Anomaly Detection

detecting-s3-data-exfiltration-attempts giúp điều tra các khả năng đánh cắp dữ liệu trên AWS S3 bằng cách đối chiếu các sự kiện dữ liệu S3 trong CloudTrail, các finding của GuardDuty, cảnh báo Amazon Macie và mẫu truy cập S3. Hãy dùng skill detecting-s3-data-exfiltration-attempts này cho kiểm toán bảo mật, ứng phó sự cố và phân tích các đợt tải xuống hàng loạt đáng ngờ.

detecting-rdp-brute-force-attacks giúp phân tích Windows Security Event Logs để phát hiện mẫu brute force RDP, bao gồm các lần lỗi 4625 lặp lại, đăng nhập 4624 thành công sau nhiều lần thất bại, logon liên quan đến NLA và mức độ tập trung theo source IP. Hãy dùng skill này cho Security Audit, threat hunting và các cuộc điều tra EVTX có thể lặp lại.

Kỹ năng detecting-network-anomalies-with-zeek giúp triển khai Zeek để giám sát mạng ở chế độ thụ động, xem lại các log có cấu trúc và xây dựng các phát hiện tùy chỉnh cho beaconing, DNS tunneling và hoạt động giao thức bất thường. Kỹ năng này phù hợp cho threat hunting, ứng phó sự cố, metadata mạng sẵn sàng cho SIEM và quy trình Security Audit — không phải để ngăn chặn inline.

detecting-modbus-protocol-anomalies giúp phát hiện hành vi đáng ngờ của Modbus/TCP và Modbus RTU trong mạng OT và ICS, bao gồm function code không hợp lệ, truy cập register ngoài phạm vi, thời gian polling bất thường, ghi trái phép và frame bị lỗi định dạng. Hữu ích cho Security Audit và triage dựa trên bằng chứng.

detecting-beaconing-patterns-with-zeek giúp phân tích các khoảng thời gian trong Zeek `conn.log` để phát hiện beaconing kiểu C2. Kỹ năng này dùng ZAT, nhóm các luồng theo nguồn, đích và cổng, rồi chấm điểm các mẫu có độ dao động thấp bằng các kiểm tra thống kê. Phù hợp cho SOC, threat hunting, ứng phó sự cố, và các quy trình Security Audit cần detecting-beaconing-patterns-with-zeek.

analyzing-cloud-storage-access-patterns giúp các nhóm bảo mật phát hiện truy cập bất thường vào lưu trữ đám mây trên AWS S3, GCS và Azure Blob Storage. Kỹ năng này phân tích nhật ký kiểm toán để tìm các đợt tải xuống hàng loạt, IP nguồn mới, lời gọi API bất thường, liệt kê bucket, truy cập ngoài giờ và dấu hiệu exfiltration có thể xảy ra bằng cách kiểm tra theo baseline và bất thường.

Kỹ năng analyzing-azure-activity-logs-for-threats dùng để truy vấn nhật ký hoạt động và nhật ký đăng nhập của Azure Monitor, nhằm phát hiện các hành động quản trị đáng ngờ, di chuyển bất khả thi, leo thang đặc quyền và can thiệp tài nguyên. Được xây dựng cho giai đoạn triage sự cố với các mẫu KQL, luồng thực thi và hướng dẫn thực tế về bảng nhật ký Azure.

Skill alert-manager giúp các nhóm xây dựng khung cảnh báo SEO và GEO cho tình huống tụt hạng, biến động traffic, lỗi kỹ thuật, thay đổi từ đối thủ và dịch chuyển khả năng hiển thị trên AI, dựa trên hướng dẫn ngưỡng và mẫu có thể tái sử dụng.

Skill detecting-stuxnet-style-attacks giúp đội phòng thủ phát hiện các mẫu xâm nhập OT và ICS kiểu Stuxnet, bao gồm sửa đổi logic PLC, giả mạo dữ liệu cảm biến, chiếm quyền máy trạm kỹ sư và di chuyển ngang từ IT sang OT. Hãy dùng skill này cho săn lùng mối đe dọa, phân loại sự cố và giám sát tính toàn vẹn quy trình bằng bằng chứng từ giao thức, máy chủ và tiến trình.

detecting-ransomware-encryption-behavior giúp người phòng thủ phát hiện kiểu mã hóa của ransomware bằng phân tích entropy, giám sát I/O tệp và các heuristic hành vi. Skill này phù hợp cho ứng cứu sự cố, tinh chỉnh SOC và kiểm chứng red-team khi bạn cần nhanh chóng phát hiện thay đổi hàng loạt trên tệp, các đợt đổi tên dồn dập và hoạt động đáng ngờ của tiến trình.

