Splunk

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

detecting-azure-service-principal-abuse ajuda a detectar, investigar e documentar atividade suspeita de service principal no Microsoft Entra ID no Azure. Use-o para Auditoria de Segurança, resposta a incidentes em nuvem e threat hunting, revisando mudanças de credenciais, abuso de consentimento de administrador, atribuições de função, caminhos de propriedade e anomalias de login.

analyzing-security-logs-with-splunk ajuda a investigar eventos de segurança no Splunk correlacionando logs do Windows, firewall, proxy e autenticação em linhas do tempo e evidências. Este skill analyzing-security-logs-with-splunk é um guia prático para auditoria de segurança, resposta a incidentes e threat hunting.

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

detecting-pass-the-ticket-attacks ajuda a detectar atividade Kerberos Pass-the-Ticket correlacionando os Event IDs 4768, 4769 e 4771 do Windows Security. Use-a para threat hunting no Splunk ou Elastic e identificar reutilização de tickets, downgrades para RC4 e volumes anormais de TGS com consultas práticas e orientação de campos.

skill de detecção de pass-the-hash para hunting de movimentação lateral baseada em NTLM, logons Tipo 3 suspeitos e atividade T1550.002 com logs de Segurança do Windows, Splunk e KQL.

detecting-lateral-movement-in-network ajuda a detectar movimentação lateral pós-comprometimento em redes corporativas usando logs de eventos do Windows, telemetria do Zeek, SMB, RDP e correlação com SIEM. É útil para threat hunting, resposta a incidentes e revisões de Security Audit com fluxos práticos de detecção.

A skill detecting-kerberoasting-attacks ajuda a caçar Kerberoasting ao identificar solicitações suspeitas de TGS do Kerberos, criptografia fraca de tickets e padrões de contas de serviço. Use-a em fluxos de trabalho de SIEM, EDR, EVTX e Threat Modeling com modelos práticos de detecção e orientações de ajuste.

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

A skill detecting-golden-ticket-forgery identifica falsificação de Kerberos Golden Ticket analisando o Windows Event ID 4769, uso de downgrade para RC4 (0x17), tempos de vida anormais dos tickets e anomalias em krbtgt no Splunk e no Elastic. Foi criada para Security Audit, investigação de incidentes e threat hunting, com orientação prática de detecção.

A skill detecting-email-forwarding-rules-attack ajuda equipes de Security Audit, threat hunting e resposta a incidentes a encontrar regras maliciosas de encaminhamento de caixa de correio usadas para persistência e coleta de e-mails. Ela orienta analistas em evidências do Microsoft 365 e Exchange, padrões suspeitos de regras e triagem prática de comportamentos de forwarding, redirect, delete e hide.

detecting-dll-sideloading-attacks ajuda equipes de Security Audit, threat hunting e resposta a incidentes a detectar DLL sideloading com Sysmon, EDR, MDE e Splunk. Este guia de detecting-dll-sideloading-attacks inclui notas de fluxo de trabalho, templates de hunting, mapeamento para padrões e scripts para transformar carregamentos suspeitos de DLL em detecções repetíveis.

deploying-edr-agent-with-crowdstrike ajuda a planejar, instalar e verificar a implantação do sensor CrowdStrike Falcon em endpoints Windows, macOS e Linux. Use este skill de deploying-edr-agent-with-crowdstrike para orientar a instalação, configurar políticas, integrar a telemetria ao SIEM e preparar a resposta a incidentes.

A skill building-threat-hunt-hypothesis-framework ajuda você a criar hipóteses testáveis de threat hunt a partir de inteligência de ameaças, mapeamento para ATT&CK e telemetria. Use esta skill building-threat-hunt-hypothesis-framework para planejar hunts, mapear fontes de dados, executar consultas e documentar achados para threat hunting e building-threat-hunt-hypothesis-framework para Threat Modeling.

A skill building-soc-metrics-and-kpi-tracking transforma dados de atividade do SOC em KPIs como MTTD, MTTR, qualidade dos alertas, produtividade dos analistas e cobertura de detecção. Ela é ideal para liderança de SOC, operações de segurança e times de observabilidade que precisam de relatórios repetíveis, acompanhamento de tendências e métricas prontas para executivos, com base em fluxos de trabalho no Splunk.

building-incident-response-dashboard ajuda equipes a criar dashboards de resposta a incidentes em tempo real no Splunk, Elastic ou Grafana, com acompanhamento de incidentes ativos, status de contenção, ativos afetados, propagação de IOCs e linha do tempo da resposta. Use este skill building-incident-response-dashboard quando precisar de um dashboard focado para analistas de SOC, comandantes de incidente e liderança.

building-detection-rules-with-sigma ajuda analistas a criar regras portáteis de detecção em Sigma a partir de threat intel ou regras de fornecedores, mapeá-las para o MITRE ATT&CK e convertê-las para SIEMs como Splunk, Elastic e Microsoft Sentinel. Use este guia building-detection-rules-with-sigma para fluxos de Security Audit, padronização e detection-as-code.

building-detection-rule-with-splunk-spl ajuda analistas de SOC e engenheiros de detecção a criar buscas de correlação em Splunk SPL para detecção de ameaças, ajuste fino e revisão de Security Audit. Use para transformar um briefing de detecção em uma regra implantável, com mapeamento MITRE, enriquecimento e orientação de validação.

A skill de análise de logs de eventos do Windows no Splunk ajuda analistas de SOC a investigar logs de Security, System e Sysmon no Splunk para ataques de autenticação, elevação de privilégio, persistência e movimento lateral. Use-a para triagem de incidentes, engenharia de detecção e análise de linha do tempo, com padrões SPL mapeados e orientação por IDs de evento.

analyzing-dns-logs-for-exfiltration ajuda analistas de SOC a detectar DNS tunneling, domínios com padrão de DGA, abuso de TXT e padrões furtivos de C2 em logs de SIEM ou Zeek. Use-a em fluxos de Security Audit quando precisar de análise de entropia, anomalias de volume de consultas e orientação prática de triagem.