Threat Hunting

detecting-beaconing-patterns-with-zeek은 Zeek `conn.log`의 간격을 분석해 C2형 비컨ing을 탐지하는 데 도움을 줍니다. ZAT를 사용해 흐름을 출발지, 목적지, 포트별로 그룹화하고, 통계적 검증을 통해 지터가 낮은 패턴에 점수를 매깁니다. SOC, 위협 헌팅, 사고 대응, 그리고 Security Audit 워크플로에서 detecting-beaconing-patterns-with-zeek를 활용하려는 경우에 적합합니다.

detecting-azure-lateral-movement는 Microsoft Graph 감사 로그, 로그인 텔레메트리, KQL 상관분석을 사용해 Azure AD/Entra ID와 Microsoft Sentinel에서 측면 이동을 추적하는 보안 분석가를 돕습니다. 동의 남용, 서비스 프린시플 오용, 토큰 탈취, 테넌트 간 피벗을 포함한 사고 초기 대응, 탐지 엔지니어링, 보안 감사 작업에 활용하기 좋습니다.

analyzing-security-logs-with-splunk는 Windows, 방화벽, 프록시, 인증 로그를 타임라인과 증거로 연결해 Splunk에서 보안 이벤트를 조사하는 데 도움을 줍니다. 이 analyzing-security-logs-with-splunk 스킬은 Security Audit, 인시던트 대응, 위협 헌팅에 적합한 실무형 가이드입니다.

analyzing-golang-malware-with-ghidra는 분석가가 Ghidra에서 Go로 컴파일된 악성코드를 리버스 엔지니어링할 수 있도록, 함수 복구, 문자열 추출, 빌드 메타데이터 확인, 의존성 매핑 중심의 워크플로를 제공합니다. 이 분석 스킬은 악성코드 1차 분류, 인시던트 대응, 그리고 실무적인 Go 전용 분석 단계가 필요한 Security Audit 작업에 특히 유용합니다.

detecting-living-off-the-land-with-lolbas는 Sysmon과 Windows Event Logs를 활용해 LOLBAS 남용을 탐지하도록 돕는 skill입니다. 프로세스 텔레메트리, 부모-자식 관계 맥락, Sigma 규칙, 그리고 트리아지·헌팅·룰 작성에 바로 쓸 수 있는 실전 가이드를 제공합니다. certutil, regsvr32, mshta, rundll32를 중심으로 Threat Modeling과 분석가 워크플로우에서 detecting-living-off-the-land-with-lolbas 활용을 지원합니다.

detecting-kerberoasting-attacks skill은 의심스러운 Kerberos TGS 요청, 약한 티켓 암호화, 서비스 계정 패턴을 찾아 Kerberoasting을 헌팅하는 데 도움을 줍니다. SIEM, EDR, EVTX, Threat Modeling 워크플로에서 실용적인 탐지 템플릿과 튜닝 가이드를 활용할 때 적합합니다.

detecting-insider-threat-behaviors는 비정상적인 데이터 접근, 근무 시간 외 활동, 대량 다운로드, 권한 남용, 퇴사 연계 유출 같은 내부자 위험 신호를 찾는 분석가를 돕습니다. 이 detecting-insider-threat-behaviors 가이드는 워크플로 템플릿, SIEM 쿼리 예시, 위험 가중치를 통해 위협 헌팅, UEBA 스타일 트리아지, 위협 모델링에 활용할 수 있습니다.

detecting-fileless-malware-techniques 스킬은 PowerShell, WMI, .NET 리플렉션, 레지스트리 상주 페이로드, LOLBin을 통해 메모리에서 실행되는 파일리스 멀웨어를 분석하는 Malware Analysis 워크플로를 지원합니다. 의심 경보를 근거 있는 트리아지, 탐지 아이디어, 다음 단계 헌팅으로 전환할 때 활용하세요.

detecting-email-forwarding-rules-attack skill은 Security Audit, 위협 헌팅, 사고 대응 팀이 지속성 확보와 이메일 수집에 악용되는 악성 사서함 전달 규칙을 찾아내는 데 도움을 줍니다. Microsoft 365와 Exchange의 증거를 바탕으로 분석을 안내하고, 의심스러운 규칙 패턴과 전달, 리디렉션, 삭제, 숨김 동작에 대한 실용적인 트리아주까지 다룹니다.

detecting-dll-sideloading-attacks는 Security Audit, 위협 헌팅, 인시던트 대응 팀이 Sysmon, EDR, MDE, Splunk로 DLL 사이드로딩을 탐지하도록 돕습니다. 이 detecting-dll-sideloading-attacks 가이드에는 워크플로 노트, 헌팅 템플릿, 표준 매핑, 그리고 의심스러운 DLL 로드를 반복 가능한 탐지로 바꾸는 스크립트가 포함되어 있습니다.

