작성자 mukul975
detecting-service-account-abuse는 Windows, AD, SIEM, EDR 텔레메트리 전반에서 서비스 계정 오남용을 찾기 위한 위협 헌팅 skill입니다. 의심스러운 대화형 로그온, 권한 상승, 측면 이동, 접근 이상 징후에 초점을 맞추며, 반복 가능한 조사를 돕는 헌트 템플릿, 이벤트 ID, 워크플로 참조를 제공합니다.
작성자 mukul975
detecting-privilege-escalation-attempts는 Windows와 Linux에서 권한 상승을 추적하는 데 도움이 되며, 토큰 조작, UAC 우회, 따옴표가 없는 서비스 경로, 커널 익스플로잇, sudo/doas 오용까지 포함합니다. 실무적인 워크플로, 참고용 쿼리, 보조 스크립트가 필요한 위협 헌팅 팀을 위해 설계되었습니다.
작성자 mukul975
Windows Security 로그, Splunk, KQL을 활용해 NTLM 기반 측면 이동, 의심스러운 Type 3 로그온, T1550.002 활동을 추적하는 detecting-pass-the-hash-attacks skill입니다.
작성자 mukul975
detecting-insider-threat-behaviors는 비정상적인 데이터 접근, 근무 시간 외 활동, 대량 다운로드, 권한 남용, 퇴사 연계 유출 같은 내부자 위험 신호를 찾는 분석가를 돕습니다. 이 detecting-insider-threat-behaviors 가이드는 워크플로 템플릿, SIEM 쿼리 예시, 위험 가중치를 통해 위협 헌팅, UEBA 스타일 트리아지, 위협 모델링에 활용할 수 있습니다.
작성자 mukul975
detecting-fileless-attacks-on-endpoints는 Windows 엔드포인트에서 메모리 상에서만 동작하는 공격을 탐지하도록 도와줍니다. PowerShell 악용, WMI 지속성, reflective loading, 프로세스 인젝션 등을 포함합니다. Security Audit, 위협 헌팅, 탐지 엔지니어링에 활용할 수 있으며, Sysmon, AMSI, PowerShell 로깅과 함께 쓰기 좋습니다.
작성자 mukul975
containing-active-breach는 진행 중인 침해를 신속히 차단하기 위한 사고 대응 스킬입니다. 체계적인 containing-active-breach 가이드를 통해 호스트 격리, 의심스러운 트래픽 차단, 침해된 계정 비활성화, 횡적 이동 억제를 지원하며, 실무에 바로 쓰는 API와 스크립트 참고 정보도 제공합니다.
