Siem

detecting-rdp-brute-force-attacks は、Windows Security Event Logs を分析して RDP のブルートフォースパターンを見つけるのに役立ちます。たとえば、4625 の失敗が繰り返されるケース、失敗後に 4624 が成功する流れ、NLA 関連のログオン、送信元 IP の集中などを確認できます。Security Audit、脅威ハンティング、EVTX ベースの再現性ある調査に向いています。

Wazuh、OSSEC、AIDE を使って HIDS を構築し、ファイル整合性、システム変更、コンプライアンス重視のエンドポイントセキュリティを監視するための configuring-host-based-intrusion-detection ガイドです。Security Audit のワークフローに役立ちます。

analyzing-security-logs-with-splunk は、Windows、ファイアウォール、プロキシ、認証ログを時系列と証拠に結び付けながら、Splunk でセキュリティイベントを調査するのに役立ちます。Security Audit、インシデント対応、脅威ハンティングに実用的な analyzing-security-logs-with-splunk のスキルガイドです。

detecting-mimikatz-execution-patterns は、コマンドラインのパターン、LSASS へのアクセス संकेत、バイナリ指標、メモリ上の痕跡を使って Mimikatz の実行を検知するのに役立ちます。Security Audit、ハンティング、インシデント対応で使うなら、この detecting-mimikatz-execution-patterns スキルをテンプレート、参考情報、ワークフローガイダンス付きで導入できます。

Security Audit、脅威ハンティング、インシデント対応向けの detecting-living-off-the-land-attacks スキルです。certutil、mshta、rundll32、regsvr32 などの正規 Windows バイナリの悪用を、プロセス生成、コマンドライン、親子関係のテレメトリから検知します。広範な Windows ハードニングではなく、実際に使える LOLBin 検知パターンに焦点を当てたガイドです。

detecting-lateral-movement-in-network は、Windows イベントログ、Zeek テレメトリ、SMB、RDP、SIEM 相関を使って、侵害後のネットワーク内ラテラルムーブメントを検知するのに役立ちます。脅威ハンティング、インシデント対応、Security Audit レビューでの detecting-lateral-movement-in-network に有用で、実践的な検知ワークフローを備えています。

detecting-kerberoasting-attacks skill は、Kerberos の TGS リクエストの不審な挙動、弱いチケット暗号化、サービスアカウントのパターンを手がかりに、Kerberoasting の調査を支援します。SIEM、EDR、EVTX、そして Threat Modeling のワークフローで使えるよう、実践的な検知テンプレートとチューニング指針を備えています。

detecting-insider-threat-with-ueba は、Elasticsearch または OpenSearch で UEBA の検知を構築するのに役立ちます。行動ベースライン、異常スコアリング、ピアグループ分析、データ持ち出し・権限の悪用・不正アクセスに対する相関アラートまでを含み、インシデント対応ワークフローでの内部脅威検知に適しています。

detecting-insider-threat-behaviors は、通常と異なるデータアクセス、時間外の活動、一括ダウンロード、権限の悪用、退職前後の不正持ち出しなど、インサイダーリスクの兆候を追跡するのに役立ちます。脅威ハンティング、UEBA 風のトリアージ、脅威モデリングに使えるこの detecting-insider-threat-behaviors ガイドには、ワークフローテンプレート、SIEM のクエリ例、リスク重み付けが含まれています。

detecting-fileless-attacks-on-endpoints は、Windows エンドポイントに対するメモリ常駐型攻撃の検知設計を支援します。PowerShell の悪用、WMI 永続化、リフレクティブローディング、プロセスインジェクションなどを対象に、検知を構築できます。Security Audit、脅威ハンティング、検知エンジニアリングで、Sysmon、AMSI、PowerShell ログを使う際に適しています。

detecting-email-forwarding-rules-attack スキルは、Security Audit、脅威ハンティング、インシデント対応チームが、永続化やメール収集に悪用される悪意あるメールボックス転送ルールを見つけるのを支援します。Microsoft 365 と Exchange の証跡、不審なルールパターン、forwarding、redirect、delete、hide の各動作を対象にした実践的なトリアージを案内します。

detecting-attacks-on-scada-systems は、SCADA および OT/ICS 環境への攻撃を見つけるためのサイバーセキュリティスキルです。産業用プロトコルの悪用、PLC への不正コマンド、HMI の侵害、ヒストリアンの改ざん、サービス拒否などを分析するのに役立ち、インシデント対応や検知の検証に使える実践的な指針も備えています。

