Splunk

detecting-service-account-abuse は、Windows、AD、SIEM、EDR のテレメトリからサービスアカウントの不正利用を見つけるための脅威ハンティングスキルです。不審な対話型ログオン、権限昇格、横展開、アクセス異常に重点を置き、再現性のある調査を支えるハントテンプレート、イベント ID、ワークフロー参照を備えています。

detecting-azure-service-principal-abuse は、Azure における Microsoft Entra ID のサービス プリンシパルの不審な गतिविधいを検知・調査・記録するのに役立ちます。Security Audit、クラウドインシデント対応、脅威ハンティングで、資格情報の変更、管理者同意の悪用、ロール割り当て、所有権の経路、サインイン異常を確認する用途に向いています。

analyzing-security-logs-with-splunk は、Windows、ファイアウォール、プロキシ、認証ログを時系列と証拠に結び付けながら、Splunk でセキュリティイベントを調査するのに役立ちます。Security Audit、インシデント対応、脅威ハンティングに実用的な analyzing-security-logs-with-splunk のスキルガイドです。

detecting-privilege-escalation-attempts は、Windows と Linux における権限昇格の追跡を支援します。トークン操作、UAC バイパス、引用符なしのサービスパス、カーネルエクスプロイト、sudo/doas の不正利用までカバー。実践的なワークフロー、参考クエリ、補助スクリプトを求める脅威ハンティングチーム向けに設計されています。

detecting-pass-the-ticket-attacks は、Windows の Security Event ID 4768、4769、4771 を相関させて Kerberos の Pass-the-Ticket 活動を検知するための skill です。Splunk や Elastic での脅威ハンティングに使えば、チケットの再利用、RC4 へのダウングレード、異常な TGS ボリュームを、実用的なクエリとフィールドの指針つきで見つけやすくなります。

Windows Securityログ、Splunk、KQLを使って、NTLMベースの横展開、不審なType 3ログオン、T1550.002の活動を追うための detecting-pass-the-hash-attacks skill です。

detecting-lateral-movement-in-network は、Windows イベントログ、Zeek テレメトリ、SMB、RDP、SIEM 相関を使って、侵害後のネットワーク内ラテラルムーブメントを検知するのに役立ちます。脅威ハンティング、インシデント対応、Security Audit レビューでの detecting-lateral-movement-in-network に有用で、実践的な検知ワークフローを備えています。

detecting-kerberoasting-attacks skill は、Kerberos の TGS リクエストの不審な挙動、弱いチケット暗号化、サービスアカウントのパターンを手がかりに、Kerberoasting の調査を支援します。SIEM、EDR、EVTX、そして Threat Modeling のワークフローで使えるよう、実践的な検知テンプレートとチューニング指針を備えています。

detecting-insider-threat-behaviors は、通常と異なるデータアクセス、時間外の活動、一括ダウンロード、権限の悪用、退職前後の不正持ち出しなど、インサイダーリスクの兆候を追跡するのに役立ちます。脅威ハンティング、UEBA 風のトリアージ、脅威モデリングに使えるこの detecting-insider-threat-behaviors ガイドには、ワークフローテンプレート、SIEM のクエリ例、リスク重み付けが含まれています。

detecting-golden-ticket-forgery は、Windows Event ID 4769、RC4 ダウングレードの使用（0x17）、異常なチケット有効期間、そして Splunk と Elastic における krbtgt の異常を分析することで、Kerberos の Golden Ticket ふりかえりを検知します。Security Audit、インシデント調査、脅威ハンティング向けに実用的な検知ガイダンスを備えています。

detecting-email-forwarding-rules-attack スキルは、Security Audit、脅威ハンティング、インシデント対応チームが、永続化やメール収集に悪用される悪意あるメールボックス転送ルールを見つけるのを支援します。Microsoft 365 と Exchange の証跡、不審なルールパターン、forwarding、redirect、delete、hide の各動作を対象にした実践的なトリアージを案内します。

detecting-dll-sideloading-attacks は、Security Audit、脅威ハンティング、インシデント対応チームが Sysmon、EDR、MDE、Splunk を使って DLL サイドローディングを検知するのに役立ちます。この detecting-dll-sideloading-attacks ガイドには、ワークフローノート、ハント用テンプレート、標準マッピング、そして疑わしい DLL 読み込みを再現可能な検知へつなげるためのスクリプトが含まれています。

deploying-edr-agent-with-crowdstrike は、Windows、macOS、Linux の各エンドポイントに CrowdStrike Falcon Sensor を計画・導入・検証するための支援をします。導入手順、ポリシー設定、テレメトリの SIEM 連携、Incident Response 対応の準備にこの deploying-edr-agent-with-crowdstrike skill を活用してください。

building-threat-hunt-hypothesis-framework は、脅威インテリジェンス、ATT&CK マッピング、テレメトリをもとに、検証可能な脅威ハント仮説を組み立てるのに役立ちます。この building-threat-hunt-hypothesis-framework スキルを使えば、ハント計画の作成、データソースのマッピング、クエリ実行、結果の記録までを進められ、Threat Modeling に向けた building-threat-hunt-hypothesis-framework の脅威ハンティングにも活用できます。

building-soc-metrics-and-kpi-tracking は、SOC の活動データを MTTD、MTTR、アラート品質、アナリスト生産性、検知カバレッジといった KPI に変換する skill です。Splunk ベースのワークフローで、再現性のあるレポート作成、トレンド追跡、経営層向けの指標化が必要な SOC リーダーシップ、セキュリティ運用、オブザーバビリティ チームに適しています。

building-incident-response-dashboard は、Splunk、Elastic、Grafana でリアルタイムのインシデント対応ダッシュボードを構築するのに役立ちます。アクティブなインシデント追跡、封じ込め状況、影響を受けた資産、IOC の拡散状況、対応タイムラインの可視化に最適です。SOC アナリスト、インシデントコマンダー、経営層向けに、集中的なダッシュボードが必要なときに使う skill です。

building-detection-rules-with-sigma は、脅威インテリジェンスやベンダールールから移植性の高い Sigma 検知ルールを作成し、MITRE ATT&CK にマッピングして、Splunk、Elastic、Microsoft Sentinel などの SIEM 向けに変換するのに役立ちます。Security Audit のワークフロー、標準化、detection-as-code にこの building-detection-rules-with-sigma ガイドを活用してください。

building-detection-rule-with-splunk-spl は、SOCアナリストや検知エンジニアが Splunk SPL の相関検索を作成し、脅威検知、チューニング、Security Audit レビューに活用するためのスキルです。検知ブリーフを、MITRE マッピング、エンリッチメント、検証ガイド付きの実装可能なルールへ落とし込むのに役立ちます。

analyzing-windows-event-logs-in-splunk skill は、SOCアナリストが Splunk 上で Windows の Security、System、Sysmon ログを調査し、認証攻撃、権限昇格、永続化、横展開を追跡するのに役立ちます。インシデントのトリアージ、検知ロジックの設計、タイムライン分析に使え、対応する SPL パターンとイベント ID のガイダンスも含まれています。

analyzing-dns-logs-for-exfiltration は、SIEM や Zeek のログから DNS トンネリング、DGA 風ドメイン、TXT 悪用、そして秘匿された C2 パターンを検出するための、SOC 分析担当者向け skill です。エントロピー分析、クエリ量の異常、実践的なトリアージ指針が必要な Security Audit ワークフローで役立ちます。