスアカウントの不正利用を見つけるための脅威ハンティングスキルです。不審な対話型ログオン、権限昇格、横展開、アクセス異常に重点を置き、再現性のある調査を支えるハントテンプレート、イベント ID、ワークフロー参照を備えています。
作成者 mukul975
analyzing-campaign-attribution-evidence は、インフラの重なり、ATT&CK との整合性、マルウェア類似性、タイミング、言語的痕跡を総合的に評価し、根拠を持ってキャンペーン帰属判断を行うための支援スキルです。CTI、インシデント分析、Security Audit のレビューに向けて、この analyzing-campaign-attribution-evidence ガイドを活用できます。
作成者 mukul975
hunting-advanced-persistent-threats は、エンドポイント、ネットワーク、メモリの各テレメトリを横断して APT 風の活動を検知するための脅威ハンティング skill です。仮説駆動のハントを組み立て、調査結果を MITRE ATT&CK に対応付け、脅威インテリジェンスを場当たり的な検索ではなく、実用的なクエリと調査手順に落とし込むのに役立ちます。
作成者 mukul975
executing-red-team-exercise は、現実的なレッドチーム演習の計画と進行管理を支援するサイバーセキュリティ技能です。偵察、手法の選定、実行、検知ギャップのレビューまでを通じて敵対者エミュレーションを支え、Security Audit 業務や ATT&CK に準拠した評価に役立ちます。
作成者 mukul975
detecting-wmi-persistence skill は、脅威ハンターや DFIR アナリストが、Sysmon の Event ID 19、20、21 を使って Windows テレメトリ内の WMI イベントサブスクリプション永続化を検知するのに役立ちます。悪意ある EventFilter、EventConsumer、FilterToConsumerBinding の活動を特定し、検出結果を検証し、攻撃者の永続化と正当な管理自動化を切り分ける用途に使えます。
作成者 mukul975
detecting-process-hollowing-technique は、Windows のテレメトリで中断された起動、メモリ改ざん、親子関係の異常、API の証拠を相関させながら、プロセスホローイング(T1055.012)を追跡するのに役立ちます。脅威ハンター、検知エンジニア、インシデント対応担当者が、Threat Hunting の実務フローで使える実践的な detecting-process-hollowing-technique を求める場面向けに設計されています。
作成者 mukul975
detecting-privilege-escalation-attempts は、Windows と Linux における権限昇格の追跡を支援します。トークン操作、UAC バイパス、引用符なしのサービスパス、カーネルエクスプロイト、sudo/doas の不正利用までカバー。実践的なワークフロー、参考クエリ、補助スクリプトを求める脅威ハンティングチーム向けに設計されています。
作成者 mukul975
detecting-mimikatz-execution-patterns は、コマンドラインのパターン、LSASS へのアクセス संकेत、バイナリ指標、メモリ上の痕跡を使って Mimikatz の実行を検知するのに役立ちます。Security Audit、ハンティング、インシデント対応で使うなら、この detecting-mimikatz-execution-patterns スキルをテンプレート、参考情報、ワークフローガイダンス付きで導入できます。
作成者 mukul975
Security Audit、脅威ハンティング、インシデント対応向けの detecting-living-off-the-land-attacks スキルです。certutil、mshta、rundll32、regsvr32 などの正規 Windows バイナリの悪用を、プロセス生成、コマンドライン、親子関係のテレメトリから検知します。広範な Windows ハードニングではなく、実際に使える LOLBin 検知パターンに焦点を当てたガイドです。
作成者 mukul975
detecting-kerberoasting-attacks skill は、Kerberos の TGS リクエストの不審な挙動、弱いチケット暗号化、サービスアカウントのパターンを手がかりに、Kerberoasting の調査を支援します。SIEM、EDR、EVTX、そして Threat Modeling のワークフローで使えるよう、実践的な検知テンプレートとチューニング指針を備えています。
作成者 mukul975
detecting-insider-threat-behaviors は、通常と異なるデータアクセス、時間外の活動、一括ダウンロード、権限の悪用、退職前後の不正持ち出しなど、インサイダーリスクの兆候を追跡するのに役立ちます。脅威ハンティング、UEBA 風のトリアージ、脅威モデリングに使えるこの detecting-insider-threat-behaviors ガイドには、ワークフローテンプレート、SIEM のクエリ例、リスク重み付けが含まれています。
作成者 mukul975
detecting-dll-sideloading-attacks は、Security Audit、脅威ハンティング、インシデント対応チームが Sysmon、EDR、MDE、Splunk を使って DLL サイドローディングを検知するのに役立ちます。この detecting-dll-sideloading-attacks ガイドには、ワークフローノート、ハント用テンプレート、標準マッピング、そして疑わしい DLL 読み込みを再現可能な検知へつなげるためのスクリプトが含まれています。
作成者 mukul975
