作成者 mukul975
detecting-beaconing-patterns-with-zeek は、Zeek の `conn.log` の間隔を分析して C2 型のビーコニングを検知するための skill です。ZAT を利用し、フローを送信元・送信先・ポートごとにグループ化したうえで、低ジッターのパターンを統計的に評価します。SOC、脅威ハンティング、インシデント対応、Security Audit のワークフローにおける detecting-beaconing-patterns-with-zeek に適しています。
作成者 mukul975
detecting-azure-lateral-movement は、Microsoft Graph の監査ログ、サインイン テレメトリ、KQL の相関分析を使って、Azure AD/Entra ID と Microsoft Sentinel でのラテラルムーブメントを調査するセキュリティアナリスト向けのスキルです。インシデントの一次切り分け、検知ロジックの設計、セキュリティ監査のワークフローで、同意の悪用、サービス プリンシパルの不正利用、トークン窃取、テナント間のピボットをカバーする際に役立ちます。
作成者 mukul975
analyzing-security-logs-with-splunk は、Windows、ファイアウォール、プロキシ、認証ログを時系列と証拠に結び付けながら、Splunk でセキュリティイベントを調査するのに役立ちます。Security Audit、インシデント対応、脅威ハンティングに実用的な analyzing-security-logs-with-splunk のスキルガイドです。
作成者 mukul975
analyzing-golang-malware-with-ghidra は、Ghidra を使って Go でコンパイルされたマルウェアをリバースエンジニアリングする際の支援 skill です。関数の復元、文字列抽出、ビルドメタデータの確認、依存関係のマッピングまで、Go 特有の手順を実務向けに整理しています。マルウェアの一次判定、インシデント対応、Security Audit など、実践的な Go 解析手順が必要な場面で役立ちます。
作成者 mukul975
detecting-living-off-the-land-with-lolbas は、Sysmon と Windows Event Logs を使って LOLBAS 悪用を検知するためのスキルです。プロセスのテレメトリ、親子プロセスの文脈、Sigma ルール、さらにトリアージ、ハンティング、ルール作成に役立つ実践ガイドを備えています。Threat Modeling やアナリスト業務で、certutil、regsvr32、mshta、rundll32 を使った detecting-living-off-the-land-with-lolbas の検知を支援します。
作成者 mukul975
detecting-kerberoasting-attacks skill は、Kerberos の TGS リクエストの不審な挙動、弱いチケット暗号化、サービスアカウントのパターンを手がかりに、Kerberoasting の調査を支援します。SIEM、EDR、EVTX、そして Threat Modeling のワークフローで使えるよう、実践的な検知テンプレートとチューニング指針を備えています。
作成者 mukul975
detecting-insider-threat-behaviors は、通常と異なるデータアクセス、時間外の活動、一括ダウンロード、権限の悪用、退職前後の不正持ち出しなど、インサイダーリスクの兆候を追跡するのに役立ちます。脅威ハンティング、UEBA 風のトリアージ、脅威モデリングに使えるこの detecting-insider-threat-behaviors ガイドには、ワークフローテンプレート、SIEM のクエリ例、リスク重み付けが含まれています。
作成者 mukul975
detecting-fileless-malware-techniques skill は、PowerShell、WMI、.NET リフレクション、レジストリ常駐ペイロード、LOLBins を使ってメモリ上で動作するファイルレスマルウェアを調査する Malware Analysis ワークフローを支援します。疑わしいアラートを、証拠に基づくトリアージ、検知アイデア、次のハンティングへとつなげるために使えます。
作成者 mukul975
detecting-email-forwarding-rules-attack スキルは、Security Audit、脅威ハンティング、インシデント対応チームが、永続化やメール収集に悪用される悪意あるメールボックス転送ルールを見つけるのを支援します。Microsoft 365 と Exchange の証跡、不審なルールパターン、forwarding、redirect、delete、hide の各動作を対象にした実践的なトリアージを案内します。
作成者 mukul975
detecting-dll-sideloading-attacks は、Security Audit、脅威ハンティング、インシデント対応チームが Sysmon、EDR、MDE、Splunk を使って DLL サイドローディングを検知するのに役立ちます。この detecting-dll-sideloading-attacks ガイドには、ワークフローノート、ハント用テンプレート、標準マッピング、そして疑わしい DLL 読み込みを再現可能な検知へつなげるためのスクリプトが含まれています。
