Siem

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

Guia de configuração de HIDS para implementar monitoramento de integridade de arquivos, mudanças no sistema e segurança de endpoint voltada à conformidade com Wazuh, OSSEC ou AIDE, no contexto de fluxos de trabalho de Auditoria de Segurança.

analyzing-security-logs-with-splunk ajuda a investigar eventos de segurança no Splunk correlacionando logs do Windows, firewall, proxy e autenticação em linhas do tempo e evidências. Este skill analyzing-security-logs-with-splunk é um guia prático para auditoria de segurança, resposta a incidentes e threat hunting.

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Skill de detecção de ataques Living off the Land para Auditoria de Segurança, threat hunting e resposta a incidentes. Detecta o abuso de binários legítimos do Windows, como certutil, mshta, rundll32 e regsvr32, usando telemetria de criação de processo, linha de comando e relação entre processo pai e filho. O guia foca em padrões acionáveis de detecção de LOLBins, e não em hardening amplo do Windows.

detecting-lateral-movement-in-network ajuda a detectar movimentação lateral pós-comprometimento em redes corporativas usando logs de eventos do Windows, telemetria do Zeek, SMB, RDP e correlação com SIEM. É útil para threat hunting, resposta a incidentes e revisões de Security Audit com fluxos práticos de detecção.

A skill detecting-kerberoasting-attacks ajuda a caçar Kerberoasting ao identificar solicitações suspeitas de TGS do Kerberos, criptografia fraca de tickets e padrões de contas de serviço. Use-a em fluxos de trabalho de SIEM, EDR, EVTX e Threat Modeling com modelos práticos de detecção e orientações de ajuste.

detecting-insider-threat-with-ueba ajuda você a criar detecções de UEBA no Elasticsearch ou OpenSearch para casos de ameaça interna, incluindo linhas de base comportamentais, pontuação de anomalias, análise de grupos de pares e alertas correlacionados para exfiltração de dados, abuso de privilégios e acesso não autorizado. Ele se encaixa em fluxos de trabalho de Resposta a Incidentes com detecting-insider-threat-with-ueba.

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

detecting-fileless-attacks-on-endpoints ajuda a criar detecções para ataques em memória em endpoints Windows, incluindo abuso de PowerShell, persistência via WMI, reflective loading e injeção de processo. Use este skill para Security Audit, threat hunting e engenharia de detecção com Sysmon, AMSI e logging do PowerShell.

A skill detecting-email-forwarding-rules-attack ajuda equipes de Security Audit, threat hunting e resposta a incidentes a encontrar regras maliciosas de encaminhamento de caixa de correio usadas para persistência e coleta de e-mails. Ela orienta analistas em evidências do Microsoft 365 e Exchange, padrões suspeitos de regras e triagem prática de comportamentos de forwarding, redirect, delete e hide.

detecting-attacks-on-scada-systems é um skill de cibersegurança para identificar ataques em ambientes SCADA e OT/ICS. Ele ajuda a analisar abuso de protocolos industriais, comandos não autorizados em PLCs, comprometimento de HMI, adulteração de historian e negação de serviço, com orientações práticas para resposta a incidentes e validação de detecções.

detecting-anomalous-authentication-patterns ajuda a analisar logs de autenticação em busca de impossible travel, brute force, password spraying, credential stuffing e atividade de contas comprometidas. Foi criado para workflows de Security Audit, SOC, IAM e resposta a incidentes, com detecção consciente de baseline e análise de sign-in baseada em evidências.

Guia de deploying-osquery-for-endpoint-monitoring para implantar e configurar o osquery com visibilidade de endpoints, monitoramento em toda a frota e threat hunting orientado por SQL. Use para planejar a instalação, consultar o fluxo de trabalho e as referências de API e operacionalizar consultas agendadas, coleta de logs e revisão केंदralizada em endpoints Windows, macOS e Linux.

deploying-edr-agent-with-crowdstrike ajuda a planejar, instalar e verificar a implantação do sensor CrowdStrike Falcon em endpoints Windows, macOS e Linux. Use este skill de deploying-edr-agent-with-crowdstrike para orientar a instalação, configurar políticas, integrar a telemetria ao SIEM e preparar a resposta a incidentes.

correlating-security-events-in-qradar ajuda equipes de SOC e detecção a correlacionar offenses do IBM QRadar com AQL, contexto de offenses, regras personalizadas e dados de referência. Use este guia para investigar incidentes, reduzir falsos positivos e criar uma lógica de correlação mais forte para resposta a incidentes.

A skill configuring-suricata-for-network-monitoring ajuda a implantar e ajustar o Suricata para monitoramento IDS/IPS, registro em EVE JSON, gerenciamento de regras e saída pronta para SIEM. Ela é indicada para o fluxo de Security Audit com configuring-suricata-for-network-monitoring quando você precisa de configuração prática, validação e redução de falsos positivos.

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

O building-vulnerability-scanning-workflow ajuda equipes de SOC a estruturar um processo repetível de varredura de vulnerabilidades para descoberta, priorização, acompanhamento de correções e relatórios em todos os ativos. Ele atende casos de uso de Security Audit com orquestração de scanners, priorização de risco com base no KEV e orientação de fluxo de trabalho que vai além de uma varredura pontual.

A skill building-threat-hunt-hypothesis-framework ajuda você a criar hipóteses testáveis de threat hunt a partir de inteligência de ameaças, mapeamento para ATT&CK e telemetria. Use esta skill building-threat-hunt-hypothesis-framework para planejar hunts, mapear fontes de dados, executar consultas e documentar achados para threat hunting e building-threat-hunt-hypothesis-framework para Threat Modeling.

building-threat-feed-aggregation-with-misp ajuda você a implantar o MISP para agregar, correlacionar e compartilhar feeds de threat intelligence, centralizando a gestão de IOCs e a integração com SIEM. Este guia de skill cobre padrões de instalação e uso, sincronização de feeds, ações de API e etapas práticas de fluxo de trabalho para equipes de Threat Intelligence.

A skill building-soc-metrics-and-kpi-tracking transforma dados de atividade do SOC em KPIs como MTTD, MTTR, qualidade dos alertas, produtividade dos analistas e cobertura de detecção. Ela é ideal para liderança de SOC, operações de segurança e times de observabilidade que precisam de relatórios repetíveis, acompanhamento de tendências e métricas prontas para executivos, com base em fluxos de trabalho no Splunk.

building-detection-rules-with-sigma ajuda analistas a criar regras portáteis de detecção em Sigma a partir de threat intel ou regras de fornecedores, mapeá-las para o MITRE ATT&CK e convertê-las para SIEMs como Splunk, Elastic e Microsoft Sentinel. Use este guia building-detection-rules-with-sigma para fluxos de Security Audit, padronização e detection-as-code.

building-detection-rule-with-splunk-spl ajuda analistas de SOC e engenheiros de detecção a criar buscas de correlação em Splunk SPL para detecção de ameaças, ajuste fino e revisão de Security Audit. Use para transformar um briefing de detecção em uma regra implantável, com mapeamento MITRE, enriquecimento e orientação de validação.