Mitre Attack

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

analyzing-campaign-attribution-evidence ajuda analistas a ponderar sobreposição de infraestrutura, consistência com ATT&CK, similaridade de malware, timing e traços de linguagem para uma atribuição de campanha defensável. Use este guia do analyzing-campaign-attribution-evidence em CTI, análise de incidentes e revisões de Security Audit.

hunting-advanced-persistent-threats é uma skill de caça a ameaças para detectar atividades no estilo APT em telemetria de endpoint, rede e memória. Ela ajuda analistas a criar hunts guiados por hipóteses, mapear descobertas para o MITRE ATT&CK e transformar inteligência de ameaças em consultas práticas e passos de investigação, em vez de buscas ad hoc.

executing-red-team-exercise é uma skill de cibersegurança para planejar e acompanhar exercícios realistas de red team. Ela dá suporte à emulação de adversários em atividades de reconhecimento, seleção de técnicas, execução e revisão de lacunas de detecção, sendo útil para trabalhos de Security Audit e avaliações alinhadas ao ATT&CK.

A skill detecting-wmi-persistence ajuda threat hunters e analistas de DFIR a detectar persistência por WMI Event Subscription em telemetria do Windows usando os Sysmon Event IDs 19, 20 e 21. Use-a para identificar atividade maliciosa de EventFilter, EventConsumer e FilterToConsumerBinding, validar achados e separar persistência de atacante de automação administrativa legítima.

detecting-process-hollowing-technique ajuda a caçar process hollowing (T1055.012) em telemetria do Windows correlacionando execuções suspensas, adulteração de memória, anomalias entre processo pai e filho e evidências de API. Feita para threat hunters, detection engineers e responders que precisam de um detecting-process-hollowing-technique prático para o fluxo de trabalho de Threat Hunting.

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Skill de detecção de ataques Living off the Land para Auditoria de Segurança, threat hunting e resposta a incidentes. Detecta o abuso de binários legítimos do Windows, como certutil, mshta, rundll32 e regsvr32, usando telemetria de criação de processo, linha de comando e relação entre processo pai e filho. O guia foca em padrões acionáveis de detecção de LOLBins, e não em hardening amplo do Windows.

A skill detecting-kerberoasting-attacks ajuda a caçar Kerberoasting ao identificar solicitações suspeitas de TGS do Kerberos, criptografia fraca de tickets e padrões de contas de serviço. Use-a em fluxos de trabalho de SIEM, EDR, EVTX e Threat Modeling com modelos práticos de detecção e orientações de ajuste.

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

detecting-dll-sideloading-attacks ajuda equipes de Security Audit, threat hunting e resposta a incidentes a detectar DLL sideloading com Sysmon, EDR, MDE e Splunk. Este guia de detecting-dll-sideloading-attacks inclui notas de fluxo de trabalho, templates de hunting, mapeamento para padrões e scripts para transformar carregamentos suspeitos de DLL em detecções repetíveis.

detecting-command-and-control-over-dns é uma skill de cibersegurança para identificar C2 sobre DNS, incluindo tunneling, beaconing, domínios DGA e abuso de TXT/CNAME. Ela apoia analistas de SOC, threat hunters e auditorias de segurança com checagem de entropia, correlação com passive DNS e fluxos de detecção no estilo Zeek ou Suricata.

A skill correlating-threat-campaigns ajuda analistas de Threat Intelligence a correlacionar incidentes, IOCs e TTPs em evidências no nível de campanha. Use-a para comparar eventos históricos, separar vínculos fortes de correspondências fracas e construir agrupamentos defensáveis para relatórios no MISP, SIEM e CTI.

A skill conducting-post-incident-lessons-learned ajuda equipes de Resposta a Incidentes a conduzir revisões estruturadas de pós-incidente, montar linhas do tempo factuais, identificar causas-raiz, registrar o que funcionou e o que falhou e transformar cada incidente em melhorias mensuráveis, com responsáveis, prazos e atualizações dos playbooks.

conducting-pass-the-ticket-attack é uma skill de Auditoria de Segurança e red team para planejar e documentar fluxos de trabalho de Pass-the-Ticket. Ela ajuda você a revisar tickets Kerberos, mapear sinais de detecção e produzir um fluxo estruturado de validação ou relatório usando a skill conducting-pass-the-ticket-attack.

conducting-cloud-penetration-testing ajuda você a planejar e executar avaliações autorizadas em nuvem em AWS, Azure e GCP. Use para identificar configurações incorretas de IAM, exposição de metadados, recursos públicos e caminhos de escalada, e depois transformar os resultados em um relatório de auditoria de segurança. Ele se encaixa no skill conducting-cloud-penetration-testing para fluxos de trabalho de auditoria de segurança.

A skill collecting-threat-intelligence-with-misp ajuda você a coletar, normalizar, pesquisar e exportar inteligência de ameaças no MISP. Use este guia de collecting-threat-intelligence-with-misp para feeds, fluxos de trabalho com PyMISP, filtragem de eventos, redução de warninglists e aplicações práticas de collecting-threat-intelligence-with-misp para Threat Modeling e operações de CTI.

Skill building-threat-intelligence-platform para projetar, implantar e revisar uma plataforma de inteligência de ameaças com MISP, OpenCTI, TheHive, Cortex, STIX/TAXII e Elasticsearch. Use-a para orientação de instalação, fluxos de uso e planejamento de Security Audit com base em referências de repositório e scripts.

A skill building-threat-hunt-hypothesis-framework ajuda você a criar hipóteses testáveis de threat hunt a partir de inteligência de ameaças, mapeamento para ATT&CK e telemetria. Use esta skill building-threat-hunt-hypothesis-framework para planejar hunts, mapear fontes de dados, executar consultas e documentar achados para threat hunting e building-threat-hunt-hypothesis-framework para Threat Modeling.

O skill building-threat-actor-profile-from-osint ajuda equipes de threat intelligence a transformar OSINT em perfis estruturados de atores de ameaça. Ele oferece suporte à análise de grupos nomeados ou campanhas, com mapeamento para ATT&CK, correlação de infraestrutura, rastreabilidade das fontes e notas de confiança para uma análise defensável.

Skill building-soc-playbook-for-ransomware para equipes de SOC que precisam de um playbook estruturado de resposta a ransomware. Cobre gatilhos de detecção, contenção, erradicação, recuperação e procedimentos prontos para auditoria, alinhados à NIST SP 800-61 e ao MITRE ATT&CK. Use para criação prática de playbooks, exercícios tabletop e apoio a auditorias de segurança.

building-detection-rules-with-sigma ajuda analistas a criar regras portáteis de detecção em Sigma a partir de threat intel ou regras de fornecedores, mapeá-las para o MITRE ATT&CK e convertê-las para SIEMs como Splunk, Elastic e Microsoft Sentinel. Use este guia building-detection-rules-with-sigma para fluxos de Security Audit, padronização e detection-as-code.

building-detection-rule-with-splunk-spl ajuda analistas de SOC e engenheiros de detecção a criar buscas de correlação em Splunk SPL para detecção de ameaças, ajuste fino e revisão de Security Audit. Use para transformar um briefing de detecção em uma regra implantável, com mapeamento MITRE, enriquecimento e orientação de validação.