Mitre Attack

detecting-service-account-abuse là một skill săn tìm mối đe doạ để phát hiện việc lạm dụng service account trên dữ liệu telemetry từ Windows, AD, SIEM và EDR. Skill này tập trung vào các đăng nhập tương tác đáng ngờ, leo thang đặc quyền, di chuyển ngang và các bất thường trong truy cập, đồng thời cung cấp mẫu săn tìm, event ID và tham chiếu quy trình để hỗ trợ điều tra lặp lại, nhất quán.

analyzing-campaign-attribution-evidence giúp analyst cân nhắc độ chồng lấn hạ tầng, mức độ nhất quán với ATT&CK, độ tương đồng của malware, thời điểm và dấu vết ngôn ngữ để đưa ra kết luận quy kết chiến dịch có cơ sở vững chắc. Dùng hướng dẫn analyzing-campaign-attribution-evidence này cho CTI, phân tích sự cố và rà soát Security Audit.

hunting-advanced-persistent-threats là một kỹ năng săn tìm mối đe dọa để phát hiện hoạt động kiểu APT trên telemetry từ endpoint, mạng và bộ nhớ. Kỹ năng này giúp nhà phân tích xây dựng các lượt săn dựa trên giả thuyết, ánh xạ phát hiện với MITRE ATT&CK, và biến threat intel thành các truy vấn cùng bước điều tra thực tế thay vì chỉ tìm kiếm rời rạc, tùy hứng.

executing-red-team-exercise là một skill an ninh mạng để lập kế hoạch và theo dõi các bài red team sát thực tế. Skill này hỗ trợ mô phỏng đối thủ trên các giai đoạn trinh sát, chọn kỹ thuật, thực thi và rà soát khoảng trống phát hiện, nên rất hữu ích cho công việc Security Audit và các đánh giá bám sát ATT&CK.

Skill detecting-wmi-persistence giúp các chuyên gia săn tìm mối đe doạ và analyst DFIR phát hiện cơ chế tồn tại bền bỉ qua WMI event subscription trong telemetry Windows bằng Sysmon Event IDs 19, 20 và 21. Dùng nó để nhận diện hoạt động độc hại của EventFilter, EventConsumer và FilterToConsumerBinding, xác thực phát hiện và phân tách persistence của kẻ tấn công với tự động hoá quản trị hợp lệ.

detecting-process-hollowing-technique giúp săn lùng process hollowing (T1055.012) trong telemetry Windows bằng cách tương quan các lần khởi chạy ở trạng thái treo, hành vi can thiệp bộ nhớ, bất thường quan hệ cha-con và dấu vết API. Được xây dựng cho threat hunter, detection engineer và responder cần một quy trình detecting-process-hollowing-technique thực dụng cho workflow Threat Hunting.

detecting-privilege-escalation-attempts giúp săn tìm leo thang đặc quyền trên Windows và Linux, bao gồm thao túng token, UAC bypass, đường dẫn dịch vụ không được đặt trong dấu ngoặc kép, khai thác kernel và lạm dụng sudo/doas. Phù hợp cho các đội threat hunting cần một quy trình thực chiến, truy vấn tham chiếu và script hỗ trợ.

detecting-mimikatz-execution-patterns giúp nhà phân tích phát hiện việc thực thi Mimikatz bằng các mẫu dòng lệnh, tín hiệu truy cập LSASS, chỉ báo nhị phân và dấu vết bộ nhớ. Hãy dùng skill detecting-mimikatz-execution-patterns để cài đặt cho Security Audit, hunting và ứng phó sự cố, với mẫu, tài liệu tham khảo và hướng dẫn quy trình đi kèm.

Skill detecting-living-off-the-land-attacks dành cho Security Audit, săn tìm mối đe doạ và ứng phó sự cố. Phát hiện việc lạm dụng các nhị phân Windows hợp lệ như `certutil`, `mshta`, `rundll32` và `regsvr32` bằng dữ liệu tạo tiến trình, dòng lệnh và quan hệ cha-con giữa tiến trình. Hướng dẫn tập trung vào các mẫu phát hiện LOLBin có thể áp dụng ngay, không phải một tài liệu hardening Windows tổng quát.

Skill phát hiện Kerberoasting giúp săn tìm Kerberoasting bằng cách nhận diện các yêu cầu Kerberos TGS đáng ngờ, kiểu mã hóa vé yếu và các mẫu hành vi của service account. Phù hợp cho các workflow SIEM, EDR, EVTX và Threat Modeling với các mẫu phát hiện thực tế cùng hướng dẫn tinh chỉnh để giảm nhiễu.

detecting-insider-threat-behaviors giúp nhà phân tích truy tìm các tín hiệu rủi ro nội bộ như truy cập dữ liệu bất thường, hoạt động ngoài giờ, tải xuống hàng loạt, lạm dụng đặc quyền và hành vi đánh cắp gắn với việc nghỉ việc. Hãy dùng hướng dẫn detecting-insider-threat-behaviors này cho threat hunting, triage kiểu UEBA và threat modeling, với các mẫu quy trình, ví dụ truy vấn SIEM và trọng số rủi ro.

detecting-dll-sideloading-attacks giúp các nhóm Security Audit, threat hunting và ứng phó sự cố phát hiện DLL side-loading bằng Sysmon, EDR, MDE và Splunk. Hướng dẫn detecting-dll-sideloading-attacks này bao gồm ghi chú quy trình, mẫu hunt, ánh xạ tiêu chuẩn và các script để biến những lần nạp DLL đáng ngờ thành các phát hiện có thể lặp lại.

