Windows Security

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

eradicating-malware-from-infected-systems é uma habilidade de resposta a incidentes de cibersegurança para remover malware, backdoors e mecanismos de persistência após o containment. Inclui orientação de fluxo de trabalho, arquivos de referência e scripts para limpeza em Windows e Linux, rotação de credenciais, correção da causa raiz e validação.

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

detecting-pass-the-ticket-attacks ajuda a detectar atividade Kerberos Pass-the-Ticket correlacionando os Event IDs 4768, 4769 e 4771 do Windows Security. Use-a para threat hunting no Splunk ou Elastic e identificar reutilização de tickets, downgrades para RC4 e volumes anormais de TGS com consultas práticas e orientação de campos.

skill de detecção de pass-the-hash para hunting de movimentação lateral baseada em NTLM, logons Tipo 3 suspeitos e atividade T1550.002 com logs de Segurança do Windows, Splunk e KQL.

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

detecting-living-off-the-land-with-lolbas ajuda a detectar abuso de LOLBAS com Sysmon e logs de eventos do Windows, usando telemetria de processos, contexto de relação pai-filho, regras Sigma e um guia prático para triagem, hunting e elaboração de regras. Ele oferece suporte ao detecting-living-off-the-land-with-lolbas para Threat Modeling e fluxos de trabalho de analistas com certutil, regsvr32, mshta e rundll32.

A skill detecting-golden-ticket-forgery identifica falsificação de Kerberos Golden Ticket analisando o Windows Event ID 4769, uso de downgrade para RC4 (0x17), tempos de vida anormais dos tickets e anomalias em krbtgt no Splunk e no Elastic. Foi criada para Security Audit, investigação de incidentes e threat hunting, com orientação prática de detecção.

detecting-dll-sideloading-attacks ajuda equipes de Security Audit, threat hunting e resposta a incidentes a detectar DLL sideloading com Sysmon, EDR, MDE e Splunk. Este guia de detecting-dll-sideloading-attacks inclui notas de fluxo de trabalho, templates de hunting, mapeamento para padrões e scripts para transformar carregamentos suspeitos de DLL em detecções repetíveis.

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

deploying-active-directory-honeytokens ajuda defensores a planejar e gerar honeytokens de Active Directory para trabalhos de Auditoria de Segurança, incluindo contas privilegiadas falsas, SPNs falsos para detecção de Kerberoasting, armadilhas com GPOs isca e caminhos enganosos no BloodHound. Ele combina orientação voltada à instalação com scripts e sinais de telemetria para implantação e revisão práticas.

Skill de configuração avançada do Windows Defender para hardening do Microsoft Defender for Endpoint. Cobre regras ASR, acesso controlado a pastas, proteção de rede, proteção contra exploração, planejamento de implantação e orientação de rollout com foco inicial em auditoria para engenheiros de segurança, administradores de TI e fluxos de trabalho de auditoria de segurança.