detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Estrelas0

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaThreat Hunting

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-evasion-techniques-in-endpoint-logs

Pontuação editorial

Esta skill alcança 84/100 e é uma boa candidata para a listagem do diretório. Ela oferece um caso de uso bem definido para evasão de defesa em TA0005, fluxos práticos para logs de endpoint e scripts/recursos de apoio que reduzem a tentativa e erro em comparação com um prompt genérico. Ainda assim, quem usa o diretório deve esperar alguma fricção na adoção, porque o repositório não mostra um comando de instalação em SKILL.md e o conteúdo pré-visualizado está um pouco fragmentado entre arquivos.

84/100

Pontos fortes

Gatilho claro para investigações de evasão de defesa em endpoint, com casos de uso explícitos para adulteração de logs, timestomping, injeção de processo e desativação de ferramentas de segurança.
O suporte operacional vai além de uma skill só de documentação: há fluxos de trabalho, referências e dois scripts para análise de logs de eventos do Windows / dados no estilo EVTX.
Bom valor para decisão de instalação, com mapeamentos sustentados por evidências para MITRE ATT&CK, Sigma, event IDs do Sysmon e padrões de detecção.

Pontos de atenção

Não há comando de instalação em SKILL.md, então os usuários talvez precisem inferir o setup e o comportamento de invocação.
A prévia sugere que o fluxo principal está distribuído em vários arquivos, o que pode tornar a primeira utilização mais lenta apesar do conteúdo amplo.

Endpoint Security Edr Logs Event Logs Sysmon Windows Security Detection Engineering Sigma Rules

Visão geral

Visão geral da skill detecting-evasion-techniques-in-endpoint-logs

O que esta skill faz

A skill detecting-evasion-techniques-in-endpoint-logs ajuda você a caçar técnicas de evasão de defesa em telemetria de endpoints Windows, especialmente atividades da MITRE ATT&CK TA0005 como limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Ela é mais útil para analistas que precisam de um fluxo prático de detecção, e não apenas de uma lista de comandos suspeitos.

Quem deve instalar

Use a detecting-evasion-techniques-in-endpoint-logs skill se você faz threat hunting, detection engineering ou triagem de incidentes em logs de Sysmon, Windows Security ou EDR. Ela faz mais sentido quando você já tem dados de eventos de endpoint e quer transformar uma suspeita vaga em uma caça repetível.

O que a diferencia

Esta skill é baseada em IDs de evento concretos, padrões de consulta e templates de hunt, em vez de conselhos genéricos. O repositório inclui orientação de fluxo de trabalho, um template de detecção e exemplos baseados em scripts, o que torna a detecting-evasion-techniques-in-endpoint-logs skill bem mais acionável do que um prompt genérico para “encontrar atividade maliciosa”.

Como usar a skill detecting-evasion-techniques-in-endpoint-logs

Instale e confirme o escopo

Instale com npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-evasion-techniques-in-endpoint-logs. Depois da instalação, confirme que a skill é ativada para solicitações de evasão de defesa em endpoints, e não para evasão de rede ou engenharia reversa de malware. Se o seu caso for sobre proxy, shaping de tráfego ou unpacking de payload, esta skill não é a opção certa.

Comece com as entradas certas

Para um bom detecting-evasion-techniques-in-endpoint-logs usage, informe:

fonte de log: Sysmon, Windows Security ou EDR
técnica-alvo: por exemplo T1070.001, T1055 ou T1562.001
janela de tempo: últimas 24 horas vs. 30–90 dias
restrições do ambiente: domínio, ruído de baseline, allowlists, ferramentas administrativas conhecidas

Entrada fraca: “encontre evasão.”
Entrada melhor: “Faça hunting de limpeza de logs T1070.001 em Sysmon e Security logs nos últimos 14 dias em 200 endpoints; priorize evidências que distingam manutenção administrativa de limpeza feita por atacante.”

Leia estes arquivos primeiro

Para o detecting-evasion-techniques-in-endpoint-logs guide mais rápido, leia:

SKILL.md para escopo e gatilhos
assets/template.md para o formato de saída do hunt
references/api-reference.md para IDs de evento e padrões de detecção
references/workflows.md para o fluxo de hunt e implantação
references/standards.md para contexto de ATT&CK e Sigma

Use um fluxo de trabalho orientado a hunting

O detecting-evasion-techniques-in-endpoint-logs usage mais confiável é: escolha uma técnica, valide a cobertura dos logs, execute uma consulta estreita e depois faça a triagem. Comece com o template de hunt, mapeie a técnica para a fonte de eventos correta e só então amplie para telemetria adjacente, como árvores de processo ou mudanças de registro. Isso mantém os falsos positivos sob controle e facilita operacionalizar o resultado.

