Edr

hunting-advanced-persistent-threats là một kỹ năng săn tìm mối đe dọa để phát hiện hoạt động kiểu APT trên telemetry từ endpoint, mạng và bộ nhớ. Kỹ năng này giúp nhà phân tích xây dựng các lượt săn dựa trên giả thuyết, ánh xạ phát hiện với MITRE ATT&CK, và biến threat intel thành các truy vấn cùng bước điều tra thực tế thay vì chỉ tìm kiếm rời rạc, tùy hứng.

detecting-process-hollowing-technique giúp săn lùng process hollowing (T1055.012) trong telemetry Windows bằng cách tương quan các lần khởi chạy ở trạng thái treo, hành vi can thiệp bộ nhớ, bất thường quan hệ cha-con và dấu vết API. Được xây dựng cho threat hunter, detection engineer và responder cần một quy trình detecting-process-hollowing-technique thực dụng cho workflow Threat Hunting.

Skill detecting-evasion-techniques-in-endpoint-logs giúp săn tìm kỹ thuật né tránh phòng thủ trong log endpoint Windows, bao gồm xóa log, timestomping, chèn tiến trình và vô hiệu hóa công cụ bảo mật. Hãy dùng nó cho threat hunting, detection engineering và triage sự cố với Sysmon, Windows Security hoặc telemetry từ EDR.

detecting-mimikatz-execution-patterns giúp nhà phân tích phát hiện việc thực thi Mimikatz bằng các mẫu dòng lệnh, tín hiệu truy cập LSASS, chỉ báo nhị phân và dấu vết bộ nhớ. Hãy dùng skill detecting-mimikatz-execution-patterns để cài đặt cho Security Audit, hunting và ứng phó sự cố, với mẫu, tài liệu tham khảo và hướng dẫn quy trình đi kèm.

Skill detecting-living-off-the-land-attacks dành cho Security Audit, săn tìm mối đe doạ và ứng phó sự cố. Phát hiện việc lạm dụng các nhị phân Windows hợp lệ như `certutil`, `mshta`, `rundll32` và `regsvr32` bằng dữ liệu tạo tiến trình, dòng lệnh và quan hệ cha-con giữa tiến trình. Hướng dẫn tập trung vào các mẫu phát hiện LOLBin có thể áp dụng ngay, không phải một tài liệu hardening Windows tổng quát.

detecting-insider-threat-behaviors giúp nhà phân tích truy tìm các tín hiệu rủi ro nội bộ như truy cập dữ liệu bất thường, hoạt động ngoài giờ, tải xuống hàng loạt, lạm dụng đặc quyền và hành vi đánh cắp gắn với việc nghỉ việc. Hãy dùng hướng dẫn detecting-insider-threat-behaviors này cho threat hunting, triage kiểu UEBA và threat modeling, với các mẫu quy trình, ví dụ truy vấn SIEM và trọng số rủi ro.

detecting-dll-sideloading-attacks giúp các nhóm Security Audit, threat hunting và ứng phó sự cố phát hiện DLL side-loading bằng Sysmon, EDR, MDE và Splunk. Hướng dẫn detecting-dll-sideloading-attacks này bao gồm ghi chú quy trình, mẫu hunt, ánh xạ tiêu chuẩn và các script để biến những lần nạp DLL đáng ngờ thành các phát hiện có thể lặp lại.

deploying-edr-agent-with-crowdstrike giúp lập kế hoạch, cài đặt và xác minh việc triển khai CrowdStrike Falcon sensor trên các endpoint Windows, macOS và Linux. Dùng skill deploying-edr-agent-with-crowdstrike này để nhận hướng dẫn cài đặt, thiết lập policy, tích hợp telemetry với SIEM và chuẩn bị cho Incident Response.

conducting-malware-incident-response giúp các nhóm IR sàng lọc nghi ngờ nhiễm mã độc, xác nhận lây nhiễm, khoanh vùng mức độ lan rộng, cô lập endpoint và hỗ trợ loại bỏ cùng khôi phục. Skill này được thiết kế cho conducting-malware-incident-response trong quy trình Incident Response, với các bước dựa trên bằng chứng, quyết định dựa trên telemetry và hướng dẫn cô lập thực tế.

building-threat-hunt-hypothesis-framework giúp bạn xây dựng các giả thuyết threat hunt có thể kiểm thử từ threat intelligence, ánh xạ ATT&CK và telemetry. Hãy dùng skill building-threat-hunt-hypothesis-framework này để lập kế hoạch hunt, ánh xạ nguồn dữ liệu, chạy truy vấn và ghi lại phát hiện cho threat hunting và building-threat-hunt-hypothesis-framework trong Threat Modeling.