detecting-arp-poisoning-in-network-traffic giúp phát hiện ARP spoofing trong lưu lượng trực tiếp hoặc PCAP bằng ARPWatch, Dynamic ARP Inspection, Wireshark và các kiểm tra bằng Python. Phù hợp cho ứng phó sự cố, sàng lọc SOC và phân tích lặp lại các thay đổi IP-to-MAC, gratuitous ARP và dấu hiệu MITM.

detecting-insider-threat-with-ueba giúp bạn xây dựng các phát hiện UEBA trong Elasticsearch hoặc OpenSearch cho các tình huống đe dọa nội bộ, bao gồm thiết lập baseline hành vi, chấm điểm bất thường, phân tích nhóm đồng đẳng và cảnh báo tương quan cho rò rỉ dữ liệu, lạm dụng đặc quyền và truy cập trái phép. Nó phù hợp với quy trình Incident Response khi dùng detecting-insider-threat-with-ueba.

detecting-insider-threat-behaviors giúp nhà phân tích truy tìm các tín hiệu rủi ro nội bộ như truy cập dữ liệu bất thường, hoạt động ngoài giờ, tải xuống hàng loạt, lạm dụng đặc quyền và hành vi đánh cắp gắn với việc nghỉ việc. Hãy dùng hướng dẫn detecting-insider-threat-behaviors này cho threat hunting, triage kiểu UEBA và threat modeling, với các mẫu quy trình, ví dụ truy vấn SIEM và trọng số rủi ro.

detecting-dnp3-protocol-anomalies giúp phân tích lưu lượng DNP3 trong môi trường SCADA để phát hiện các lệnh điều khiển trái phép, vi phạm giao thức, nỗ lực khởi động lại và các sai lệch so với hành vi nền. Hãy dùng skill detecting-dnp3-protocol-anomalies cho đánh giá bảo mật, tinh chỉnh IDS, và rà soát log Zeek hoặc gói bắt mạng.

detecting-cryptomining-in-cloud giúp đội ngũ an ninh phát hiện hoạt động đào coin trái phép trong các workload cloud bằng cách tương quan giữa các đột biến chi phí, lưu lượng tới cổng khai thác, các phát hiện crypto của GuardDuty và bằng chứng tiến trình lúc chạy. Hãy dùng skill này cho phân loại sự cố, xây dựng phát hiện, và các quy trình Security Audit liên quan đến detecting-cryptomining-in-cloud.

detecting-aws-cloudtrail-anomalies giúp phân tích hoạt động AWS CloudTrail để phát hiện nguồn API bất thường, các hành động xuất hiện lần đầu, các lệnh gọi tần suất cao và hành vi đáng ngờ liên quan đến lộ thông tin xác thực hoặc leo thang đặc quyền. Dùng cho phát hiện bất thường có cấu trúc với boto3, thiết lập đường cơ sở và phân tích các trường sự kiện.

detecting-anomalous-authentication-patterns giúp phân tích nhật ký xác thực để phát hiện đi lại bất khả thi, brute force, password spraying, credential stuffing và hoạt động của tài khoản bị xâm phạm. Được xây dựng cho quy trình Security Audit, SOC, IAM và ứng phó sự cố, với khả năng phát hiện có xét đến đường cơ sở và phân tích đăng nhập dựa trên bằng chứng.

Hướng dẫn deploying-osquery-for-endpoint-monitoring về cách triển khai và cấu hình osquery để quan sát endpoint, giám sát trên toàn bộ đội máy, và hunting mối đe dọa dựa trên SQL. Dùng tài liệu này để lên kế hoạch cài đặt, đọc quy trình làm việc và tài liệu tham chiếu API, đồng thời vận hành các truy vấn theo lịch, thu thập log, và rà soát tập trung trên các endpoint Windows, macOS và Linux.

building-detection-rules-with-sigma giúp nhà phân tích xây dựng các Sigma detection rules có thể tái sử dụng từ threat intel hoặc rule của nhà cung cấp, ánh xạ chúng sang MITRE ATT&CK và chuyển đổi cho các SIEM như Splunk, Elastic và Microsoft Sentinel. Hãy dùng hướng dẫn building-detection-rules-with-sigma này cho quy trình Security Audit, chuẩn hóa và detection-as-code.

Kỹ năng analyzing-web-server-logs-for-intrusion phân tích access logs của Apache và Nginx để phát hiện SQL injection, local file inclusion, directory traversal, dấu vết của scanner, các đợt brute-force và những mẫu request bất thường. Hãy dùng nó cho triage xâm nhập, threat hunting và quy trình Security Audit, với GeoIP enrichment và phát hiện dựa trên signature.

analyzing-dns-logs-for-exfiltration giúp chuyên viên SOC phát hiện DNS tunneling, domain kiểu DGA, lạm dụng TXT và các mẫu C2 ẩn trong log SIEM hoặc Zeek. Hãy dùng skill này cho quy trình Security Audit khi bạn cần phân tích entropy, phát hiện bất thường về lưu lượng truy vấn và hướng dẫn triage thực tế.