Sigma Rules

extracting-windows-event-logs-artifacts는 디지털 포렌식, 사고 대응, 위협 헌팅을 위해 Windows Event Logs(EVTX)를 추출, 파싱, 분석하는 데 도움을 줍니다. Chainsaw, Hayabusa, EvtxECmd를 사용해 로그온, 프로세스 생성, 서비스 설치, 예약 작업, 권한 변경, 로그 삭제를 체계적으로 검토할 수 있습니다.

detecting-evasion-techniques-in-endpoint-logs skill은 Windows endpoint 로그에서 방어 회피 행위를 추적하는 데 도움이 됩니다. 여기에는 로그 삭제, timestomping, process injection, 보안 도구 비활성화가 포함됩니다. Sysmon, Windows Security, 또는 EDR telemetry를 활용한 threat hunting, detection engineering, incident triage에 적합합니다.

detecting-living-off-the-land-with-lolbas는 Sysmon과 Windows Event Logs를 활용해 LOLBAS 남용을 탐지하도록 돕는 skill입니다. 프로세스 텔레메트리, 부모-자식 관계 맥락, Sigma 규칙, 그리고 트리아지·헌팅·룰 작성에 바로 쓸 수 있는 실전 가이드를 제공합니다. certutil, regsvr32, mshta, rundll32를 중심으로 Threat Modeling과 분석가 워크플로우에서 detecting-living-off-the-land-with-lolbas 활용을 지원합니다.