Cybersecurity

detecting-shadow-it-cloud-usage giúp phát hiện việc sử dụng SaaS và dịch vụ cloud trái phép từ proxy logs, DNS queries và netflow. Skill này phân loại domain, đối chiếu với danh sách được phê duyệt, và hỗ trợ quy trình kiểm tra an ninh bằng bằng chứng có cấu trúc từ hướng dẫn của detecting-shadow-it-cloud-usage skill.

Kỹ năng detecting-network-anomalies-with-zeek giúp triển khai Zeek để giám sát mạng ở chế độ thụ động, xem lại các log có cấu trúc và xây dựng các phát hiện tùy chỉnh cho beaconing, DNS tunneling và hoạt động giao thức bất thường. Kỹ năng này phù hợp cho threat hunting, ứng phó sự cố, metadata mạng sẵn sàng cho SIEM và quy trình Security Audit — không phải để ngăn chặn inline.

detecting-beaconing-patterns-with-zeek giúp phân tích các khoảng thời gian trong Zeek `conn.log` để phát hiện beaconing kiểu C2. Kỹ năng này dùng ZAT, nhóm các luồng theo nguồn, đích và cổng, rồi chấm điểm các mẫu có độ dao động thấp bằng các kiểm tra thống kê. Phù hợp cho SOC, threat hunting, ứng phó sự cố, và các quy trình Security Audit cần detecting-beaconing-patterns-with-zeek.

building-patch-tuesday-response-process giúp các nhóm xây dựng quy trình Microsoft Patch Tuesday có thể lặp lại để phân loại khuyến nghị bảo mật, ưu tiên rủi ro, kiểm thử bản vá, phê duyệt triển khai và theo dõi tuân thủ. Hữu ích cho vận hành an ninh, quản lý lỗ hổng và building-patch-tuesday-response-process trong Quản lý dự án.

analyzing-supply-chain-malware-artifacts là một skill phân tích malware dùng để truy vết các bản cập nhật bị cài trojan, dependency bị đầu độc và việc can thiệp vào pipeline build. Hãy dùng nó để so sánh artefact đáng tin cậy và không đáng tin cậy, trích xuất chỉ dấu, đánh giá phạm vi bị xâm nhập, và báo cáo phát hiện với ít phải phỏng đoán hơn.

Kỹ năng generating-threat-intelligence-reports biến dữ liệu mạng đã phân tích thành các báo cáo threat intelligence chiến lược, vận hành, chiến thuật hoặc flash dành cho lãnh đạo, đội SOC, phụ trách IR và nhà phân tích. Kỹ năng này hỗ trợ finished intelligence, ngôn ngữ thể hiện mức độ tin cậy, xử lý TLP và các khuyến nghị rõ ràng cho Report Writing.

evaluating-threat-intelligence-platforms giúp bạn so sánh các sản phẩm TIP theo khả năng nạp feed, hỗ trợ STIX/TAXII, tự động hóa, quy trình làm việc của nhà phân tích, tích hợp và tổng chi phí sở hữu. Hãy dùng hướng dẫn evaluating-threat-intelligence-platforms này cho mua sắm, di chuyển nền tảng hoặc lập kế hoạch trưởng thành, bao gồm cả evaluating-threat-intelligence-platforms cho Threat Modeling khi lựa chọn nền tảng ảnh hưởng đến khả năng truy vết và chia sẻ bằng chứng.

detecting-living-off-the-land-with-lolbas giúp phát hiện hành vi lạm dụng LOLBAS bằng Sysmon và Windows Event Logs, dựa trên telemetry tiến trình, ngữ cảnh cha–con, các quy tắc Sigma và một hướng dẫn thực hành cho triage, hunting và soạn thảo rule. Kỹ năng này hỗ trợ detecting-living-off-the-land-with-lolbas cho Threat Modeling và quy trình làm việc của analyst với certutil, regsvr32, mshta và rundll32.

Skill detecting-living-off-the-land-attacks dành cho Security Audit, săn tìm mối đe doạ và ứng phó sự cố. Phát hiện việc lạm dụng các nhị phân Windows hợp lệ như `certutil`, `mshta`, `rundll32` và `regsvr32` bằng dữ liệu tạo tiến trình, dòng lệnh và quan hệ cha-con giữa tiến trình. Hướng dẫn tập trung vào các mẫu phát hiện LOLBin có thể áp dụng ngay, không phải một tài liệu hardening Windows tổng quát.

detecting-lateral-movement-in-network giúp phát hiện lateral movement sau khi bị xâm nhập trong mạng doanh nghiệp bằng cách sử dụng Windows event logs, Zeek telemetry, SMB, RDP và tương quan SIEM. Skill này hữu ích cho threat hunting, incident response và các đợt Security Audit liên quan đến detecting-lateral-movement-in-network, với quy trình phát hiện thực tiễn, dễ áp dụng.

detecting-golden-ticket-forgery phát hiện giả mạo Kerberos Golden Ticket bằng cách phân tích Windows Event ID 4769, việc hạ cấp sang RC4 (0x17), thời lượng ticket bất thường và các bất thường ở krbtgt trong Splunk và Elastic. Được xây dựng cho Security Audit, điều tra sự cố và threat hunting với hướng dẫn phát hiện thực tế.

detecting-dll-sideloading-attacks giúp các nhóm Security Audit, threat hunting và ứng phó sự cố phát hiện DLL side-loading bằng Sysmon, EDR, MDE và Splunk. Hướng dẫn detecting-dll-sideloading-attacks này bao gồm ghi chú quy trình, mẫu hunt, ánh xạ tiêu chuẩn và các script để biến những lần nạp DLL đáng ngờ thành các phát hiện có thể lặp lại.

detecting-deepfake-audio-in-vishing-attacks giúp các đội an ninh phân tích âm thanh để phát hiện giọng nói do AI tạo ra trong các vụ vishing, gian lận và mạo danh. Skill này trích xuất các đặc trưng dựa trên phổ và MFCC, chấm điểm các mẫu đáng ngờ, và tạo báo cáo theo phong cách điều tra số để xem xét. Phù hợp nhất cho quy trình Security Audit và ứng phó sự cố.

