Incident Response

O exploitng-kerberoasting-with-impacket ajuda testadores autorizados a planejar Kerberoasting com o `GetUserSPNs.py` do Impacket, desde a enumeração de SPNs até a extração de tickets TGS, crack offline e relatórios com foco em detecção. Use este guia de exploiting-kerberoasting-with-impacket para fluxos de teste de intrusão com contexto claro de instalação e uso.

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

A skill de detectar anomalias de rede com Zeek ajuda a implantar o Zeek para monitoramento passivo de rede, revisar logs estruturados e criar detecções personalizadas para beaconing, DNS tunneling e atividades incomuns de protocolos. É indicada para threat hunting, resposta a incidentes, metadados de rede prontos para SIEM e fluxos de trabalho de Security Audit — não para prevenção inline.

detecting-modbus-command-injection-attacks ajuda analistas de segurança a identificar atividade suspeita de gravação em Modbus TCP/RTU, function codes anômalos, frames malformados e desvios de baseline em ambientes ICS e SCADA. Use-o para triagem de incidentes, monitoramento OT e auditoria de segurança quando você precisar de orientação de detecção com noção de Modbus, e não de um prompt genérico para anomalias.

A skill detecting-business-email-compromise ajuda analistas, equipes de SOC e respondedores de incidentes a identificar tentativas de BEC usando checagens de cabeçalhos de e-mail, sinais de engenharia social, lógica de detecção e fluxos de trabalho voltados à resposta. Use-a como um guia prático de detecting-business-email-compromise para triagem, validação e contenção.

detecting-azure-lateral-movement ajuda analistas de segurança a caçar movimentação lateral no Azure AD/Entra ID e no Microsoft Sentinel usando logs de auditoria do Microsoft Graph, telemetria de sign-in e correlação em KQL. Use-o para triagem de incidentes, engenharia de detecções e fluxos de auditoria de segurança que cobrem abuso de consentimento, uso indevido de service principals, roubo de tokens e pivoting entre tenants.

Guia de configuração de HIDS para implementar monitoramento de integridade de arquivos, mudanças no sistema e segurança de endpoint voltada à conformidade com Wazuh, OSSEC ou AIDE, no contexto de fluxos de trabalho de Auditoria de Segurança.

hunting-advanced-persistent-threats é uma skill de caça a ameaças para detectar atividades no estilo APT em telemetria de endpoint, rede e memória. Ela ajuda analistas a criar hunts guiados por hipóteses, mapear descobertas para o MITRE ATT&CK e transformar inteligência de ameaças em consultas práticas e passos de investigação, em vez de buscas ad hoc.

A skill extracting-windows-event-logs-artifacts ajuda você a extrair, interpretar e analisar Windows Event Logs (EVTX) para perícia digital, resposta a incidentes e threat hunting. Ela dá suporte à revisão estruturada de logons, criação de processos, instalação de serviços, tarefas agendadas, alterações de privilégios e limpeza de logs com Chainsaw, Hayabusa e EvtxECmd.

Guia de extracting-memory-artifacts-with-rekall para analisar imagens de memória do Windows com o Rekall. Aprenda padrões de instalação e uso para encontrar processos ocultos, código injetado, VADs suspeitos, DLLs carregadas e atividade de rede para Forense Digital.

A skill extracting-credentials-from-memory-dump ajuda a analisar dumps de memória do Windows em busca de hashes NTLM, segredos LSA, material Kerberos e tokens, usando fluxos de trabalho com Volatility 3 e pypykatz. Ela foi feita para Digital Forensics e resposta a incidentes quando você precisa de evidências defensáveis, avaliar o impacto em contas e orientar a remediação a partir de um dump válido.

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

executing-red-team-exercise é uma skill de cibersegurança para planejar e acompanhar exercícios realistas de red team. Ela dá suporte à emulação de adversários em atividades de reconhecimento, seleção de técnicas, execução e revisão de lacunas de detecção, sendo útil para trabalhos de Security Audit e avaliações alinhadas ao ATT&CK.

eradicating-malware-from-infected-systems é uma habilidade de resposta a incidentes de cibersegurança para remover malware, backdoors e mecanismos de persistência após o containment. Inclui orientação de fluxo de trabalho, arquivos de referência e scripts para limpeza em Windows e Linux, rotação de credenciais, correção da causa raiz e validação.

A skill detecting-wmi-persistence ajuda threat hunters e analistas de DFIR a detectar persistência por WMI Event Subscription em telemetria do Windows usando os Sysmon Event IDs 19, 20 e 21. Use-a para identificar atividade maliciosa de EventFilter, EventConsumer e FilterToConsumerBinding, validar achados e separar persistência de atacante de automação administrativa legítima.

Skill para detecção de ataques à cadeia de suprimentos em CI/CD, voltado para auditoria de GitHub Actions e configurações de CI/CD. Ajuda a identificar actions sem pinagem, injeção de scripts, dependency confusion, exposição de segredos e permissões arriscadas em fluxos de Security Audit. Use para revisar um repositório, arquivo de workflow ou uma alteração suspeita no pipeline, com achados claros e correções sugeridas.

A skill detecting-stuxnet-style-attacks ajuda defensores a detectar padrões de intrusão em OT e ICS semelhantes ao Stuxnet, incluindo adulteração da lógica de PLC, falsificação de dados de sensores, comprometimento de estações de engenharia e movimentação lateral de TI para OT. Use-a para threat hunting, triagem de incidentes e monitoramento da integridade de processos com evidências de protocolo, host e processo.

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.