FAQ da skill detecting-evasion-techniques-in-endpoint-logs

Isso é principalmente para Threat Hunting?

Sim. detecting-evasion-techniques-in-endpoint-logs for Threat Hunting é o caso de uso mais claro, porque a skill foi construída em torno de buscas guiadas por hipótese, triagem e refinamento de regras. Ela também funciona para detection engineering quando você quer transformar achados de hunting em uma regra SIEM reutilizável.

Posso usar com um prompt genérico?

Pode, mas a skill é melhor quando você quer menos tentativa e erro. Um prompt genérico pode gerar orientações amplas; esta skill entrega entradas específicas por técnica, pistas de fonte de evento e um fluxo de trabalho prático que é mais fácil de reutilizar entre investigações.

Quais são os limites?

Ela é focada em telemetria de endpoint e em evasão de defesa centrada em Windows. Não espere que ela resolva evasão em camada de rede, forense de memória ou análise completa de malware. Se seus logs não incluem criação de processos, execução de scripts ou alterações de tempo de arquivo, o valor de detecção será limitado.

Ela é amigável para iniciantes?

Sim, desde que você já conheça os conceitos básicos de logging de endpoint. Iniciantes tiram mais proveito começando com uma técnica, uma fonte de dados e uma janela de tempo, em vez de tentar caçar todos os métodos de evasão de uma vez.

Como melhorar a skill detecting-evasion-techniques-in-endpoint-logs

Dê um contexto de hunting mais preciso

O maior ganho de qualidade vem de especificar a técnica, a plataforma e o ruído esperado. Por exemplo, mencione wevtutil cl, Clear-EventLog, Sysmon Event ID 2 ou comandos para desativar o Defender quando isso for relevante. Isso ajuda a detecting-evasion-techniques-in-endpoint-logs skill a gerar lógica de detecção precisa, em vez de linguagem de hunting ampla.

Inclua detalhes de baseline e exclusão

Se o seu ambiente tem scripts administrativos, ferramentas de imaging, tarefas de manutenção do EDR ou agentes de backup, diga isso logo no início. Falsos positivos costumam vir de manutenção legítima de logs ou operações de segurança, então o melhor resultado de detecting-evasion-techniques-in-endpoint-logs install é um prompt que já inclua comportamentos conhecidos e seguros para excluir.

Itere com base em evidências, não em suposições

Depois da primeira resposta, refine com os artefatos reais: IDs de evento, linhas de comando, imagens de origem/destino ou hosts barulhentos. Peça uma consulta mais estreita, uma checklist de triagem ou uma versão de maior sinal do hunt. Esse é o caminho mais rápido para melhorar o detecting-evasion-techniques-in-endpoint-logs usage sem expandir demais o escopo.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ajuda a caçar process hollowing (T1055.012) em telemetria do Windows correlacionando execuções suspensas, adulteração de memória, anomalias entre processo pai e filho e evidências de API. Feita para threat hunters, detection engineers e responders que precisam de um detecting-process-hollowing-technique prático para o fluxo de trabalho de Threat Hunting.

Threat Hunting

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

O exploitng-kerberoasting-with-impacket ajuda testadores autorizados a planejar Kerberoasting com o `GetUserSPNs.py` do Impacket, desde a enumeração de SPNs até a extração de tickets TGS, crack offline e relatórios com foco em detecção. Use este guia de exploiting-kerberoasting-with-impacket para fluxos de teste de intrusão com contexto claro de instalação e uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

A skill detecting-shadow-it-cloud-usage ajuda a identificar uso não autorizado de SaaS e serviços de cloud a partir de logs de proxy, consultas DNS e netflow. Ela classifica domínios, compara com listas aprovadas e dá suporte a fluxos de auditoria de segurança com evidências estruturadas, conforme o guia da skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

detecting-network-anomalies-with-zeek

por mukul975

A skill de detectar anomalias de rede com Zeek ajuda a implantar o Zeek para monitoramento passivo de rede, revisar logs estruturados e criar detecções personalizadas para beaconing, DNS tunneling e atividades incomuns de protocolos. É indicada para threat hunting, resposta a incidentes, metadados de rede prontos para SIEM e fluxos de trabalho de Security Audit — não para prevenção inline.

Security Audit

Favoritos 0GitHub 6.1k