Threat Detection

detecting-s3-data-exfiltration-attempts는 CloudTrail의 S3 데이터 이벤트, GuardDuty 탐지 결과, Amazon Macie 경보, S3 접근 패턴을 상호 연관해 AWS S3 데이터 탈취 가능성을 조사하는 데 도움을 줍니다. 보안 감사, 사고 대응, 의심스러운 대량 다운로드 분석에 이 detecting-s3-data-exfiltration-attempts 스킬을 사용하세요.

detecting-rdp-brute-force-attacks는 Windows Security Event Logs에서 RDP 무차별 대입 패턴을 분석하는 데 도움이 됩니다. 반복되는 4625 실패, 실패 후 4624 성공, NLA 관련 로그인, 소스 IP 집중 현상 등을 확인할 수 있습니다. 보안 감사, 위협 헌팅, 반복 가능한 EVTX 기반 조사에 적합합니다.

detecting-modbus-command-injection-attacks는 보안 분석가가 ICS 및 SCADA 환경에서 의심스러운 Modbus TCP/RTU 쓰기 동작, 비정상 기능 코드, 잘못된 형식의 프레임, 기준선 대비 이상 징후를 찾아내는 데 도움을 줍니다. 사고 초기 분류, OT 모니터링, Security Audit처럼 Modbus를 이해한 탐지 가이드가 필요할 때 쓰기 좋으며, 일반적인 이상 탐지 프롬프트 대신 프로토콜 인식형 탐지 지원이 필요할 때 적합합니다.

detecting-living-off-the-land-with-lolbas는 Sysmon과 Windows Event Logs를 활용해 LOLBAS 남용을 탐지하도록 돕는 skill입니다. 프로세스 텔레메트리, 부모-자식 관계 맥락, Sigma 규칙, 그리고 트리아지·헌팅·룰 작성에 바로 쓸 수 있는 실전 가이드를 제공합니다. certutil, regsvr32, mshta, rundll32를 중심으로 Threat Modeling과 분석가 워크플로우에서 detecting-living-off-the-land-with-lolbas 활용을 지원합니다.

Security Audit, 위협 헌팅, 사고 대응을 위한 detecting-living-off-the-land-attacks 스킬입니다. `certutil`, `mshta`, `rundll32`, `regsvr32` 같은 합법적 Windows 바이너리의 악용을 프로세스 생성, 명령줄, 부모-자식 관계 텔레메트리로 탐지합니다. 이 가이드는 Windows 전반의 하드닝이 아니라, 바로 적용 가능한 LOLBin 탐지 패턴에 초점을 맞춥니다.

detecting-lateral-movement-in-network는 Windows 이벤트 로그, Zeek 텔레메트리, SMB, RDP, SIEM 상관분석을 활용해 침해 이후 기업 네트워크에서의 측면 이동을 탐지하는 데 도움이 됩니다. 위협 헌팅, 사고 대응, Security Audit 검토를 위한 detecting-lateral-movement-in-network에 유용하며, 실무적인 탐지 워크플로를 제공합니다.

detecting-insider-threat-with-ueba는 Elasticsearch 또는 OpenSearch에서 내부자 위협 사례를 위한 UEBA 탐지를 구축하도록 돕습니다. 행동 기준선, 이상 점수화, 피어 그룹 분석, 데이터 유출·권한 남용·무단 액세스에 대한 상관 분석 경보를 포함하며, Incident Response 워크플로에 적합합니다.