Sentinel

detecting-service-account-abuse는 Windows, AD, SIEM, EDR 텔레메트리 전반에서 서비스 계정 오남용을 찾기 위한 위협 헌팅 skill입니다. 의심스러운 대화형 로그온, 권한 상승, 측면 이동, 접근 이상 징후에 초점을 맞추며, 반복 가능한 조사를 돕는 헌트 템플릿, 이벤트 ID, 워크플로 참조를 제공합니다.

detecting-azure-service-principal-abuse는 Azure에서 Microsoft Entra ID 서비스 주체 활동 중 의심스러운 징후를 탐지, 조사, 문서화하는 데 도움을 줍니다. Security Audit, 클라우드 사고 대응, 위협 헌팅에 활용해 자격 증명 변경, 관리자 동의 악용, 역할 할당, 소유권 경로, 로그인 이상 징후를 점검하세요.

detecting-azure-lateral-movement는 Microsoft Graph 감사 로그, 로그인 텔레메트리, KQL 상관분석을 사용해 Azure AD/Entra ID와 Microsoft Sentinel에서 측면 이동을 추적하는 보안 분석가를 돕습니다. 동의 남용, 서비스 프린시플 오용, 토큰 탈취, 테넌트 간 피벗을 포함한 사고 초기 대응, 탐지 엔지니어링, 보안 감사 작업에 활용하기 좋습니다.

detecting-fileless-attacks-on-endpoints는 Windows 엔드포인트에서 메모리 상에서만 동작하는 공격을 탐지하도록 도와줍니다. PowerShell 악용, WMI 지속성, reflective loading, 프로세스 인젝션 등을 포함합니다. Security Audit, 위협 헌팅, 탐지 엔지니어링에 활용할 수 있으며, Sysmon, AMSI, PowerShell 로깅과 함께 쓰기 좋습니다.

deploying-edr-agent-with-crowdstrike는 Windows, macOS, Linux 엔드포인트 전반에 CrowdStrike Falcon sensor를 배포할 때 계획, 설치, 검증을 돕습니다. 설치 안내, 정책 설정, telemetry-to-SIEM 연동, Incident Response 준비가 필요할 때 이 deploying-edr-agent-with-crowdstrike skill을 활용하세요.

building-threat-hunt-hypothesis-framework는 위협 인텔리전스, ATT&CK 매핑, 텔레메트리를 바탕으로 검증 가능한 위협 헌트 가설을 세우는 데 도움을 줍니다. 이 building-threat-hunt-hypothesis-framework 스킬을 사용해 헌트 계획을 세우고, 데이터 소스를 매핑하고, 쿼리를 실행하고, 결과를 문서화하여 Threat Modeling을 위한 threat hunting과 building-threat-hunt-hypothesis-framework 작업에 활용하세요.

building-detection-rules-with-sigma는 위협 인텔이나 벤더 규칙을 바탕으로 이식 가능한 Sigma 탐지 규칙을 만들고, 이를 MITRE ATT&CK에 매핑한 뒤 Splunk, Elastic, Microsoft Sentinel 같은 SIEM용으로 변환하는 데 도움을 줍니다. 보안 감사 워크플로, 표준화, detection-as-code에 이 building-detection-rules-with-sigma 가이드를 활용하세요.

building-cloud-siem-with-sentinel은 Microsoft Sentinel을 클라우드 SIEM 및 SOAR 계층으로 배포하는 실용 가이드입니다. 멀티클라우드 로그 수집, KQL 탐지, 인시던트 조사, Security Audit 및 SOC 운영을 위한 Logic Apps 대응 플레이북까지 다룹니다. 중앙집중형 클라우드 보안 모니터링을 위한 저장소 기반 출발점이 필요할 때 이 building-cloud-siem-with-sentinel 스킬을 사용하세요.