detecting-anomalous-authentication-patterns は、認証ログを分析して、あり得ない移動、ブルートフォース、パスワードスプレー、クレデンシャルスタッフィング、侵害済みアカウントの活動を特定するのに役立ちます。Security Audit、SOC、IAM、インシデント対応の各ワークフロー向けに設計されており、ベースラインを踏まえた検知と、証拠に基づくサインイン分析を備えています。

osqueryを導入・設定して、エンドポイントの可視化、全社規模の監視、SQLベースの脅威ハンティングを行うためのガイドです。インストール計画の立案、ワークフローやAPIリファレンスの確認、Windows・macOS・Linuxの各エンドポイントでスケジュールクエリ、ログ収集、集中レビューを運用に落とし込む際に役立ちます。

deploying-edr-agent-with-crowdstrike は、Windows、macOS、Linux の各エンドポイントに CrowdStrike Falcon Sensor を計画・導入・検証するための支援をします。導入手順、ポリシー設定、テレメトリの SIEM 連携、Incident Response 対応の準備にこの deploying-edr-agent-with-crowdstrike skill を活用してください。

correlating-security-events-in-qradar は、SOC や検知チームが IBM QRadar のオフェンスを AQL、オフェンスコンテキスト、カスタムルール、参照データで相関分析するのを支援します。このガイドを使えば、インシデントの調査、誤検知の削減、Incident Response に向けたより強力な相関ロジックの構築ができます。

configuring-suricata-for-network-monitoring は、Suricata を IDS/IPS 監視、EVE JSON ログ出力、ルール管理、SIEM 向け出力に対応させるための導入・調整を支援するスキルです。実運用に近いセットアップ、検証、誤検知の削減が必要な Security Audit ワークフローで、configuring-suricata-for-network-monitoring を活用したい場合に適しています。

conducting-malware-incident-response は、IR チームが疑わしいマルウェアをトリアージし、感染を確認し、被害範囲を把握し、エンドポイントを隔離し、駆除と復旧を進めるのに役立ちます。証拠に基づく手順、テレメトリ主導の判断、実践的な封じ込めガイダンスを備え、Incident Response のワークフローで conducting-malware-incident-response を行うために設計されています。

building-vulnerability-scanning-workflow は、SOCチームが資産全体に対して、発見、優先順位付け、修復状況の追跡、レポート作成までを再現可能な脆弱性スキャンプロセスとして設計するのを支援します。単発のスキャンにとどまらず、スキャナーの連携制御、CISA KEVを踏まえたリスク順位付け、運用に落とし込めるワークフロー指針を提供し、Security Audit の用途に対応します。

building-threat-hunt-hypothesis-framework は、脅威インテリジェンス、ATT&CK マッピング、テレメトリをもとに、検証可能な脅威ハント仮説を組み立てるのに役立ちます。この building-threat-hunt-hypothesis-framework スキルを使えば、ハント計画の作成、データソースのマッピング、クエリ実行、結果の記録までを進められ、Threat Modeling に向けた building-threat-hunt-hypothesis-framework の脅威ハンティングにも活用できます。

building-threat-feed-aggregation-with-misp は、MISP を導入して脅威インテリジェンス・フィードを集約、相関分析、共有し、IOC を一元管理しながら SIEM 連携まで進めるためのスキルです。このガイドでは、インストールと利用パターン、フィード同期、API アクション、そして Threat Intelligence チーム向けの実践的なワークフローを解説します。

building-soc-metrics-and-kpi-tracking は、SOC の活動データを MTTD、MTTR、アラート品質、アナリスト生産性、検知カバレッジといった KPI に変換する skill です。Splunk ベースのワークフローで、再現性のあるレポート作成、トレンド追跡、経営層向けの指標化が必要な SOC リーダーシップ、セキュリティ運用、オブザーバビリティ チームに適しています。

building-detection-rules-with-sigma は、脅威インテリジェンスやベンダールールから移植性の高い Sigma 検知ルールを作成し、MITRE ATT&CK にマッピングして、Splunk、Elastic、Microsoft Sentinel などの SIEM 向けに変換するのに役立ちます。Security Audit のワークフロー、標準化、detection-as-code にこの building-detection-rules-with-sigma ガイドを活用してください。

building-detection-rule-with-splunk-spl は、SOCアナリストや検知エンジニアが Splunk SPL の相関検索を作成し、脅威検知、チューニング、Security Audit レビューに活用するためのスキルです。検知ブリーフを、MITRE マッピング、エンリッチメント、検証ガイド付きの実装可能なルールへ落とし込むのに役立ちます。