Windows Security

detecting-service-account-abuse は、Windows、AD、SIEM、EDR のテレメトリからサービスアカウントの不正利用を見つけるための脅威ハンティングスキルです。不審な対話型ログオン、権限昇格、横展開、アクセス異常に重点を置き、再現性のある調査を支えるハントテンプレート、イベント ID、ワークフロー参照を備えています。

detecting-rdp-brute-force-attacks は、Windows Security Event Logs を分析して RDP のブルートフォースパターンを見つけるのに役立ちます。たとえば、4625 の失敗が繰り返されるケース、失敗後に 4624 が成功する流れ、NLA 関連のログオン、送信元 IP の集中などを確認できます。Security Audit、脅威ハンティング、EVTX ベースの再現性ある調査に向いています。

detecting-rootkit-activity は、Malware Analysis 向けのスキルで、隠しプロセス、フックされたシステムコール、改変されたカーネル構造、隠しモジュール、密かに残されたネットワーク痕跡など、rootkit の兆候を見つけるために使います。クロスビュー比較と整合性チェックにより、標準ツールの結果が食い違う suspicious host の検証を支援します。

eradicating-malware-from-infected-systems は、封じ込め後にマルウェア、バックドア、永続化機構を除去するためのサイバーセキュリティ・インシデント対応スキルです。Windows と Linux のクリーンアップ、認証情報のローテーション、原因根本への対処、検証を進めるためのワークフロー指針、参考ファイル、スクリプトが含まれています。

detecting-privilege-escalation-attempts は、Windows と Linux における権限昇格の追跡を支援します。トークン操作、UAC バイパス、引用符なしのサービスパス、カーネルエクスプロイト、sudo/doas の不正利用までカバー。実践的なワークフロー、参考クエリ、補助スクリプトを求める脅威ハンティングチーム向けに設計されています。

detecting-pass-the-ticket-attacks は、Windows の Security Event ID 4768、4769、4771 を相関させて Kerberos の Pass-the-Ticket 活動を検知するための skill です。Splunk や Elastic での脅威ハンティングに使えば、チケットの再利用、RC4 へのダウングレード、異常な TGS ボリュームを、実用的なクエリとフィールドの指針つきで見つけやすくなります。

Windows Securityログ、Splunk、KQLを使って、NTLMベースの横展開、不審なType 3ログオン、T1550.002の活動を追うための detecting-pass-the-hash-attacks skill です。

detecting-evasion-techniques-in-endpoint-logs skill は、Windows の endpoint ログから防御回避の痕跡を追うための skill です。ログ削除、timestomping、process injection、セキュリティツール無効化などの検知に役立ちます。Sysmon、Windows Security、EDR テレメトリを使った threat hunting、検知設計、インシデントトリアージに向いています。

detecting-living-off-the-land-with-lolbas は、Sysmon と Windows Event Logs を使って LOLBAS 悪用を検知するためのスキルです。プロセスのテレメトリ、親子プロセスの文脈、Sigma ルール、さらにトリアージ、ハンティング、ルール作成に役立つ実践ガイドを備えています。Threat Modeling やアナリスト業務で、certutil、regsvr32、mshta、rundll32 を使った detecting-living-off-the-land-with-lolbas の検知を支援します。

detecting-golden-ticket-forgery は、Windows Event ID 4769、RC4 ダウングレードの使用（0x17）、異常なチケット有効期間、そして Splunk と Elastic における krbtgt の異常を分析することで、Kerberos の Golden Ticket ふりかえりを検知します。Security Audit、インシデント調査、脅威ハンティング向けに実用的な検知ガイダンスを備えています。

detecting-dll-sideloading-attacks は、Security Audit、脅威ハンティング、インシデント対応チームが Sysmon、EDR、MDE、Splunk を使って DLL サイドローディングを検知するのに役立ちます。この detecting-dll-sideloading-attacks ガイドには、ワークフローノート、ハント用テンプレート、標準マッピング、そして疑わしい DLL 読み込みを再現可能な検知へつなげるためのスクリプトが含まれています。

detecting-credential-dumping-techniques スキルは、Sysmon のイベント ID 10、Windows のセキュリティログ、SIEM の相関ルールを使って、LSASS へのアクセス、SAM のエクスポート、NTDS.dit の窃取、comsvcs.dll を使った MiniDump の悪用を検知するのに役立ちます。脅威ハンティング、検知エンジニアリング、Security Audit のワークフロー向けに設計されています。

deploying-active-directory-honeytokens は、Security Audit 向けに Active Directory のハニートークンを計画・生成するのに役立つ技能です。偽の特権アカウント、Kerberoasting 検知用の偽 SPN、デコイ GPO の罠、BloodHound を欺くパスなどを含みます。インストール観点のガイダンスに、実運用で役立つスクリプトとテレメトリの着眼点を組み合わせ、導入判断とレビューをしやすくします。

Microsoft Defender for Endpoint の強化に使う「configuring-windows-defender-advanced-settings」skill。ASR ルール、制御されたフォルダー アクセス、ネットワーク保護、Exploit Protection、導入計画、監査先行のロールアウト手順をカバーし、セキュリティエンジニア、IT 管理者、セキュリティ監査のワークフローに役立ちます。