Incident Response

detecting-lateral-movement-with-zeek là một skill an ninh mạng dựa trên Zeek dành cho threat hunting và ứng phó sự cố. Skill này giúp phát hiện truy cập SMB admin share, tạo dịch vụ DCE/RPC, NTLM spray, bất thường Kerberos và các lần truyền nội bộ đáng ngờ, dựa trên các log Zeek như `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` và `kerberos.log`.

analyzing-windows-shellbag-artifacts giúp các nhà phân tích DFIR diễn giải các artifact Registry Shellbag của Windows để tái dựng lịch sử duyệt thư mục, truy cập thư mục đã xóa, việc sử dụng thiết bị lưu trữ di động và hoạt động với network share bằng SBECmd và ShellBags Explorer. Đây là hướng dẫn thực tế về analyzing-windows-shellbag-artifacts cho ứng phó sự cố và điều tra số.

analyzing-cobaltstrike-malleable-c2-profiles giúp phân tích Cobalt Strike Malleable C2 profiles thành các chỉ báo C2, đặc tính né tránh và ý tưởng phát hiện cho phân tích mã độc, threat hunting và quy trình Security Audit. Skill này dùng dissect.cobaltstrike và pyMalleableC2 để phân tích profile và beacon config.

exploiting-kerberoasting-with-impacket giúp người kiểm thử được ủy quyền lập kế hoạch Kerberoasting bằng `GetUserSPNs.py` của Impacket, từ liệt kê SPN đến trích xuất ticket TGS, bẻ khóa ngoại tuyến và báo cáo có xét đến khả năng bị phát hiện. Hãy dùng hướng dẫn exploiting-kerberoasting-with-impacket này cho quy trình kiểm thử xâm nhập với ngữ cảnh cài đặt và sử dụng rõ ràng.

detecting-service-account-abuse là một skill săn tìm mối đe doạ để phát hiện việc lạm dụng service account trên dữ liệu telemetry từ Windows, AD, SIEM và EDR. Skill này tập trung vào các đăng nhập tương tác đáng ngờ, leo thang đặc quyền, di chuyển ngang và các bất thường trong truy cập, đồng thời cung cấp mẫu săn tìm, event ID và tham chiếu quy trình để hỗ trợ điều tra lặp lại, nhất quán.

detecting-s3-data-exfiltration-attempts giúp điều tra các khả năng đánh cắp dữ liệu trên AWS S3 bằng cách đối chiếu các sự kiện dữ liệu S3 trong CloudTrail, các finding của GuardDuty, cảnh báo Amazon Macie và mẫu truy cập S3. Hãy dùng skill detecting-s3-data-exfiltration-attempts này cho kiểm toán bảo mật, ứng phó sự cố và phân tích các đợt tải xuống hàng loạt đáng ngờ.

detecting-rdp-brute-force-attacks giúp phân tích Windows Security Event Logs để phát hiện mẫu brute force RDP, bao gồm các lần lỗi 4625 lặp lại, đăng nhập 4624 thành công sau nhiều lần thất bại, logon liên quan đến NLA và mức độ tập trung theo source IP. Hãy dùng skill này cho Security Audit, threat hunting và các cuộc điều tra EVTX có thể lặp lại.

detecting-rootkit-activity là một skill Phân tích Phần mềm độc hại giúp tìm các dấu hiệu rootkit như tiến trình ẩn, system call bị hook, cấu trúc kernel bị sửa đổi, module ẩn và các dấu vết mạng bí mật. Skill này dùng đối chiếu đa nguồn và kiểm tra tính toàn vẹn để hỗ trợ xác thực các máy chủ đáng ngờ khi các công cụ tiêu chuẩn cho kết quả không nhất quán.

analyzing-usb-device-connection-history giúp điều tra lịch sử kết nối thiết bị USB trên Windows bằng các hive registry, event log và `setupapi.dev.log` cho forensic số, điều tra mối đe doạ nội gián và ứng phó sự cố. Skill này hỗ trợ dựng lại timeline, đối chiếu thiết bị và phân tích bằng chứng từ thiết bị lưu trữ rời.

analyzing-browser-forensics-with-hindsight giúp các nhóm Digital Forensics phân tích các artifact của trình duyệt Chromium bằng Hindsight, bao gồm history, downloads, cookies, autofill, bookmarks, metadata thông tin đăng nhập đã lưu, cache và extensions. Dùng nó để tái dựng hoạt động web, xem lại timeline và điều tra các profile của Chrome, Edge, Brave và Opera.

analyzing-bootkit-and-rootkit-samples là một kỹ năng phân tích malware dành cho các cuộc điều tra MBR, VBR, UEFI và rootkit. Hãy dùng nó để kiểm tra boot sector, các mô-đun firmware và các dấu hiệu chống anti-rootkit khi sự xâm nhập vẫn tồn tại bên dưới lớp hệ điều hành. Kỹ năng này phù hợp với nhà phân tích cần một hướng dẫn thực dụng, quy trình rõ ràng và cách phân loại ưu tiên dựa trên bằng chứng cho Malware Analysis.