作成者 mukul975
detecting-attacks-on-historian-servers は、OSIsoft PI、Ignition、Wonderware などの OT historian サーバーにおける不審な活動を、IT/OT 境界で検知するのに役立ちます。Incident Response、無許可クエリ、データ改ざん、API 悪用、横展開のトリアージにこの detecting-attacks-on-historian-servers ガイドを活用してください。
作成者 mukul975
detecting-anomalous-authentication-patterns は、認証ログを分析して、あり得ない移動、ブルートフォース、パスワードスプレー、クレデンシャルスタッフィング、侵害済みアカウントの活動を特定するのに役立ちます。Security Audit、SOC、IAM、インシデント対応の各ワークフロー向けに設計されており、ベースラインを踏まえた検知と、証拠に基づくサインイン分析を備えています。
作成者 mukul975
osqueryを導入・設定して、エンドポイントの可視化、全社規模の監視、SQLベースの脅威ハンティングを行うためのガイドです。インストール計画の立案、ワークフローやAPIリファレンスの確認、Windows・macOS・Linuxの各エンドポイントでスケジュールクエリ、ログ収集、集中レビューを運用に落とし込む際に役立ちます。
作成者 mukul975
correlating-security-events-in-qradar は、SOC や検知チームが IBM QRadar のオフェンスを AQL、オフェンスコンテキスト、カスタムルール、参照データで相関分析するのを支援します。このガイドを使えば、インシデントの調査、誤検知の削減、Incident Response に向けたより強力な相関ロジックの構築ができます。
作成者 mukul975
containing-active-breach は、進行中の侵害を封じ込めるためのインシデント対応スキルです。ホストの隔離、不審な通信の遮断、侵害されたアカウントの無効化、横展開の抑止を、実用的な API やスクリプト参照を含む構造化された containing-active-breach ガイドに沿って支援します。
作成者 mukul975
building-threat-hunt-hypothesis-framework は、脅威インテリジェンス、ATT&CK マッピング、テレメトリをもとに、検証可能な脅威ハント仮説を組み立てるのに役立ちます。この building-threat-hunt-hypothesis-framework スキルを使えば、ハント計画の作成、データソースのマッピング、クエリ実行、結果の記録までを進められ、Threat Modeling に向けた building-threat-hunt-hypothesis-framework の脅威ハンティングにも活用できます。
作成者 mukul975
analyzing-threat-actor-ttps-with-mitre-attack skill は、脅威レポートを MITRE ATT&CK の戦術・技術・サブ技術にマッピングし、カバレッジの可視化と検知ギャップの優先付けを行うのに役立ちます。レポート用テンプレート、ATT&CK参照、技術検索とギャップ分析のためのスクリプトが含まれており、CTI、SOC、検知エンジニアリング、脅威モデリングに有用です。
作成者 mukul975
analyzing-powershell-empire-artifacts スキルは、Security Audit チームが Script Block Logging、Base64 ランチャーのパターン、stager の IOC、モジュール署名、検知リファレンスを使って、Windows ログ内の PowerShell Empire の痕跡を検出し、トリアージとルール作成に役立てるためのものです。
作成者 mukul975
Windows PowerShellのScript Block LoggingイベントID 4104をEVTXファイルから解析し、分割されたスクリプトブロックを復元し、難読化コマンド、エンコードされたペイロード、Invoke-Expressionの悪用、ダウンロードクレードル、AMSIバイパス試行を検知する、Security Audit向けの analyzing-powershell-script-block-logging スキルです。
作成者 mukul975
analyzing-persistence-mechanisms-in-linux skill は、侵害後の Linux における永続化手法の調査を支援します。crontab ジョブ、systemd ユニット、LD_PRELOAD の悪用、シェルのプロファイル変更、SSH の authorized_keys を使ったバックドアまで幅広くカバーします。auditd とファイル整合性チェックを用いるインシデント対応、脅威ハンティング、セキュリティ監査のワークフロー向けに設計されています。