Skill detecting-credential-dumping-techniques giúp bạn phát hiện truy cập LSASS, xuất SAM, đánh cắp NTDS.dit và lạm dụng comsvcs.dll MiniDump bằng Sysmon Event ID 10, Windows Security logs và các quy tắc tương quan SIEM. Skill này được xây dựng cho các quy trình threat hunting, detection engineering và Security Audit.

detecting-attacks-on-historian-servers giúp phát hiện hoạt động đáng ngờ trên các OT historian server như OSIsoft PI, Ignition và Wonderware tại ranh giới IT/OT. Hãy dùng hướng dẫn detecting-attacks-on-historian-servers này cho Incident Response, truy vấn trái phép, thao túng dữ liệu, lạm dụng API và sàng lọc di chuyển ngang.

detecting-api-enumeration-attacks giúp các nhóm Kiểm toán An ninh phát hiện dò quét API, BOLA và IDOR bằng cách phân tích ID tuần tự, các đợt 404 dồn dập, lỗi xác thực và các đường dẫn khám phá tài liệu. Kỹ năng này được xây dựng cho hướng dẫn phát hiện dựa trên log, soạn thảo rule và rà soát thực tế các mẫu lạm dụng API.

correlating-threat-campaigns giúp các nhà phân tích Threat Intelligence liên kết sự cố, IOC và TTP thành bằng chứng ở cấp chiến dịch. Hãy dùng skill này để so sánh các sự kiện lịch sử, tách các liên kết mạnh khỏi các khớp yếu, và xây dựng cụm phân tích có cơ sở vững chắc cho báo cáo MISP, SIEM và CTI.

Kỹ năng configuring-pfsense-firewall-rules giúp bạn thiết kế các rule pfSense cho phân đoạn mạng, NAT, truy cập VPN và điều tiết lưu lượng. Hãy dùng nó để tạo mới hoặc rà soát chính sách tường lửa cho các vùng LAN, DMZ, guest và IoT, với hướng dẫn thực tế cho quy trình cài đặt, sử dụng và kiểm tra bảo mật.

configuring-ldap-security-hardening giúp kỹ sư bảo mật và kiểm toán viên đánh giá rủi ro LDAP, bao gồm anonymous bind, ký yếu, thiếu LDAPS và lỗ hổng channel binding. Hãy dùng hướng dẫn configuring-ldap-security-hardening này để rà soát tài liệu tham chiếu, chạy công cụ audit Python và tạo khuyến nghị khắc phục thực tế cho Security Audit.

conducting-pass-the-ticket-attack là một kỹ năng Kiểm toán bảo mật và red team để lập kế hoạch và ghi lại các quy trình Pass-the-Ticket. Kỹ năng này giúp bạn rà soát vé Kerberos, ánh xạ các tín hiệu phát hiện và tạo luồng xác thực hoặc báo cáo có cấu trúc bằng conducting-pass-the-ticket-attack.

conducting-memory-forensics-with-volatility giúp bạn phân tích các bản dump RAM bằng Volatility 3 để phát hiện mã chèn vào bộ nhớ, tiến trình đáng ngờ, kết nối mạng, hành vi đánh cắp thông tin xác thực và hoạt động kernel ẩn. Đây là một kỹ năng conducting-memory-forensics-with-volatility thực dụng cho Digital Forensics và triage ứng phó sự cố.

Skill conducting-external-reconnaissance-with-osint dành cho việc trinh sát bên ngoài thụ động, lập bản đồ bề mặt tấn công và chuẩn bị kiểm toán bảo mật bằng các nguồn công khai như DNS, crt.sh, Shodan, GitHub và dữ liệu rò rỉ. Được xây dựng cho hoạt động trinh sát có ủy quyền, với kiểm soát phạm vi rõ ràng, tách biệt nguồn dữ liệu và các phát hiện thực tiễn.

Hướng dẫn conducting-domain-persistence-with-dcsync dành cho công việc kiểm tra an ninh Active Directory được ủy quyền. Tìm hiểu cách cài đặt, sử dụng và quy trình làm việc để đánh giá quyền DCSync, mức độ lộ KRBTGT, rủi ro Golden Ticket và các bước khắc phục bằng các script, tài liệu tham khảo và mẫu báo cáo đi kèm.

conducting-api-security-testing giúp người kiểm thử được ủy quyền đánh giá các API REST, GraphQL và gRPC về xác thực, phân quyền, giới hạn tốc độ, xác thực đầu vào và các lỗi logic nghiệp vụ, theo quy trình OWASP API Security Top 10. Hãy dùng skill này cho kiểm thử bảo mật API có cấu trúc, dựa trên bằng chứng và các đợt rà soát kiểm toán bảo mật.