Elastic

detecting-service-account-abuse là một skill săn tìm mối đe doạ để phát hiện việc lạm dụng service account trên dữ liệu telemetry từ Windows, AD, SIEM và EDR. Skill này tập trung vào các đăng nhập tương tác đáng ngờ, leo thang đặc quyền, di chuyển ngang và các bất thường trong truy cập, đồng thời cung cấp mẫu săn tìm, event ID và tham chiếu quy trình để hỗ trợ điều tra lặp lại, nhất quán.

detecting-pass-the-ticket-attacks giúp phát hiện hoạt động Kerberos Pass-the-Ticket bằng cách tương quan các Windows Security Event ID 4768, 4769 và 4771. Hãy dùng nó để threat hunting trong Splunk hoặc Elastic nhằm phát hiện việc tái sử dụng ticket, hạ cấp RC4 và lưu lượng TGS bất thường, kèm truy vấn thực tế và hướng dẫn về field.

deploying-edr-agent-with-crowdstrike giúp lập kế hoạch, cài đặt và xác minh việc triển khai CrowdStrike Falcon sensor trên các endpoint Windows, macOS và Linux. Dùng skill deploying-edr-agent-with-crowdstrike này để nhận hướng dẫn cài đặt, thiết lập policy, tích hợp telemetry với SIEM và chuẩn bị cho Incident Response.

building-incident-response-dashboard giúp các nhóm xây dựng dashboard ứng phó sự cố theo thời gian thực trong Splunk, Elastic hoặc Grafana để theo dõi sự cố đang diễn ra, trạng thái cô lập, tài sản bị ảnh hưởng, mức độ lan truyền IOC và mốc thời gian xử lý. Hãy dùng skill building-incident-response-dashboard này khi bạn cần một dashboard tập trung cho nhà phân tích SOC, trưởng điều phối sự cố và ban lãnh đạo.

building-detection-rules-with-sigma giúp nhà phân tích xây dựng các Sigma detection rules có thể tái sử dụng từ threat intel hoặc rule của nhà cung cấp, ánh xạ chúng sang MITRE ATT&CK và chuyển đổi cho các SIEM như Splunk, Elastic và Microsoft Sentinel. Hãy dùng hướng dẫn building-detection-rules-with-sigma này cho quy trình Security Audit, chuẩn hóa và detection-as-code.