作成者 mukul975
extracting-windows-event-logs-artifacts は、デジタルフォレンジック、インシデント対応、脅威ハンティング向けに Windows Event Logs(EVTX)を抽出・解析・分析するための skill です。Chainsaw、Hayabusa、EvtxECmd を使って、ログオン、プロセス作成、サービスのインストール、スケジュールタスク、権限変更、ログ消去などを構造的に確認できます。
作成者 mukul975
exploiting-constrained-delegation-abuse skill は、Kerberos の制約付き委任悪用に関する Active Directory の正当な検証を支援するガイドです。列挙、S4U2self と S4U2proxy のチケット要求、そして横展開や権限昇格につながる実践的な手順を扱います。一般的な Kerberos の解説ではなく、再現性のあるペネトレーションテスト用ガイドが必要なときに適しています。
作成者 mukul975
eradicating-malware-from-infected-systems は、封じ込め後にマルウェア、バックドア、永続化機構を除去するためのサイバーセキュリティ・インシデント対応スキルです。Windows と Linux のクリーンアップ、認証情報のローテーション、原因根本への対処、検証を進めるためのワークフロー指針、参考ファイル、スクリプトが含まれています。
作成者 mukul975
detecting-mimikatz-execution-patterns は、コマンドラインのパターン、LSASS へのアクセス संकेत、バイナリ指標、メモリ上の痕跡を使って Mimikatz の実行を検知するのに役立ちます。Security Audit、ハンティング、インシデント対応で使うなら、この detecting-mimikatz-execution-patterns スキルをテンプレート、参考情報、ワークフローガイダンス付きで導入できます。
作成者 mukul975
Security Audit、脅威ハンティング、インシデント対応向けの detecting-living-off-the-land-attacks スキルです。certutil、mshta、rundll32、regsvr32 などの正規 Windows バイナリの悪用を、プロセス生成、コマンドライン、親子関係のテレメトリから検知します。広範な Windows ハードニングではなく、実際に使える LOLBin 検知パターンに焦点を当てたガイドです。
作成者 mukul975
detecting-fileless-malware-techniques skill は、PowerShell、WMI、.NET リフレクション、レジストリ常駐ペイロード、LOLBins を使ってメモリ上で動作するファイルレスマルウェアを調査する Malware Analysis ワークフローを支援します。疑わしいアラートを、証拠に基づくトリアージ、検知アイデア、次のハンティングへとつなげるために使えます。
作成者 mukul975
detecting-fileless-attacks-on-endpoints は、Windows エンドポイントに対するメモリ常駐型攻撃の検知設計を支援します。PowerShell の悪用、WMI 永続化、リフレクティブローディング、プロセスインジェクションなどを対象に、検知を構築できます。Security Audit、脅威ハンティング、検知エンジニアリングで、Sysmon、AMSI、PowerShell ログを使う際に適しています。
作成者 mukul975
Microsoft Defender for Endpoint の強化に使う「configuring-windows-defender-advanced-settings」skill。ASR ルール、制御されたフォルダー アクセス、ネットワーク保護、Exploit Protection、導入計画、監査先行のロールアウト手順をカバーし、セキュリティエンジニア、IT 管理者、セキュリティ監査のワークフローに役立ちます。
作成者 mukul975
analyzing-windows-registry-for-artifacts は、Windows Registry のハイブから証拠を抽出し、ユーザーの操作履歴、インストール済みソフトウェア、autoruns、USB履歴、侵害の兆候を特定するのに役立ちます。インシデント対応や Security Audit のワークフローに適しています。
作成者 mukul975
analyzing-windows-amcache-artifacts skill は、Windows の Amcache.hve データを解析し、プログラム実行の痕跡、インストール済みソフトウェア、デバイスの活動、ドライバーの読み込み証跡を抽出して、DFIR やセキュリティ監査のワークフローに役立てるための skill です。AmcacheParser と regipy ベースの手順を用いて、アーティファクト抽出、SHA-1 の突合、タイムライン確認を支援します。
作成者 mukul975
analyzing-powershell-empire-artifacts スキルは、Security Audit チームが Script Block Logging、Base64 ランチャーのパターン、stager の IOC、モジュール署名、検知リファレンスを使って、Windows ログ内の PowerShell Empire の痕跡を検出し、トリアージとルール作成に役立てるためのものです。
作成者 mukul975
Windows PowerShellのScript Block LoggingイベントID 4104をEVTXファイルから解析し、分割されたスクリプトブロックを復元し、難読化コマンド、エンコードされたペイロード、Invoke-Expressionの悪用、ダウンロードクレードル、AMSIバイパス試行を検知する、Security Audit向けの analyzing-powershell-script-block-logging スキルです。
