Threat Intelligence

Kỹ năng building-ioc-defanging-and-sharing-pipeline giúp trích xuất IOC, defang URL, IP, domain, email và hash, sau đó chuyển đổi và chia sẻ chúng dưới dạng STIX 2.1 qua TAXII hoặc MISP cho quy trình kiểm toán bảo mật và threat intel.

building-incident-timeline-with-timesketch giúp các đội DFIR xây dựng dòng thời gian sự cố cộng tác trong Timesketch bằng cách nạp dữ liệu bằng chứng Plaso, CSV hoặc JSONL, chuẩn hóa dấu thời gian, đối chiếu sự kiện và ghi lại chuỗi tấn công cho việc phân tích, xử lý ban đầu và báo cáo sự cố.

Kỹ năng phát hiện hành vi mã độc di động phân tích các ứng dụng Android và iOS đáng ngờ để tìm lạm dụng quyền, hoạt động lúc chạy, chỉ dấu mạng và các mẫu hành vi giống malware. Hãy dùng kỹ năng này cho khâu sàng lọc, ứng phó sự cố và phát hiện hành vi mã độc di động trong quy trình Security Audit, với phân tích có bằng chứng cho thiết bị di động.

Skill phát hiện BEC giúp nhà phân tích, đội SOC và người ứng phó sự cố nhận diện các cuộc tấn công Business Email Compromise (BEC) bằng kiểm tra header email, dấu hiệu lừa đảo xã hội, logic phát hiện và quy trình xử lý theo hướng phản ứng. Hãy dùng đây như một hướng dẫn thực hành về phát hiện BEC cho việc triage, xác thực và cô lập sự cố.

detecting-beaconing-patterns-with-zeek giúp phân tích các khoảng thời gian trong Zeek `conn.log` để phát hiện beaconing kiểu C2. Kỹ năng này dùng ZAT, nhóm các luồng theo nguồn, đích và cổng, rồi chấm điểm các mẫu có độ dao động thấp bằng các kiểm tra thống kê. Phù hợp cho SOC, threat hunting, ứng phó sự cố, và các quy trình Security Audit cần detecting-beaconing-patterns-with-zeek.

analyzing-supply-chain-malware-artifacts là một skill phân tích malware dùng để truy vết các bản cập nhật bị cài trojan, dependency bị đầu độc và việc can thiệp vào pipeline build. Hãy dùng nó để so sánh artefact đáng tin cậy và không đáng tin cậy, trích xuất chỉ dấu, đánh giá phạm vi bị xâm nhập, và báo cáo phát hiện với ít phải phỏng đoán hơn.

analyzing-ransomware-network-indicators giúp phân tích `Zeek conn.log` và `NetFlow` để phát hiện beaconing C2, TOR exit, exfiltration và DNS đáng ngờ cho kiểm toán bảo mật và ứng phó sự cố.

analyzing-ransomware-payment-wallets là một skill pháp chứng blockchain chỉ đọc, dùng để truy vết ví thanh toán ransomware, theo dõi dòng tiền và gom cụm các địa chỉ liên quan cho kiểm toán bảo mật và ứng phó sự cố. Hãy dùng nó khi bạn có địa chỉ BTC, hash giao dịch hoặc một ví bị nghi ngờ và cần hỗ trợ quy kết có bằng chứng.

analyzing-ransomware-leak-site-intelligence giúp theo dõi các site rò rỉ dữ liệu của ransomware, trích xuất tín hiệu về nạn nhân và nhóm tấn công, đồng thời tạo ra tình báo mối đe dọa có cấu trúc cho ứng phó sự cố, đánh giá rủi ro theo ngành và theo dõi đối thủ.

analyzing-cloud-storage-access-patterns giúp các nhóm bảo mật phát hiện truy cập bất thường vào lưu trữ đám mây trên AWS S3, GCS và Azure Blob Storage. Kỹ năng này phân tích nhật ký kiểm toán để tìm các đợt tải xuống hàng loạt, IP nguồn mới, lời gọi API bất thường, liệt kê bucket, truy cập ngoài giờ và dấu hiệu exfiltration có thể xảy ra bằng cách kiểm tra theo baseline và bất thường.

hunting-advanced-persistent-threats là một kỹ năng săn tìm mối đe dọa để phát hiện hoạt động kiểu APT trên telemetry từ endpoint, mạng và bộ nhớ. Kỹ năng này giúp nhà phân tích xây dựng các lượt săn dựa trên giả thuyết, ánh xạ phát hiện với MITRE ATT&CK, và biến threat intel thành các truy vấn cùng bước điều tra thực tế thay vì chỉ tìm kiếm rời rạc, tùy hứng.

Kỹ năng generating-threat-intelligence-reports biến dữ liệu mạng đã phân tích thành các báo cáo threat intelligence chiến lược, vận hành, chiến thuật hoặc flash dành cho lãnh đạo, đội SOC, phụ trách IR và nhà phân tích. Kỹ năng này hỗ trợ finished intelligence, ngôn ngữ thể hiện mức độ tin cậy, xử lý TLP và các khuyến nghị rõ ràng cho Report Writing.