detecting-command-and-control-over-dns là một skill an ninh mạng để phát hiện C2 qua DNS, bao gồm tunneling, beaconing, domain DGA và lạm dụng TXT/CNAME. Skill này hỗ trợ nhà phân tích SOC, threat hunter và kiểm tra an ninh với các kiểm tra entropy, tương quan passive DNS, cùng quy trình phát hiện kiểu Zeek hoặc Suricata.

correlating-threat-campaigns giúp các nhà phân tích Threat Intelligence liên kết sự cố, IOC và TTP thành bằng chứng ở cấp chiến dịch. Hãy dùng skill này để so sánh các sự kiện lịch sử, tách các liên kết mạnh khỏi các khớp yếu, và xây dựng cụm phân tích có cơ sở vững chắc cho báo cáo MISP, SIEM và CTI.

Skill conducting-post-incident-lessons-learned giúp các nhóm Incident Response tổ chức đánh giá sau sự cố theo quy trình rõ ràng, xây dựng dòng thời gian dựa trên факт, xác định nguyên nhân gốc rễ, ghi lại điều đã hiệu quả và chưa hiệu quả, rồi biến mỗi sự cố thành các cải tiến đo lường được với người phụ trách, thời hạn và cập nhật playbook.

conducting-pass-the-ticket-attack là một kỹ năng Kiểm toán bảo mật và red team để lập kế hoạch và ghi lại các quy trình Pass-the-Ticket. Kỹ năng này giúp bạn rà soát vé Kerberos, ánh xạ các tín hiệu phát hiện và tạo luồng xác thực hoặc báo cáo có cấu trúc bằng conducting-pass-the-ticket-attack.

conducting-cloud-penetration-testing giúp bạn lập kế hoạch và thực hiện các đánh giá đám mây được ủy quyền trên AWS, Azure và GCP. Dùng nó để tìm các cấu hình IAM sai, lộ metadata, tài nguyên công khai và các đường leo thang đặc quyền, rồi chuyển kết quả thành báo cáo kiểm toán bảo mật. Skill này phù hợp với quy trình conducting-cloud-penetration-testing trong các workflow Security Audit.

Skill collecting-threat-intelligence-with-misp giúp bạn thu thập, chuẩn hóa, tìm kiếm và xuất threat intelligence trong MISP. Dùng hướng dẫn collecting-threat-intelligence-with-misp này cho feeds, quy trình PyMISP, lọc sự kiện, giảm warninglist và các thao tác collecting-threat-intelligence-with-misp thực tế cho Threat Modeling và vận hành CTI.

Skill building-threat-intelligence-platform dành cho việc thiết kế, triển khai và rà soát một threat intelligence platform với MISP, OpenCTI, TheHive, Cortex, STIX/TAXII và Elasticsearch. Phù hợp cho hướng dẫn cài đặt, quy trình sử dụng và lập kế hoạch Security Audit, dựa trên tham chiếu từ repository và các script đi kèm.

building-threat-hunt-hypothesis-framework giúp bạn xây dựng các giả thuyết threat hunt có thể kiểm thử từ threat intelligence, ánh xạ ATT&CK và telemetry. Hãy dùng skill building-threat-hunt-hypothesis-framework này để lập kế hoạch hunt, ánh xạ nguồn dữ liệu, chạy truy vấn và ghi lại phát hiện cho threat hunting và building-threat-hunt-hypothesis-framework trong Threat Modeling.

building-threat-actor-profile-from-osint giúp các nhóm threat intelligence biến OSINT thành hồ sơ tác nhân đe dọa có cấu trúc. Skill này hỗ trợ lập hồ sơ cho các nhóm hoặc chiến dịch cụ thể, với ánh xạ ATT&CK, tương quan hạ tầng, truy vết nguồn và ghi chú độ tin cậy để phục vụ phân tích có cơ sở.

Skill building-soc-playbook-for-ransomware dành cho các đội SOC cần một playbook ứng phó ransomware có cấu trúc rõ ràng. Nội dung bao gồm các tín hiệu phát hiện, cô lập, xử lý triệt để, khôi phục và quy trình sẵn sàng cho kiểm toán, bám sát NIST SP 800-61 và MITRE ATT&CK. Phù hợp cho việc xây dựng playbook thực tế, diễn tập tabletop và hỗ trợ Audit bảo mật.

building-detection-rules-with-sigma giúp nhà phân tích xây dựng các Sigma detection rules có thể tái sử dụng từ threat intel hoặc rule của nhà cung cấp, ánh xạ chúng sang MITRE ATT&CK và chuyển đổi cho các SIEM như Splunk, Elastic và Microsoft Sentinel. Hãy dùng hướng dẫn building-detection-rules-with-sigma này cho quy trình Security Audit, chuẩn hóa và detection-as-code.

building-detection-rule-with-splunk-spl giúp các nhà phân tích SOC và kỹ sư phát hiện xây dựng các truy vấn tương quan Splunk SPL để phát hiện mối đe dọa, tinh chỉnh và rà soát Security Audit. Dùng skill này để biến một brief phát hiện thành rule có thể triển khai, kèm mapping MITRE, enrichment và hướng dẫn xác thực.