Threat Hunting

detecting-lateral-movement-with-zeek é uma skill de cibersegurança baseada em Zeek para threat hunting e resposta a incidentes. Ela ajuda a detectar acesso a admin shares via SMB, criação de serviços por DCE/RPC, spray de NTLM, anomalias de Kerberos e transferências internas suspeitas usando logs do Zeek como `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` e `kerberos.log`.

analyzing-cobaltstrike-malleable-c2-profiles ajuda a analisar perfis Malleable C2 do Cobalt Strike, convertendo-os em indicadores de C2, traços de evasão e ideias de detecção para fluxos de análise de malware, threat hunting e auditoria de segurança. Usa `dissect.cobaltstrike` e `pyMalleableC2` para análise de perfis e da configuração do beacon.

O exploitng-kerberoasting-with-impacket ajuda testadores autorizados a planejar Kerberoasting com o `GetUserSPNs.py` do Impacket, desde a enumeração de SPNs até a extração de tickets TGS, crack offline e relatórios com foco em detecção. Use este guia de exploiting-kerberoasting-with-impacket para fluxos de teste de intrusão com contexto claro de instalação e uso.

A skill detecting-shadow-it-cloud-usage ajuda a identificar uso não autorizado de SaaS e serviços de cloud a partir de logs de proxy, consultas DNS e netflow. Ela classifica domínios, compara com listas aprovadas e dá suporte a fluxos de auditoria de segurança com evidências estruturadas, conforme o guia da skill detecting-shadow-it-cloud-usage.

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

A skill de detectar anomalias de rede com Zeek ajuda a implantar o Zeek para monitoramento passivo de rede, revisar logs estruturados e criar detecções personalizadas para beaconing, DNS tunneling e atividades incomuns de protocolos. É indicada para threat hunting, resposta a incidentes, metadados de rede prontos para SIEM e fluxos de trabalho de Security Audit — não para prevenção inline.

detecting-modbus-protocol-anomalies ajuda a detectar comportamentos suspeitos em Modbus/TCP e Modbus RTU em redes OT e ICS, incluindo códigos de função inválidos, acesso a registradores fora do intervalo, timing de polling anormal, gravações não autorizadas e frames malformados. É útil para auditoria de segurança e triagem baseada em evidências.

detecting-typosquatting-packages-in-npm-pypi ajuda a identificar pacotes suspeitos no npm e no PyPI com base na semelhança do nome, na recência da publicação e em anomalias de download. Use em fluxos de auditoria de segurança, revisão de dependências e triagem inicial de risco na cadeia de suprimentos, com um processo reproduzível de verificação nos registros.

Skill detecting-t1003-credential-dumping-with-edr para threat hunting com EDR, Sysmon e correlação de eventos do Windows para detectar despejo de credenciais em LSASS, SAM, NTDS.dit, segredos do LSA e credenciais em cache. Use para validar alertas, delimitar incidentes e reduzir falsos positivos com orientação prática de fluxo de trabalho.

detecting-dcsync-attack-in-active-directory é uma skill de threat hunting para identificar abuso de DCSync no Active Directory, correlacionando eventos 4662, GUIDs de replicação e contas legítimas de DC. Use-a para confirmar, priorizar e documentar atividades de roubo de credenciais com Splunk, KQL e scripts de parsing.

detecting-container-escape-with-falco-rules ajuda a detectar tentativas de escape de contêiner com regras de segurança em runtime do Falco. O foco está em sinais de syscalls, contêineres privilegiados, abuso de host path, validação e fluxos de resposta a incidentes em ambientes Linux e Kubernetes com contêineres.

Skill detecting-bluetooth-low-energy-attacks para testes autorizados de segurança em BLE. Ajuda a avaliar exposição a sniffing, risco de replay, abuso de enumeração GATT, spoofing de advertising e indícios de Man-in-the-Middle usando ferramentas reais de BLE e orientação de fluxo de trabalho.

skill de configuração do Snort IDS para instalar, configurar, validar e ajustar o Snort 3 em segmentos de rede autorizados. Inclui uso prático, carregamento de regras, verificações pela CLI, redução de falsos positivos e fluxos de trabalho de Auditoria de Segurança.

analyzing-malware-sandbox-evasion-techniques ajuda analistas de malware a revisar comportamentos do Cuckoo e do AnyRun em busca de checagens de tempo, consultas a artefatos de VM, barreiras de interação do usuário e inflamento de sleep. Ele foi criado para uma análise focada de analyzing-malware-sandbox-evasion-techniques em fluxos de trabalho de Malware Analysis, ajudando a triagem a identificar se uma amostra está se escondendo de um sandbox.

analyzing-malware-persistence-with-autoruns é uma skill de Sysinternals Autoruns para análise de malware. Ela ajuda você a inspecionar a persistência no Windows em chaves Run, serviços, tarefas agendadas, Winlogon, drivers e WMI, usando um fluxo de trabalho repetível com exportação em CSV, revisão de entradas suspeitas e achados prontos para relatório.

hunting-advanced-persistent-threats é uma skill de caça a ameaças para detectar atividades no estilo APT em telemetria de endpoint, rede e memória. Ela ajuda analistas a criar hunts guiados por hipóteses, mapear descobertas para o MITRE ATT&CK e transformar inteligência de ameaças em consultas práticas e passos de investigação, em vez de buscas ad hoc.

A skill extracting-windows-event-logs-artifacts ajuda você a extrair, interpretar e analisar Windows Event Logs (EVTX) para perícia digital, resposta a incidentes e threat hunting. Ela dá suporte à revisão estruturada de logons, criação de processos, instalação de serviços, tarefas agendadas, alterações de privilégios e limpeza de logs com Chainsaw, Hayabusa e EvtxECmd.

Guia de extracting-memory-artifacts-with-rekall para analisar imagens de memória do Windows com o Rekall. Aprenda padrões de instalação e uso para encontrar processos ocultos, código injetado, VADs suspeitos, DLLs carregadas e atividade de rede para Forense Digital.

Guia da skill extracting-iocs-from-malware-samples para análise de malware: extraia hashes, IPs, domínios, URLs, artefatos de host e sinais de validação de amostras para threat intel e detecção.