Incident Response

detecting-lateral-movement-with-zeek는 위협 헌팅과 사고 대응을 위한 Zeek 기반 사이버보안 스킬입니다. conn.log, smb_mapping.log, smb_files.log, dce_rpc.log, ntlm.log, kerberos.log 같은 Zeek 로그를 활용해 SMB 관리자 공유 접근, DCE/RPC 서비스 생성, NTLM 스프레이, Kerberos 이상 징후, 의심스러운 내부 전송을 탐지하는 데 도움을 줍니다.

analyzing-windows-shellbag-artifacts는 DFIR 분석가가 Windows Shellbag 레지스트리 아티팩트를 해석해 폴더 탐색 기록, 삭제된 폴더 접근, 이동식 미디어 사용, 네트워크 공유 활동을 SBECmd와 ShellBags Explorer로 복원할 수 있도록 돕습니다. 사고 대응과 포렌식에 바로 활용할 수 있는 실용적인 analyzing-windows-shellbag-artifacts 가이드입니다.

analyzing-cobaltstrike-malleable-c2-profiles는 Cobalt Strike Malleable C2 프로필을 C2 지표, 회피 특성, 탐지 아이디어로 파싱해 악성코드 분석, 위협 헌팅, Security Audit 워크플로에 활용할 수 있도록 돕습니다. dissect.cobaltstrike와 pyMalleableC2를 사용해 프로필과 beacon 설정을 분석합니다.

exploiting-kerberoasting-with-impacket는 권한이 있는 테스터가 Impacket의 GetUserSPNs.py를 사용해 Kerberoasting을 계획할 수 있도록 돕습니다. SPN 열거부터 TGS 티켓 추출, 오프라인 크래킹, 탐지 고려 보고까지 한 흐름으로 안내합니다. 이 exploiting-kerberoasting-with-impacket 가이드는 명확한 설치 및 사용 맥락이 필요한 침투 테스트 워크플로에 적합합니다.

detecting-service-account-abuse는 Windows, AD, SIEM, EDR 텔레메트리 전반에서 서비스 계정 오남용을 찾기 위한 위협 헌팅 skill입니다. 의심스러운 대화형 로그온, 권한 상승, 측면 이동, 접근 이상 징후에 초점을 맞추며, 반복 가능한 조사를 돕는 헌트 템플릿, 이벤트 ID, 워크플로 참조를 제공합니다.

detecting-s3-data-exfiltration-attempts는 CloudTrail의 S3 데이터 이벤트, GuardDuty 탐지 결과, Amazon Macie 경보, S3 접근 패턴을 상호 연관해 AWS S3 데이터 탈취 가능성을 조사하는 데 도움을 줍니다. 보안 감사, 사고 대응, 의심스러운 대량 다운로드 분석에 이 detecting-s3-data-exfiltration-attempts 스킬을 사용하세요.

detecting-rdp-brute-force-attacks는 Windows Security Event Logs에서 RDP 무차별 대입 패턴을 분석하는 데 도움이 됩니다. 반복되는 4625 실패, 실패 후 4624 성공, NLA 관련 로그인, 소스 IP 집중 현상 등을 확인할 수 있습니다. 보안 감사, 위협 헌팅, 반복 가능한 EVTX 기반 조사에 적합합니다.

detecting-rootkit-activity는 숨겨진 프로세스, 후킹된 시스템 호출, 변경된 커널 구조, 숨겨진 모듈, 은밀한 네트워크 흔적 같은 루트킷 징후를 찾아내는 Malware Analysis 스킬입니다. 크로스 뷰 비교와 무결성 검사를 사용해, 일반 도구의 결과가 서로 다를 때 의심 호스트를 검증하는 데 도움을 줍니다.

analyzing-usb-device-connection-history는 레지스트리 하이브, 이벤트 로그, `setupapi.dev.log`를 활용해 Windows의 USB 장치 연결 기록을 조사하는 데 도움이 됩니다. 디지털 포렌식, 내부자 위협 대응, 사고 대응에 적합하며, 타임라인 재구성, 장치 상관분석, 이동식 미디어 증거 분석을 지원합니다.

analyzing-browser-forensics-with-hindsight는 Hindsight를 사용해 Digital Forensics 팀이 Chromium 브라우저 아티팩트를 분석하도록 돕습니다. 기록, 다운로드, 쿠키, 자동 완성, 북마크, 저장된 자격 증명 메타데이터, 캐시, 확장 프로그램까지 함께 살펴볼 수 있습니다. 웹 활동을 복원하고, 타임라인을 검토하고, Chrome, Edge, Brave, Opera 프로필을 조사할 때 유용합니다.

analyzing-bootkit-and-rootkit-samples는 MBR, VBR, UEFI, rootkit 분석을 위한 악성코드 분석 스킬입니다. OS 아래 단계에서 침해가 계속되는 상황에서 부트 섹터, 펌웨어 모듈, anti-rootkit 지표를 점검할 때 유용합니다. 실무형 가이드, 명확한 워크플로, Malware Analysis를 위한 근거 기반 트리아지가 필요한 분석가에게 적합합니다.

detecting-network-anomalies-with-zeek skill은 Zeek를 활용해 수동 네트워크 모니터링을 배포하고, 구조화된 로그를 검토하며, 비콘 통신, DNS 터널링, 비정상적인 프로토콜 활동을 위한 맞춤 탐지를 구축하는 데 도움을 줍니다. 위협 헌팅, 사고 대응, SIEM 연동용 네트워크 메타데이터, Security Audit 워크플로에 적합하며, 인라인 차단용은 아닙니다.

