Crowdstrike

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

detecting-fileless-attacks-on-endpoints ajuda a criar detecções para ataques em memória em endpoints Windows, incluindo abuso de PowerShell, persistência via WMI, reflective loading e injeção de processo. Use este skill para Security Audit, threat hunting e engenharia de detecção com Sysmon, AMSI e logging do PowerShell.

deploying-edr-agent-with-crowdstrike ajuda a planejar, instalar e verificar a implantação do sensor CrowdStrike Falcon em endpoints Windows, macOS e Linux. Use este skill de deploying-edr-agent-with-crowdstrike para orientar a instalação, configurar políticas, integrar a telemetria ao SIEM e preparar a resposta a incidentes.

containing-active-breach é uma skill de resposta a incidentes para contenção de violações em andamento. Ela ajuda a isolar hosts, bloquear tráfego suspeito, desativar contas comprometidas e desacelerar o movimento lateral usando um guia estruturado de containing-active-breach com referências práticas de API e scripts.