Sysmon

detecting-wmi-persistence skill は、脅威ハンターや DFIR アナリストが、Sysmon の Event ID 19、20、21 を使って Windows テレメトリ内の WMI イベントサブスクリプション永続化を検知するのに役立ちます。悪意ある EventFilter、EventConsumer、FilterToConsumerBinding の活動を特定し、検出結果を検証し、攻撃者の永続化と正当な管理自動化を切り分ける用途に使えます。

detecting-process-injection-techniques は、疑わしいインメモリ活動の分析、EDRアラートの検証、プロセスホローイング、APCインジェクション、スレッドハイジャック、リフレクティブローディング、従来型のDLLインジェクションの特定を支援し、Security Audit やマルウェアトリアージに役立ちます。

detecting-process-hollowing-technique は、Windows のテレメトリで中断された起動、メモリ改ざん、親子関係の異常、API の証拠を相関させながら、プロセスホローイング（T1055.012）を追跡するのに役立ちます。脅威ハンター、検知エンジニア、インシデント対応担当者が、Threat Hunting の実務フローで使える実践的な detecting-process-hollowing-technique を求める場面向けに設計されています。

detecting-privilege-escalation-attempts は、Windows と Linux における権限昇格の追跡を支援します。トークン操作、UAC バイパス、引用符なしのサービスパス、カーネルエクスプロイト、sudo/doas の不正利用までカバー。実践的なワークフロー、参考クエリ、補助スクリプトを求める脅威ハンティングチーム向けに設計されています。

Windows Securityログ、Splunk、KQLを使って、NTLMベースの横展開、不審なType 3ログオン、T1550.002の活動を追うための detecting-pass-the-hash-attacks skill です。

detecting-evasion-techniques-in-endpoint-logs skill は、Windows の endpoint ログから防御回避の痕跡を追うための skill です。ログ削除、timestomping、process injection、セキュリティツール無効化などの検知に役立ちます。Sysmon、Windows Security、EDR テレメトリを使った threat hunting、検知設計、インシデントトリアージに向いています。

detecting-mimikatz-execution-patterns は、コマンドラインのパターン、LSASS へのアクセス संकेत、バイナリ指標、メモリ上の痕跡を使って Mimikatz の実行を検知するのに役立ちます。Security Audit、ハンティング、インシデント対応で使うなら、この detecting-mimikatz-execution-patterns スキルをテンプレート、参考情報、ワークフローガイダンス付きで導入できます。

detecting-living-off-the-land-with-lolbas は、Sysmon と Windows Event Logs を使って LOLBAS 悪用を検知するためのスキルです。プロセスのテレメトリ、親子プロセスの文脈、Sigma ルール、さらにトリアージ、ハンティング、ルール作成に役立つ実践ガイドを備えています。Threat Modeling やアナリスト業務で、certutil、regsvr32、mshta、rundll32 を使った detecting-living-off-the-land-with-lolbas の検知を支援します。

Security Audit、脅威ハンティング、インシデント対応向けの detecting-living-off-the-land-attacks スキルです。certutil、mshta、rundll32、regsvr32 などの正規 Windows バイナリの悪用を、プロセス生成、コマンドライン、親子関係のテレメトリから検知します。広範な Windows ハードニングではなく、実際に使える LOLBin 検知パターンに焦点を当てたガイドです。

detecting-fileless-malware-techniques skill は、PowerShell、WMI、.NET リフレクション、レジストリ常駐ペイロード、LOLBins を使ってメモリ上で動作するファイルレスマルウェアを調査する Malware Analysis ワークフローを支援します。疑わしいアラートを、証拠に基づくトリアージ、検知アイデア、次のハンティングへとつなげるために使えます。

detecting-fileless-attacks-on-endpoints は、Windows エンドポイントに対するメモリ常駐型攻撃の検知設計を支援します。PowerShell の悪用、WMI 永続化、リフレクティブローディング、プロセスインジェクションなどを対象に、検知を構築できます。Security Audit、脅威ハンティング、検知エンジニアリングで、Sysmon、AMSI、PowerShell ログを使う際に適しています。

detecting-dll-sideloading-attacks は、Security Audit、脅威ハンティング、インシデント対応チームが Sysmon、EDR、MDE、Splunk を使って DLL サイドローディングを検知するのに役立ちます。この detecting-dll-sideloading-attacks ガイドには、ワークフローノート、ハント用テンプレート、標準マッピング、そして疑わしい DLL 読み込みを再現可能な検知へつなげるためのスクリプトが含まれています。

detecting-credential-dumping-techniques スキルは、Sysmon のイベント ID 10、Windows のセキュリティログ、SIEM の相関ルールを使って、LSASS へのアクセス、SAM のエクスポート、NTDS.dit の窃取、comsvcs.dll を使った MiniDump の悪用を検知するのに役立ちます。脅威ハンティング、検知エンジニアリング、Security Audit のワークフロー向けに設計されています。

analyzing-windows-event-logs-in-splunk skill は、SOCアナリストが Splunk 上で Windows の Security、System、Sysmon ログを調査し、認証攻撃、権限昇格、永続化、横展開を追跡するのに役立ちます。インシデントのトリアージ、検知ロジックの設計、タイムライン分析に使え、対応する SPL パターンとイベント ID のガイダンスも含まれています。