detecting-modbus-command-injection-attacks는 보안 분석가가 ICS 및 SCADA 환경에서 의심스러운 Modbus TCP/RTU 쓰기 동작, 비정상 기능 코드, 잘못된 형식의 프레임, 기준선 대비 이상 징후를 찾아내는 데 도움을 줍니다. 사고 초기 분류, OT 모니터링, Security Audit처럼 Modbus를 이해한 탐지 가이드가 필요할 때 쓰기 좋으며, 일반적인 이상 탐지 프롬프트 대신 프로토콜 인식형 탐지 지원이 필요할 때 적합합니다.

detecting-business-email-compromise skill은 분석가, SOC 팀, 인시던트 대응자가 이메일 헤더 점검, 사회공학 징후, 탐지 로직, 대응 중심 워크플로를 활용해 BEC 시도를 식별하도록 돕습니다. 분류, 검증, 차단을 위한 실용적인 detecting-business-email-compromise 가이드로 활용하세요.

detecting-azure-lateral-movement는 Microsoft Graph 감사 로그, 로그인 텔레메트리, KQL 상관분석을 사용해 Azure AD/Entra ID와 Microsoft Sentinel에서 측면 이동을 추적하는 보안 분석가를 돕습니다. 동의 남용, 서비스 프린시플 오용, 토큰 탈취, 테넌트 간 피벗을 포함한 사고 초기 대응, 탐지 엔지니어링, 보안 감사 작업에 활용하기 좋습니다.

Wazuh, OSSEC, AIDE를 활용해 HIDS를 구축하고 파일 무결성, 시스템 변경 사항, 규정 준수 중심의 엔드포인트 보안을 모니터링하기 위한 configuring-host-based-intrusion-detection 가이드입니다. Security Audit 워크플로에 맞춰 설계되었습니다.

EDR, Sysmon, Windows 이벤트 상관분석으로 LSASS, SAM, NTDS.dit, LSA 비밀, 캐시된 자격 증명 덤핑을 탐지하는 detecting-t1003-credential-dumping-with-edr 스킬입니다. 경보 검증, 사고 범위 파악, 오탐 감소에 도움이 되는 실무형 워크플로 가이드를 제공합니다.

detecting-dcsync-attack-in-active-directory는 Active Directory에서 DCSync 악용을 찾아내기 위한 위협 헌팅 skill입니다. 4662 이벤트, 복제 GUID, 정상 DC 계정을 상관 분석해 의심 활동을 식별합니다. Splunk, KQL, 파싱 스크립트를 활용해 자격 증명 탈취 활동을 확인, 분류, 문서화하는 데 사용할 수 있습니다.

detecting-container-escape-with-falco-rules는 Falco 런타임 보안 규칙으로 컨테이너 이스케이프 시도를 탐지하는 데 도움을 줍니다. Kubernetes와 Linux 컨테이너 환경에서 syscall 신호, 권한 있는 컨테이너, 호스트 경로 남용, 검증, 인시던트 대응 워크플로에 초점을 맞춥니다.

analyzing-malware-persistence-with-autoruns는 악성코드 분석을 위한 Sysinternals Autoruns 스킬입니다. Run 키, 서비스, 예약 작업, Winlogon, 드라이버, WMI에서 Windows 지속성을 점검할 수 있도록 돕고, CSV 내보내기, 의심 항목 검토, 보고서에 바로 쓸 수 있는 결과 정리까지 포함한 반복 가능한 워크플로를 제공합니다.

hunting-advanced-persistent-threats는 엔드포인트, 네트워크, 메모리 텔레메트리 전반에서 APT 유형의 활동을 탐지하기 위한 위협 헌팅 기술입니다. 분석가가 가설 기반 헌트를 설계하고, 결과를 MITRE ATT&CK에 매핑하며, 위협 인텔을 즉흥적인 검색이 아닌 실무형 쿼리와 조사 단계로 전환하도록 돕습니다.

extracting-windows-event-logs-artifacts는 디지털 포렌식, 사고 대응, 위협 헌팅을 위해 Windows Event Logs(EVTX)를 추출, 파싱, 분석하는 데 도움을 줍니다. Chainsaw, Hayabusa, EvtxECmd를 사용해 로그온, 프로세스 생성, 서비스 설치, 예약 작업, 권한 변경, 로그 삭제를 체계적으로 검토할 수 있습니다.

Rekall로 Windows 메모리 이미지를 분석하는 extracting-memory-artifacts-with-rekall 가이드입니다. 설치와 사용 패턴을 익혀 숨겨진 프로세스, 인젝션된 코드, 의심스러운 VAD, 로드된 DLL, 네트워크 활동을 찾아 디지털 포렌식에 활용할 수 있습니다.

extracting-credentials-from-memory-dump 스킬은 Volatility 3와 pypykatz 워크플로를 사용해 Windows 메모리 덤프에서 NTLM 해시, LSA 비밀값, Kerberos 자료, 토큰을 분석하는 데 도움을 줍니다. 유효한 덤프를 바탕으로 방어 가능한 증거, 계정 영향 범위, 복구 및 완화 가이드를 확보해야 하는 디지털 포렌식과 사고 대응 상황에 적합합니다.