detecting-attacks-on-historian-servers는 IT/OT 경계에서 OSIsoft PI, Ignition, Wonderware 같은 OT 히스토리안 서버의 의심스러운 활동을 탐지하는 데 도움을 줍니다. 인시던트 대응, 비인가 쿼리, 데이터 조작, API 오남용, 측면 이동 트리아지에 이 detecting-attacks-on-historian-servers 가이드를 활용하세요.

detecting-anomalous-authentication-patterns는 불가능한 이동(impossible travel), 무차별 대입(brute force), 패스워드 스프레이(password spraying), 크리덴셜 스터핑(credential stuffing), 계정 탈취 의심 활동을 포함한 인증 로그 분석을 지원합니다. 보안 감사, SOC, IAM, 사고 대응 워크플로에 맞춰 설계되었으며, 기준선 인식 탐지와 증거 기반 로그인 분석을 제공합니다.

엔드포인트 가시성, 전체 자산 모니터링, SQL 기반 위협 헌팅을 위해 osquery를 배포하고 구성하는 deploying-osquery-for-endpoint-monitoring 가이드입니다. 설치 계획을 세우고, 워크플로와 API 참고 자료를 검토하며, Windows, macOS, Linux 엔드포인트 전반에서 예약 쿼리, 로그 수집, 중앙 집중식 검토를 운영하는 데 활용하세요.

correlating-security-events-in-qradar는 SOC 및 탐지 팀이 IBM QRadar의 오펀스와 AQL, 오펀스 컨텍스트, 사용자 정의 규칙, 참조 데이터를 연계해 분석하도록 돕습니다. 이 가이드를 사용하면 인시던트를 조사하고, 오탐을 줄이며, Incident Response를 위한 더 강력한 상관분석 로직을 구축할 수 있습니다.

containing-active-breach는 진행 중인 침해를 신속히 차단하기 위한 사고 대응 스킬입니다. 체계적인 containing-active-breach 가이드를 통해 호스트 격리, 의심스러운 트래픽 차단, 침해된 계정 비활성화, 횡적 이동 억제를 지원하며, 실무에 바로 쓰는 API와 스크립트 참고 정보도 제공합니다.

building-threat-hunt-hypothesis-framework는 위협 인텔리전스, ATT&CK 매핑, 텔레메트리를 바탕으로 검증 가능한 위협 헌트 가설을 세우는 데 도움을 줍니다. 이 building-threat-hunt-hypothesis-framework 스킬을 사용해 헌트 계획을 세우고, 데이터 소스를 매핑하고, 쿼리를 실행하고, 결과를 문서화하여 Threat Modeling을 위한 threat hunting과 building-threat-hunt-hypothesis-framework 작업에 활용하세요.

analyzing-threat-actor-ttps-with-mitre-attack skill은 위협 보고서를 MITRE ATT&CK의 전술, 기법, 하위 기법에 연결하고, 커버리지 뷰를 만들며, 탐지 공백의 우선순위를 정하는 데 도움을 줍니다. 보고서 템플릿, ATT&CK 참조 자료, 기법 조회 및 공백 분석용 스크립트를 포함해 CTI, SOC, 탐지 엔지니어링, 위협 모델링에 유용합니다.

analyzing-powershell-empire-artifacts 스킬은 Security Audit 팀이 Script Block Logging, Base64 launcher 패턴, stager IOC, module signature, 탐지 참고 자료를 활용해 Windows 로그에서 PowerShell Empire 아티팩트를 식별하고 triage 및 룰 작성에 활용할 수 있도록 돕습니다.

EVTX 파일에서 Windows PowerShell Script Block Logging 이벤트 ID 4104를 파싱하고, 분할된 스크립트 블록을 복원하며, 난독화된 명령, 인코딩된 페이로드, Invoke-Expression 남용, 다운로드 크래들, AMSI 우회 시도를 식별해 Security Audit 작업에 활용하는 analyzing-powershell-script-block-logging 스킬입니다.

analyzing-persistence-mechanisms-in-linux skill은 침해 이후 Linux 지속성을 조사하는 데 도움을 줍니다. 여기에는 crontab 작업, systemd 유닛, LD_PRELOAD 악용, 셸 프로필 변경, SSH authorized_keys 백도어가 포함됩니다. auditd와 파일 무결성 점검을 활용하는 사고 대응, 위협 헌팅, 보안 감사 워크플로우에 맞게 설계되었습니다.