Kỹ năng detecting-network-anomalies-with-zeek giúp triển khai Zeek để giám sát mạng ở chế độ thụ động, xem lại các log có cấu trúc và xây dựng các phát hiện tùy chỉnh cho beaconing, DNS tunneling và hoạt động giao thức bất thường. Kỹ năng này phù hợp cho threat hunting, ứng phó sự cố, metadata mạng sẵn sàng cho SIEM và quy trình Security Audit — không phải để ngăn chặn inline.

detecting-modbus-command-injection-attacks giúp các nhà phân tích an ninh nhận diện hoạt động ghi Modbus TCP/RTU đáng ngờ, function code bất thường, frame lỗi định dạng và các sai lệch so với baseline trong môi trường ICS và SCADA. Hãy dùng skill này cho phân loại sự cố, giám sát OT và Security Audit khi bạn cần hướng dẫn phát hiện theo ngữ cảnh Modbus, chứ không phải một prompt phát hiện bất thường chung chung.

Skill phát hiện BEC giúp nhà phân tích, đội SOC và người ứng phó sự cố nhận diện các cuộc tấn công Business Email Compromise (BEC) bằng kiểm tra header email, dấu hiệu lừa đảo xã hội, logic phát hiện và quy trình xử lý theo hướng phản ứng. Hãy dùng đây như một hướng dẫn thực hành về phát hiện BEC cho việc triage, xác thực và cô lập sự cố.

detecting-azure-lateral-movement giúp nhà phân tích bảo mật săn tìm hành vi di chuyển ngang trong Azure AD/Entra ID và Microsoft Sentinel bằng cách dùng log kiểm tra Microsoft Graph, telemetry đăng nhập và tương quan KQL. Hãy dùng khi triage sự cố, xây dựng detection, và thực hiện quy trình kiểm toán bảo mật liên quan đến lạm dụng consent, lạm dụng service principal, đánh cắp token và pivot xuyên tenant.

Hướng dẫn cấu hình phát hiện xâm nhập dựa trên host để thiết lập HIDS với Wazuh, OSSEC hoặc AIDE, nhằm giám sát tính toàn vẹn tệp, thay đổi hệ thống và bảo mật endpoint theo hướng tuân thủ cho các workflow Security Audit.

Kỹ năng detecting-t1003-credential-dumping-with-edr dành cho threat hunting với EDR, Sysmon và đối chiếu sự kiện Windows để phát hiện việc đánh cắp thông tin xác thực từ LSASS, SAM, NTDS.dit, LSA secrets và credential đã lưu trong cache. Hãy dùng kỹ năng này để xác thực cảnh báo, khoanh vùng sự cố và giảm false positive bằng quy trình thực hành rõ ràng.

detecting-dcsync-attack-in-active-directory là một skill săn tìm mối đe dọa để phát hiện lạm dụng DCSync trong Active Directory bằng cách đối chiếu các sự kiện 4662, GUID sao chép và các tài khoản DC hợp lệ. Hãy dùng skill này để xác nhận, phân loại ưu tiên và ghi lại hoạt động đánh cắp thông tin xác thực với Splunk, KQL và các script phân tích.

detecting-container-escape-with-falco-rules giúp phát hiện các nỗ lực thoát khỏi container bằng các quy tắc bảo mật runtime Falco. Nội dung tập trung vào tín hiệu syscall, container đặc quyền, lạm dụng đường dẫn của host, khâu xác thực và quy trình ứng phó sự cố cho môi trường Kubernetes và container Linux.

analyzing-malware-persistence-with-autoruns là một skill Sysinternals Autoruns dành cho phân tích mã độc. Skill này giúp bạn kiểm tra cơ chế bám trụ trên Windows như Run keys, services, scheduled tasks, Winlogon, drivers và WMI bằng một quy trình lặp lại được, gồm xuất CSV, rà soát các mục đáng ngờ và tạo phát hiện sẵn sàng cho báo cáo.

hunting-advanced-persistent-threats là một kỹ năng săn tìm mối đe dọa để phát hiện hoạt động kiểu APT trên telemetry từ endpoint, mạng và bộ nhớ. Kỹ năng này giúp nhà phân tích xây dựng các lượt săn dựa trên giả thuyết, ánh xạ phát hiện với MITRE ATT&CK, và biến threat intel thành các truy vấn cùng bước điều tra thực tế thay vì chỉ tìm kiếm rời rạc, tùy hứng.

extracting-windows-event-logs-artifacts giúp bạn trích xuất, phân tích cú pháp và phân tích Windows Event Logs (EVTX) cho điều tra số, ứng phó sự cố và săn tìm mối đe dọa. Skill này hỗ trợ rà soát có cấu trúc các sự kiện đăng nhập, tạo tiến trình, cài dịch vụ, tác vụ theo lịch, thay đổi đặc quyền và xóa log bằng Chainsaw, Hayabusa và EvtxECmd.

Hướng dẫn extracting-memory-artifacts-with-rekall để phân tích ảnh bộ nhớ Windows bằng Rekall. Tìm hiểu cách cài đặt và các mẫu sử dụng để phát hiện tiến trình ẩn, mã bị chèn, VAD đáng ngờ, DLL đã nạp và hoạt động mạng phục vụ Digital Forensics.

Kỹ năng extracting-credentials-from-memory-dump hỗ trợ phân tích các memory dump của Windows để tìm NTLM hash, LSA secret, dữ liệu Kerberos và token bằng quy trình Volatility 3 và pypykatz. Kỹ năng này phù hợp cho Digital Forensics và ứng phó sự cố khi bạn cần bằng chứng có thể bảo vệ được, đánh giá mức độ ảnh hưởng tới tài khoản và hướng dẫn khắc phục từ một dump hợp lệ.