Endpoint Security

Hướng dẫn cấu hình phát hiện xâm nhập dựa trên host để thiết lập HIDS với Wazuh, OSSEC hoặc AIDE, nhằm giám sát tính toàn vẹn tệp, thay đổi hệ thống và bảo mật endpoint theo hướng tuân thủ cho các workflow Security Audit.

Skill detecting-wmi-persistence giúp các chuyên gia săn tìm mối đe doạ và analyst DFIR phát hiện cơ chế tồn tại bền bỉ qua WMI event subscription trong telemetry Windows bằng Sysmon Event IDs 19, 20 và 21. Dùng nó để nhận diện hoạt động độc hại của EventFilter, EventConsumer và FilterToConsumerBinding, xác thực phát hiện và phân tách persistence của kẻ tấn công với tự động hoá quản trị hợp lệ.

Skill detecting-evasion-techniques-in-endpoint-logs giúp săn tìm kỹ thuật né tránh phòng thủ trong log endpoint Windows, bao gồm xóa log, timestomping, chèn tiến trình và vô hiệu hóa công cụ bảo mật. Hãy dùng nó cho threat hunting, detection engineering và triage sự cố với Sysmon, Windows Security hoặc telemetry từ EDR.

detecting-fileless-attacks-on-endpoints giúp xây dựng các phát hiện cho những cuộc tấn công chỉ tồn tại trong bộ nhớ trên endpoint Windows, bao gồm lạm dụng PowerShell, duy trì bám trụ qua WMI, reflective loading và tiêm tiến trình. Phù hợp cho Security Audit, săn tìm mối đe dọa và kỹ thuật phát hiện với Sysmon, AMSI và PowerShell logging.

Hướng dẫn deploying-osquery-for-endpoint-monitoring về cách triển khai và cấu hình osquery để quan sát endpoint, giám sát trên toàn bộ đội máy, và hunting mối đe dọa dựa trên SQL. Dùng tài liệu này để lên kế hoạch cài đặt, đọc quy trình làm việc và tài liệu tham chiếu API, đồng thời vận hành các truy vấn theo lịch, thu thập log, và rà soát tập trung trên các endpoint Windows, macOS và Linux.

Kỹ năng cấu hình cài đặt nâng cao Windows Defender dành cho việc hardening Microsoft Defender for Endpoint. Bao gồm ASR rules, controlled folder access, network protection, exploit protection, lập kế hoạch triển khai, và hướng dẫn rollout ưu tiên audit cho kỹ sư bảo mật, quản trị viên IT và quy trình Security Audit.