Sysmon

A skill detecting-wmi-persistence ajuda threat hunters e analistas de DFIR a detectar persistência por WMI Event Subscription em telemetria do Windows usando os Sysmon Event IDs 19, 20 e 21. Use-a para identificar atividade maliciosa de EventFilter, EventConsumer e FilterToConsumerBinding, validar achados e separar persistência de atacante de automação administrativa legítima.

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

detecting-process-hollowing-technique ajuda a caçar process hollowing (T1055.012) em telemetria do Windows correlacionando execuções suspensas, adulteração de memória, anomalias entre processo pai e filho e evidências de API. Feita para threat hunters, detection engineers e responders que precisam de um detecting-process-hollowing-technique prático para o fluxo de trabalho de Threat Hunting.

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

skill de detecção de pass-the-hash para hunting de movimentação lateral baseada em NTLM, logons Tipo 3 suspeitos e atividade T1550.002 com logs de Segurança do Windows, Splunk e KQL.

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

detecting-living-off-the-land-with-lolbas ajuda a detectar abuso de LOLBAS com Sysmon e logs de eventos do Windows, usando telemetria de processos, contexto de relação pai-filho, regras Sigma e um guia prático para triagem, hunting e elaboração de regras. Ele oferece suporte ao detecting-living-off-the-land-with-lolbas para Threat Modeling e fluxos de trabalho de analistas com certutil, regsvr32, mshta e rundll32.

Skill de detecção de ataques Living off the Land para Auditoria de Segurança, threat hunting e resposta a incidentes. Detecta o abuso de binários legítimos do Windows, como certutil, mshta, rundll32 e regsvr32, usando telemetria de criação de processo, linha de comando e relação entre processo pai e filho. O guia foca em padrões acionáveis de detecção de LOLBins, e não em hardening amplo do Windows.

A skill detecting-fileless-malware-techniques dá suporte a fluxos de trabalho de Análise de Malware para investigar malware fileless que roda na memória por meio de PowerShell, WMI, reflection em .NET, payloads residindo no registro e LOLBins. Use-a para sair de alertas suspeitos e chegar a triagem baseada em evidências, ideias de detecção e próximos passos de hunting.

detecting-fileless-attacks-on-endpoints ajuda a criar detecções para ataques em memória em endpoints Windows, incluindo abuso de PowerShell, persistência via WMI, reflective loading e injeção de processo. Use este skill para Security Audit, threat hunting e engenharia de detecção com Sysmon, AMSI e logging do PowerShell.

detecting-dll-sideloading-attacks ajuda equipes de Security Audit, threat hunting e resposta a incidentes a detectar DLL sideloading com Sysmon, EDR, MDE e Splunk. Este guia de detecting-dll-sideloading-attacks inclui notas de fluxo de trabalho, templates de hunting, mapeamento para padrões e scripts para transformar carregamentos suspeitos de DLL em detecções repetíveis.

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

A skill de análise de logs de eventos do Windows no Splunk ajuda analistas de SOC a investigar logs de Security, System e Sysmon no Splunk para ataques de autenticação, elevação de privilégio, persistência e movimento lateral. Use-a para triagem de incidentes, engenharia de detecção e análise de linha do tempo, com padrões SPL mapeados e orientação por IDs de evento.