Elastic

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

detecting-pass-the-ticket-attacks ajuda a detectar atividade Kerberos Pass-the-Ticket correlacionando os Event IDs 4768, 4769 e 4771 do Windows Security. Use-a para threat hunting no Splunk ou Elastic e identificar reutilização de tickets, downgrades para RC4 e volumes anormais de TGS com consultas práticas e orientação de campos.

deploying-edr-agent-with-crowdstrike ajuda a planejar, instalar e verificar a implantação do sensor CrowdStrike Falcon em endpoints Windows, macOS e Linux. Use este skill de deploying-edr-agent-with-crowdstrike para orientar a instalação, configurar políticas, integrar a telemetria ao SIEM e preparar a resposta a incidentes.

building-incident-response-dashboard ajuda equipes a criar dashboards de resposta a incidentes em tempo real no Splunk, Elastic ou Grafana, com acompanhamento de incidentes ativos, status de contenção, ativos afetados, propagação de IOCs e linha do tempo da resposta. Use este skill building-incident-response-dashboard quando precisar de um dashboard focado para analistas de SOC, comandantes de incidente e liderança.

building-detection-rules-with-sigma ajuda analistas a criar regras portáteis de detecção em Sigma a partir de threat intel ou regras de fornecedores, mapeá-las para o MITRE ATT&CK e convertê-las para SIEMs como Splunk, Elastic e Microsoft Sentinel. Use este guia building-detection-rules-with-sigma para fluxos de Security Audit, padronização e detection-as-code.