Hướng dẫn skill extracting-iocs-from-malware-samples cho phân tích malware: trích xuất hash, IP, domain, URL, artifact trên host và tín hiệu xác thực từ mẫu để phục vụ threat intel và phát hiện.

evaluating-threat-intelligence-platforms giúp bạn so sánh các sản phẩm TIP theo khả năng nạp feed, hỗ trợ STIX/TAXII, tự động hóa, quy trình làm việc của nhà phân tích, tích hợp và tổng chi phí sở hữu. Hãy dùng hướng dẫn evaluating-threat-intelligence-platforms này cho mua sắm, di chuyển nền tảng hoặc lập kế hoạch trưởng thành, bao gồm cả evaluating-threat-intelligence-platforms cho Threat Modeling khi lựa chọn nền tảng ảnh hưởng đến khả năng truy vết và chia sẻ bằng chứng.

detecting-privilege-escalation-attempts giúp săn tìm leo thang đặc quyền trên Windows và Linux, bao gồm thao túng token, UAC bypass, đường dẫn dịch vụ không được đặt trong dấu ngoặc kép, khai thác kernel và lạm dụng sudo/doas. Phù hợp cho các đội threat hunting cần một quy trình thực chiến, truy vấn tham chiếu và script hỗ trợ.

Skill detecting-living-off-the-land-attacks dành cho Security Audit, săn tìm mối đe doạ và ứng phó sự cố. Phát hiện việc lạm dụng các nhị phân Windows hợp lệ như `certutil`, `mshta`, `rundll32` và `regsvr32` bằng dữ liệu tạo tiến trình, dòng lệnh và quan hệ cha-con giữa tiến trình. Hướng dẫn tập trung vào các mẫu phát hiện LOLBin có thể áp dụng ngay, không phải một tài liệu hardening Windows tổng quát.

Skill phát hiện Kerberoasting giúp săn tìm Kerberoasting bằng cách nhận diện các yêu cầu Kerberos TGS đáng ngờ, kiểu mã hóa vé yếu và các mẫu hành vi của service account. Phù hợp cho các workflow SIEM, EDR, EVTX và Threat Modeling với các mẫu phát hiện thực tế cùng hướng dẫn tinh chỉnh để giảm nhiễu.

detecting-insider-threat-with-ueba giúp bạn xây dựng các phát hiện UEBA trong Elasticsearch hoặc OpenSearch cho các tình huống đe dọa nội bộ, bao gồm thiết lập baseline hành vi, chấm điểm bất thường, phân tích nhóm đồng đẳng và cảnh báo tương quan cho rò rỉ dữ liệu, lạm dụng đặc quyền và truy cập trái phép. Nó phù hợp với quy trình Incident Response khi dùng detecting-insider-threat-with-ueba.

detecting-insider-threat-behaviors giúp nhà phân tích truy tìm các tín hiệu rủi ro nội bộ như truy cập dữ liệu bất thường, hoạt động ngoài giờ, tải xuống hàng loạt, lạm dụng đặc quyền và hành vi đánh cắp gắn với việc nghỉ việc. Hãy dùng hướng dẫn detecting-insider-threat-behaviors này cho threat hunting, triage kiểu UEBA và threat modeling, với các mẫu quy trình, ví dụ truy vấn SIEM và trọng số rủi ro.

detecting-email-account-compromise giúp nhân viên ứng cứu sự cố và nhà phân tích SOC điều tra việc chiếm quyền hộp thư trên Microsoft 365 và Google Workspace bằng cách kiểm tra đăng nhập đáng ngờ, lạm dụng inbox rule, chuyển tiếp ra ngoài, cấp quyền OAuth và hoạt động trên Graph/audit log. Hãy dùng đây như một hướng dẫn thực tiễn để phát hiện chiếm đoạt tài khoản email, phục vụ sàng lọc nhanh.

detecting-dll-sideloading-attacks giúp các nhóm Security Audit, threat hunting và ứng phó sự cố phát hiện DLL side-loading bằng Sysmon, EDR, MDE và Splunk. Hướng dẫn detecting-dll-sideloading-attacks này bao gồm ghi chú quy trình, mẫu hunt, ánh xạ tiêu chuẩn và các script để biến những lần nạp DLL đáng ngờ thành các phát hiện có thể lặp lại.

Skill detecting-credential-dumping-techniques giúp bạn phát hiện truy cập LSASS, xuất SAM, đánh cắp NTDS.dit và lạm dụng comsvcs.dll MiniDump bằng Sysmon Event ID 10, Windows Security logs và các quy tắc tương quan SIEM. Skill này được xây dựng cho các quy trình threat hunting, detection engineering và Security Audit.

detecting-command-and-control-over-dns là một skill an ninh mạng để phát hiện C2 qua DNS, bao gồm tunneling, beaconing, domain DGA và lạm dụng TXT/CNAME. Skill này hỗ trợ nhà phân tích SOC, threat hunter và kiểm tra an ninh với các kiểm tra entropy, tương quan passive DNS, cùng quy trình phát hiện kiểu Zeek hoặc Suricata.

Phát hiện business email compromise (BEC) bằng AI với NLP, stylometry, tín hiệu hành vi và ngữ cảnh quan hệ. Kỹ năng detecting-business-email-compromise-with-ai này giúp các đội SOC, fraud và Security Audit chấm điểm email đáng ngờ, giải thích tín hiệu rủi ro, và quyết định nên cách ly, cảnh báo hay escalte.