detecting-command-and-control-over-dns は、DNS経由のC2を検知するサイバーセキュリティ向けskillです。トンネリング、ビーコン通信、DGAドメイン、TXT/CNAMEの悪用までカバーし、SOCアナリスト、脅威ハンター、セキュリティ監査で使いやすいように、エントロピー検査、passive DNS の相関、Zeek や Suricata 風の検知ワークフローを支援します。
作成者 mukul975
correlating-threat-campaigns は、脅威インテリジェンス担当者がインシデント、IOC、TTPをキャンペーン単位の証拠として関連付けるのに役立ちます。過去の事象を比較し、強い関連と弱い一致を切り分け、MISP、SIEM、CTIレポート向けに説明可能なクラスタリングを構築する用途に適しています。
作成者 mukul975
conducting-post-incident-lessons-learned スキルは、Incident Response チームが構造化された事後レビューを実施し、事実ベースのタイムラインを作成し、根本原因を特定し、うまくいった点と失敗した点を整理し、各インシデントを担当者・期限・プレイブック更新つきの測定可能な改善へつなげるのに役立ちます。
作成者 mukul975
conducting-pass-the-ticket-attack は、Pass-the-Ticket の手順を計画し、記録するための Security Audit/レッドチーム向けスキルです。Kerberos チケットの確認、検知シグナルの整理、そして conducting-pass-the-ticket-attack スキルを使った構造化された検証フローやレポート作成を支援します。
作成者 mukul975
conducting-cloud-penetration-testing は、AWS、Azure、GCP を対象に、権限のあるクラウド診断の計画と実行を支援します。IAM の設定ミス、メタデータ露出、公開リソース、権限昇格の経路を洗い出し、結果をセキュリティ監査レポートへまとめるのに役立ちます。Security Audit ワークフローで conducting-cloud-penetration-testing スキルを使うのに適しています。
作成者 mukul975
collecting-threat-intelligence-with-misp スキルは、MISP で脅威インテリジェンスを収集・正規化・検索・エクスポートするのに役立ちます。この collecting-threat-intelligence-with-misp ガイドでは、フィード、PyMISP のワークフロー、イベントの絞り込み、warninglist の削減、そして Threat Modeling と CTI 運用に実用的な collecting-threat-intelligence-with-misp の活用方法を扱います。
作成者 mukul975
MISP、OpenCTI、TheHive、Cortex、STIX/TAXII、Elasticsearch を使って、脅威インテリジェンス・プラットフォームを設計、導入、レビューするための building-threat-intelligence-platform スキルです。インストールの指針、運用フロー、リポジトリ参照やスクリプトに基づく Security Audit の計画に活用できます。
作成者 mukul975
building-threat-hunt-hypothesis-framework は、脅威インテリジェンス、ATT&CK マッピング、テレメトリをもとに、検証可能な脅威ハント仮説を組み立てるのに役立ちます。この building-threat-hunt-hypothesis-framework スキルを使えば、ハント計画の作成、データソースのマッピング、クエリ実行、結果の記録までを進められ、Threat Modeling に向けた building-threat-hunt-hypothesis-framework の脅威ハンティングにも活用できます。
作成者 mukul975
building-threat-actor-profile-from-osint は、脅威インテリジェンスチームが OSINT を構造化された脅威アクタープロファイルへ整理するための skill です。特定のグループやキャンペーンの分析に対応し、ATT&CK マッピング、インフラ相関、出典の追跡可能性、確信度メモを備えた、説明責任のある分析を支援します。
作成者 mukul975
SOCチーム向けの building-soc-playbook-for-ransomware スキル。ランサムウェア対応を体系的に進めるためのプレイブック作成に役立ちます。検知トリガー、封じ込め、駆除、復旧、監査対応までを網羅し、NIST SP 800-61 と MITRE ATT&CK に沿った運用を支援します。実用的なプレイブック作成、机上演習、Security Audit 対応に活用できます。
作成者 mukul975
building-detection-rules-with-sigma は、脅威インテリジェンスやベンダールールから移植性の高い Sigma 検知ルールを作成し、MITRE ATT&CK にマッピングして、Splunk、Elastic、Microsoft Sentinel などの SIEM 向けに変換するのに役立ちます。Security Audit のワークフロー、標準化、detection-as-code にこの building-detection-rules-with-sigma ガイドを活用してください。
作成者 mukul975
building-detection-rule-with-splunk-spl は、SOCアナリストや検知エンジニアが Splunk SPL の相関検索を作成し、脅威検知、チューニング、Security Audit レビューに活用するためのスキルです。検知ブリーフを、MITRE マッピング、エンリッチメント、検証ガイド付きの実装可能なルールへ落とし込むのに役立ちます。
