Threat Hunting

detecting-beaconing-patterns-with-zeek ajuda a analisar intervalos do `conn.log` do Zeek para detectar beaconing no estilo C2. Usa ZAT, agrupa fluxos por origem, destino e porta, e pontua padrões de baixo jitter com verificações estatísticas. É ideal para SOC, threat hunting, resposta a incidentes e fluxos de Security Audit com detecting-beaconing-patterns-with-zeek.

detecting-azure-lateral-movement ajuda analistas de segurança a caçar movimentação lateral no Azure AD/Entra ID e no Microsoft Sentinel usando logs de auditoria do Microsoft Graph, telemetria de sign-in e correlação em KQL. Use-o para triagem de incidentes, engenharia de detecções e fluxos de auditoria de segurança que cobrem abuso de consentimento, uso indevido de service principals, roubo de tokens e pivoting entre tenants.

analyzing-security-logs-with-splunk ajuda a investigar eventos de segurança no Splunk correlacionando logs do Windows, firewall, proxy e autenticação em linhas do tempo e evidências. Este skill analyzing-security-logs-with-splunk é um guia prático para auditoria de segurança, resposta a incidentes e threat hunting.

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

detecting-living-off-the-land-with-lolbas ajuda a detectar abuso de LOLBAS com Sysmon e logs de eventos do Windows, usando telemetria de processos, contexto de relação pai-filho, regras Sigma e um guia prático para triagem, hunting e elaboração de regras. Ele oferece suporte ao detecting-living-off-the-land-with-lolbas para Threat Modeling e fluxos de trabalho de analistas com certutil, regsvr32, mshta e rundll32.

A skill detecting-kerberoasting-attacks ajuda a caçar Kerberoasting ao identificar solicitações suspeitas de TGS do Kerberos, criptografia fraca de tickets e padrões de contas de serviço. Use-a em fluxos de trabalho de SIEM, EDR, EVTX e Threat Modeling com modelos práticos de detecção e orientações de ajuste.

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

A skill detecting-fileless-malware-techniques dá suporte a fluxos de trabalho de Análise de Malware para investigar malware fileless que roda na memória por meio de PowerShell, WMI, reflection em .NET, payloads residindo no registro e LOLBins. Use-a para sair de alertas suspeitos e chegar a triagem baseada em evidências, ideias de detecção e próximos passos de hunting.

A skill detecting-email-forwarding-rules-attack ajuda equipes de Security Audit, threat hunting e resposta a incidentes a encontrar regras maliciosas de encaminhamento de caixa de correio usadas para persistência e coleta de e-mails. Ela orienta analistas em evidências do Microsoft 365 e Exchange, padrões suspeitos de regras e triagem prática de comportamentos de forwarding, redirect, delete e hide.

detecting-dll-sideloading-attacks ajuda equipes de Security Audit, threat hunting e resposta a incidentes a detectar DLL sideloading com Sysmon, EDR, MDE e Splunk. Este guia de detecting-dll-sideloading-attacks inclui notas de fluxo de trabalho, templates de hunting, mapeamento para padrões e scripts para transformar carregamentos suspeitos de DLL em detecções repetíveis.

detecting-attacks-on-historian-servers ajuda a detectar atividade suspeita em servidores historian de OT, como OSIsoft PI, Ignition e Wonderware, na fronteira entre TI e OT. Use este guia de detecting-attacks-on-historian-servers para resposta a incidentes, consultas não autorizadas, manipulação de dados, abuso de API e triagem de movimentação lateral.

detecting-anomalous-authentication-patterns ajuda a analisar logs de autenticação em busca de impossible travel, brute force, password spraying, credential stuffing e atividade de contas comprometidas. Foi criado para workflows de Security Audit, SOC, IAM e resposta a incidentes, com detecção consciente de baseline e análise de sign-in baseada em evidências.

Guia de deploying-osquery-for-endpoint-monitoring para implantar e configurar o osquery com visibilidade de endpoints, monitoramento em toda a frota e threat hunting orientado por SQL. Use para planejar a instalação, consultar o fluxo de trabalho e as referências de API e operacionalizar consultas agendadas, coleta de logs e revisão केंदralizada em endpoints Windows, macOS e Linux.

correlating-security-events-in-qradar ajuda equipes de SOC e detecção a correlacionar offenses do IBM QRadar com AQL, contexto de offenses, regras personalizadas e dados de referência. Use este guia para investigar incidentes, reduzir falsos positivos e criar uma lógica de correlação mais forte para resposta a incidentes.

containing-active-breach é uma skill de resposta a incidentes para contenção de violações em andamento. Ela ajuda a isolar hosts, bloquear tráfego suspeito, desativar contas comprometidas e desacelerar o movimento lateral usando um guia estruturado de containing-active-breach com referências práticas de API e scripts.

A skill building-threat-hunt-hypothesis-framework ajuda você a criar hipóteses testáveis de threat hunt a partir de inteligência de ameaças, mapeamento para ATT&CK e telemetria. Use esta skill building-threat-hunt-hypothesis-framework para planejar hunts, mapear fontes de dados, executar consultas e documentar achados para threat hunting e building-threat-hunt-hypothesis-framework para Threat Modeling.

A skill de análise de TTPs de threat actors com MITRE ATT&CK ajuda a mapear relatórios de ameaças para táticas, técnicas e sub-técnicas do MITRE ATT&CK, construir visões de cobertura e priorizar lacunas de detecção. Ela inclui um modelo de relatório, referências do ATT&CK e scripts para consulta de técnicas e análise de gaps, sendo útil para CTI, SOC, engenharia de detecção e modelagem de ameaças.

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Skill de análise de PowerShell Script Block Logging para analisar o Event ID 4104 do Windows PowerShell a partir de arquivos EVTX, reconstruir blocos de script fragmentados e sinalizar comandos ofuscados, payloads codificados, abuso de Invoke-Expression, download cradles e tentativas de bypass do AMSI em trabalhos de auditoria de segurança.

A skill de análise de mecanismos de persistência no Linux ajuda a investigar persistência em sistemas Linux após comprometimento, incluindo jobs de crontab, unidades systemd, abuso de LD_PRELOAD, alterações em perfis de shell e backdoors em SSH authorized_keys. Ela foi pensada para workflows de resposta a incidentes, threat hunting e auditoria de segurança com auditd e verificações de integridade de arquivos.