작성자 mukul975
detecting-lateral-movement-with-zeek는 위협 헌팅과 사고 대응을 위한 Zeek 기반 사이버보안 스킬입니다. conn.log, smb_mapping.log, smb_files.log, dce_rpc.log, ntlm.log, kerberos.log 같은 Zeek 로그를 활용해 SMB 관리자 공유 접근, DCE/RPC 서비스 생성, NTLM 스프레이, Kerberos 이상 징후, 의심스러운 내부 전송을 탐지하는 데 도움을 줍니다.
작성자 mukul975
detecting-rdp-brute-force-attacks는 Windows Security Event Logs에서 RDP 무차별 대입 패턴을 분석하는 데 도움이 됩니다. 반복되는 4625 실패, 실패 후 4624 성공, NLA 관련 로그인, 소스 IP 집중 현상 등을 확인할 수 있습니다. 보안 감사, 위협 헌팅, 반복 가능한 EVTX 기반 조사에 적합합니다.
작성자 mukul975
EDR, Sysmon, Windows 이벤트 상관분석으로 LSASS, SAM, NTDS.dit, LSA 비밀, 캐시된 자격 증명 덤핑을 탐지하는 detecting-t1003-credential-dumping-with-edr 스킬입니다. 경보 검증, 사고 범위 파악, 오탐 감소에 도움이 되는 실무형 워크플로 가이드를 제공합니다.
작성자 mukul975
detecting-container-escape-with-falco-rules는 Falco 런타임 보안 규칙으로 컨테이너 이스케이프 시도를 탐지하는 데 도움을 줍니다. Kubernetes와 Linux 컨테이너 환경에서 syscall 신호, 권한 있는 컨테이너, 호스트 경로 남용, 검증, 인시던트 대응 워크플로에 초점을 맞춥니다.
