por mukul975
detecting-lateral-movement-with-zeek é uma skill de cibersegurança baseada em Zeek para threat hunting e resposta a incidentes. Ela ajuda a detectar acesso a admin shares via SMB, criação de serviços por DCE/RPC, spray de NTLM, anomalias de Kerberos e transferências internas suspeitas usando logs do Zeek como `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` e `kerberos.log`.
por mukul975
O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.
por mukul975
Skill detecting-t1003-credential-dumping-with-edr para threat hunting com EDR, Sysmon e correlação de eventos do Windows para detectar despejo de credenciais em LSASS, SAM, NTDS.dit, segredos do LSA e credenciais em cache. Use para validar alertas, delimitar incidentes e reduzir falsos positivos com orientação prática de fluxo de trabalho.
por mukul975
detecting-container-escape-with-falco-rules ajuda a detectar tentativas de escape de contêiner com regras de segurança em runtime do Falco. O foco está em sinais de syscalls, contêineres privilegiados, abuso de host path, validação e fluxos de resposta a incidentes em ambientes Linux e Kubernetes com contêineres.
