Detection

detecting-container-escape-with-falco-rules ajuda a detectar tentativas de escape de contêiner com regras de segurança em runtime do Falco. O foco está em sinais de syscalls, contêineres privilegiados, abuso de host path, validação e fluxos de resposta a incidentes em ambientes Linux e Kubernetes com contêineres.

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

A skill deploying-ransomware-canary-files ajuda equipes de segurança a implantar arquivos isca em diretórios críticos e monitorar eventos de leitura, modificação, renomeação ou exclusão para dar um alerta antecipado sobre ransomware. Use-a em fluxos de Auditoria de Segurança, detecção leve e alertas via Slack, email ou syslog, sem substituir EDR nem backups.

deploying-active-directory-honeytokens ajuda defensores a planejar e gerar honeytokens de Active Directory para trabalhos de Auditoria de Segurança, incluindo contas privilegiadas falsas, SPNs falsos para detecção de Kerberoasting, armadilhas com GPOs isca e caminhos enganosos no BloodHound. Ele combina orientação voltada à instalação com scripts e sinais de telemetria para implantação e revisão práticas.