Edr

hunting-advanced-persistent-threats는 엔드포인트, 네트워크, 메모리 텔레메트리 전반에서 APT 유형의 활동을 탐지하기 위한 위협 헌팅 기술입니다. 분석가가 가설 기반 헌트를 설계하고, 결과를 MITRE ATT&CK에 매핑하며, 위협 인텔을 즉흥적인 검색이 아닌 실무형 쿼리와 조사 단계로 전환하도록 돕습니다.

detecting-process-hollowing-technique는 Windows 텔레메트리에서 일시 중단된 실행, 메모리 변조, 부모-자식 프로세스 이상 징후, API 증거를 상관 분석해 프로세스 할로잉(T1055.012)을 추적하는 데 도움을 줍니다. 위협 헌터, 탐지 엔지니어, 대응 담당자가 Threat Hunting 워크플로에서 실무적으로 활용할 수 있는 detecting-process-hollowing-technique를 찾을 때 적합합니다.

detecting-evasion-techniques-in-endpoint-logs skill은 Windows endpoint 로그에서 방어 회피 행위를 추적하는 데 도움이 됩니다. 여기에는 로그 삭제, timestomping, process injection, 보안 도구 비활성화가 포함됩니다. Sysmon, Windows Security, 또는 EDR telemetry를 활용한 threat hunting, detection engineering, incident triage에 적합합니다.

detecting-mimikatz-execution-patterns는 명령줄 패턴, LSASS 접근 신호, 바이너리 지표, 메모리 아티팩트를 활용해 Mimikatz 실행을 탐지하도록 돕습니다. Security Audit, 헌팅, 인시던트 대응에 이 detecting-mimikatz-execution-patterns 스킬을 설치해 템플릿, 참고 자료, 워크플로 가이드를 활용하세요.

Security Audit, 위협 헌팅, 사고 대응을 위한 detecting-living-off-the-land-attacks 스킬입니다. `certutil`, `mshta`, `rundll32`, `regsvr32` 같은 합법적 Windows 바이너리의 악용을 프로세스 생성, 명령줄, 부모-자식 관계 텔레메트리로 탐지합니다. 이 가이드는 Windows 전반의 하드닝이 아니라, 바로 적용 가능한 LOLBin 탐지 패턴에 초점을 맞춥니다.

detecting-insider-threat-behaviors는 비정상적인 데이터 접근, 근무 시간 외 활동, 대량 다운로드, 권한 남용, 퇴사 연계 유출 같은 내부자 위험 신호를 찾는 분석가를 돕습니다. 이 detecting-insider-threat-behaviors 가이드는 워크플로 템플릿, SIEM 쿼리 예시, 위험 가중치를 통해 위협 헌팅, UEBA 스타일 트리아지, 위협 모델링에 활용할 수 있습니다.

detecting-dll-sideloading-attacks는 Security Audit, 위협 헌팅, 인시던트 대응 팀이 Sysmon, EDR, MDE, Splunk로 DLL 사이드로딩을 탐지하도록 돕습니다. 이 detecting-dll-sideloading-attacks 가이드에는 워크플로 노트, 헌팅 템플릿, 표준 매핑, 그리고 의심스러운 DLL 로드를 반복 가능한 탐지로 바꾸는 스크립트가 포함되어 있습니다.

deploying-edr-agent-with-crowdstrike는 Windows, macOS, Linux 엔드포인트 전반에 CrowdStrike Falcon sensor를 배포할 때 계획, 설치, 검증을 돕습니다. 설치 안내, 정책 설정, telemetry-to-SIEM 연동, Incident Response 준비가 필요할 때 이 deploying-edr-agent-with-crowdstrike skill을 활용하세요.

conducting-malware-incident-response는 IR 팀이 의심스러운 악성코드를 분류하고, 감염 여부를 확인하며, 확산 범위를 파악하고, 엔드포인트를 차단한 뒤, 제거와 복구를 지원하도록 돕습니다. 증거 기반 단계, 텔레메트리 중심 의사결정, 실무적인 격리 지침을 바탕으로 사고 대응 워크플로에서 conducting-malware-incident-response를 수행할 수 있도록 설계되었습니다.

building-threat-hunt-hypothesis-framework는 위협 인텔리전스, ATT&CK 매핑, 텔레메트리를 바탕으로 검증 가능한 위협 헌트 가설을 세우는 데 도움을 줍니다. 이 building-threat-hunt-hypothesis-framework 스킬을 사용해 헌트 계획을 세우고, 데이터 소스를 매핑하고, 쿼리를 실행하고, 결과를 문서화하여 Threat Modeling을 위한 threat hunting과 building-threat-hunt-hypothesis-framework 작업에 활용하세요.