Windows Security

detecting-service-account-abuse는 Windows, AD, SIEM, EDR 텔레메트리 전반에서 서비스 계정 오남용을 찾기 위한 위협 헌팅 skill입니다. 의심스러운 대화형 로그온, 권한 상승, 측면 이동, 접근 이상 징후에 초점을 맞추며, 반복 가능한 조사를 돕는 헌트 템플릿, 이벤트 ID, 워크플로 참조를 제공합니다.

detecting-rdp-brute-force-attacks는 Windows Security Event Logs에서 RDP 무차별 대입 패턴을 분석하는 데 도움이 됩니다. 반복되는 4625 실패, 실패 후 4624 성공, NLA 관련 로그인, 소스 IP 집중 현상 등을 확인할 수 있습니다. 보안 감사, 위협 헌팅, 반복 가능한 EVTX 기반 조사에 적합합니다.

detecting-rootkit-activity는 숨겨진 프로세스, 후킹된 시스템 호출, 변경된 커널 구조, 숨겨진 모듈, 은밀한 네트워크 흔적 같은 루트킷 징후를 찾아내는 Malware Analysis 스킬입니다. 크로스 뷰 비교와 무결성 검사를 사용해, 일반 도구의 결과가 서로 다를 때 의심 호스트를 검증하는 데 도움을 줍니다.

eradicating-malware-from-infected-systems는 격리 이후 감염 시스템에서 악성코드, 백도어, 지속성 메커니즘을 제거하는 사이버 보안 사고 대응 스킬입니다. Windows와 Linux 정리용 워크플로 안내, 참고 파일, 스크립트는 물론 자격 증명 교체, 근본 원인 수정, 검증 절차까지 포함합니다.

detecting-privilege-escalation-attempts는 Windows와 Linux에서 권한 상승을 추적하는 데 도움이 되며, 토큰 조작, UAC 우회, 따옴표가 없는 서비스 경로, 커널 익스플로잇, sudo/doas 오용까지 포함합니다. 실무적인 워크플로, 참고용 쿼리, 보조 스크립트가 필요한 위협 헌팅 팀을 위해 설계되었습니다.

detecting-pass-the-ticket-attacks는 Windows 보안 이벤트 ID 4768, 4769, 4771을 상호 연관해 Kerberos Pass-the-Ticket 활동을 탐지하도록 돕습니다. Splunk 또는 Elastic에서 위협 헌팅에 사용해 티켓 재사용, RC4 다운그레이드, 비정상적인 TGS 증가를 실용적인 쿼리와 필드 안내로 찾아낼 수 있습니다.

Windows Security 로그, Splunk, KQL을 활용해 NTLM 기반 측면 이동, 의심스러운 Type 3 로그온, T1550.002 활동을 추적하는 detecting-pass-the-hash-attacks skill입니다.

detecting-evasion-techniques-in-endpoint-logs skill은 Windows endpoint 로그에서 방어 회피 행위를 추적하는 데 도움이 됩니다. 여기에는 로그 삭제, timestomping, process injection, 보안 도구 비활성화가 포함됩니다. Sysmon, Windows Security, 또는 EDR telemetry를 활용한 threat hunting, detection engineering, incident triage에 적합합니다.

detecting-living-off-the-land-with-lolbas는 Sysmon과 Windows Event Logs를 활용해 LOLBAS 남용을 탐지하도록 돕는 skill입니다. 프로세스 텔레메트리, 부모-자식 관계 맥락, Sigma 규칙, 그리고 트리아지·헌팅·룰 작성에 바로 쓸 수 있는 실전 가이드를 제공합니다. certutil, regsvr32, mshta, rundll32를 중심으로 Threat Modeling과 분석가 워크플로우에서 detecting-living-off-the-land-with-lolbas 활용을 지원합니다.

detecting-golden-ticket-forgery는 Windows 이벤트 ID 4769, RC4 다운그레이드 사용(0x17), 비정상적인 티켓 수명, 그리고 Splunk와 Elastic에서의 krbtgt 이상 징후를 분석해 Kerberos Golden Ticket 위조를 탐지합니다. Security Audit, 사고 조사, 위협 헌팅을 위해 실용적인 탐지 가이드를 제공합니다.

detecting-dll-sideloading-attacks는 Security Audit, 위협 헌팅, 인시던트 대응 팀이 Sysmon, EDR, MDE, Splunk로 DLL 사이드로딩을 탐지하도록 돕습니다. 이 detecting-dll-sideloading-attacks 가이드에는 워크플로 노트, 헌팅 템플릿, 표준 매핑, 그리고 의심스러운 DLL 로드를 반복 가능한 탐지로 바꾸는 스크립트가 포함되어 있습니다.

detecting-credential-dumping-techniques 스킬은 Sysmon Event ID 10, Windows Security 로그, 그리고 SIEM 상관관계 규칙을 사용해 LSASS 접근, SAM 내보내기, NTDS.dit 탈취, comsvcs.dll MiniDump 악용을 탐지하는 데 도움을 줍니다. 위협 헌팅, 탐지 엔지니어링, Security Audit 워크플로우에 맞춰 설계되었습니다.

deploying-active-directory-honeytokens는 보안 감사 업무를 위해 Active Directory 허니토큰을 계획하고 생성하는 데 도움을 줍니다. 여기에는 가짜 특권 계정, Kerberoasting 탐지를 위한 가짜 SPN, 미끼 GPO 트랩, 기만적인 BloodHound 경로가 포함됩니다. 설치 중심의 안내와 스크립트, 텔레메트리 단서를 함께 제공해 실제 배포와 검토에 바로 활용할 수 있습니다.

Microsoft Defender for Endpoint 강화용 configuring-windows-defender-advanced-settings skill입니다. ASR 규칙, 제어된 폴더 액세스, 네트워크 보호, 취약점 차단 보호, 배포 계획, 보안 엔지니어·IT 관리자·Security Audit 워크플로우를 위한 감사 우선 롤아웃 가이드를 다룹니다.