作成者 mukul975
detecting-s3-data-exfiltration-attempts は、CloudTrail の S3 data events、GuardDuty の findings、Amazon Macie の alerts、S3 のアクセスパターンを突き合わせて、AWS S3 でのデータ窃取の可能性を調査するのに役立ちます。Security Audit、インシデント対応、疑わしい一括ダウンロードの分析に、この detecting-s3-data-exfiltration-attempts skill を活用してください。
作成者 mukul975
detecting-rdp-brute-force-attacks は、Windows Security Event Logs を分析して RDP のブルートフォースパターンを見つけるのに役立ちます。たとえば、4625 の失敗が繰り返されるケース、失敗後に 4624 が成功する流れ、NLA 関連のログオン、送信元 IP の集中などを確認できます。Security Audit、脅威ハンティング、EVTX ベースの再現性ある調査に向いています。
作成者 mukul975
detecting-modbus-command-injection-attacks は、ICS や SCADA 環境における不審な Modbus TCP/RTU の書き込み、異常な機能コード、形式不正のフレーム、ベースラインからの逸脱を見つけるのに役立ちます。インシデントのトリアージ、OT 監視、Security Audit で、一般的な異常検知ではなく Modbus を理解した検知ガイダンスが必要なときに使うのが適しています。
作成者 mukul975
detecting-living-off-the-land-with-lolbas は、Sysmon と Windows Event Logs を使って LOLBAS 悪用を検知するためのスキルです。プロセスのテレメトリ、親子プロセスの文脈、Sigma ルール、さらにトリアージ、ハンティング、ルール作成に役立つ実践ガイドを備えています。Threat Modeling やアナリスト業務で、certutil、regsvr32、mshta、rundll32 を使った detecting-living-off-the-land-with-lolbas の検知を支援します。
作成者 mukul975
Security Audit、脅威ハンティング、インシデント対応向けの detecting-living-off-the-land-attacks スキルです。certutil、mshta、rundll32、regsvr32 などの正規 Windows バイナリの悪用を、プロセス生成、コマンドライン、親子関係のテレメトリから検知します。広範な Windows ハードニングではなく、実際に使える LOLBin 検知パターンに焦点を当てたガイドです。
作成者 mukul975
detecting-lateral-movement-in-network は、Windows イベントログ、Zeek テレメトリ、SMB、RDP、SIEM 相関を使って、侵害後のネットワーク内ラテラルムーブメントを検知するのに役立ちます。脅威ハンティング、インシデント対応、Security Audit レビューでの detecting-lateral-movement-in-network に有用で、実践的な検知ワークフローを備えています。
作成者 mukul975
detecting-insider-threat-with-ueba は、Elasticsearch または OpenSearch で UEBA の検知を構築するのに役立ちます。行動ベースライン、異常スコアリング、ピアグループ分析、データ持ち出し・権限の悪用・不正アクセスに対する相関アラートまでを含み、インシデント対応ワークフローでの内部脅威検知に適しています。
