Sentinel

detecting-service-account-abuse là một skill săn tìm mối đe doạ để phát hiện việc lạm dụng service account trên dữ liệu telemetry từ Windows, AD, SIEM và EDR. Skill này tập trung vào các đăng nhập tương tác đáng ngờ, leo thang đặc quyền, di chuyển ngang và các bất thường trong truy cập, đồng thời cung cấp mẫu săn tìm, event ID và tham chiếu quy trình để hỗ trợ điều tra lặp lại, nhất quán.

detecting-azure-service-principal-abuse giúp phát hiện, điều tra và ghi lại hoạt động đáng ngờ của Microsoft Entra ID service principal trong Azure. Hãy dùng nó cho Security Audit, ứng phó sự cố trên cloud và threat hunting để rà soát thay đổi thông tin xác thực, lạm dụng admin consent, gán vai trò, đường dẫn sở hữu và bất thường đăng nhập.

detecting-azure-lateral-movement giúp nhà phân tích bảo mật săn tìm hành vi di chuyển ngang trong Azure AD/Entra ID và Microsoft Sentinel bằng cách dùng log kiểm tra Microsoft Graph, telemetry đăng nhập và tương quan KQL. Hãy dùng khi triage sự cố, xây dựng detection, và thực hiện quy trình kiểm toán bảo mật liên quan đến lạm dụng consent, lạm dụng service principal, đánh cắp token và pivot xuyên tenant.

detecting-fileless-attacks-on-endpoints giúp xây dựng các phát hiện cho những cuộc tấn công chỉ tồn tại trong bộ nhớ trên endpoint Windows, bao gồm lạm dụng PowerShell, duy trì bám trụ qua WMI, reflective loading và tiêm tiến trình. Phù hợp cho Security Audit, săn tìm mối đe dọa và kỹ thuật phát hiện với Sysmon, AMSI và PowerShell logging.

deploying-edr-agent-with-crowdstrike giúp lập kế hoạch, cài đặt và xác minh việc triển khai CrowdStrike Falcon sensor trên các endpoint Windows, macOS và Linux. Dùng skill deploying-edr-agent-with-crowdstrike này để nhận hướng dẫn cài đặt, thiết lập policy, tích hợp telemetry với SIEM và chuẩn bị cho Incident Response.

building-threat-hunt-hypothesis-framework giúp bạn xây dựng các giả thuyết threat hunt có thể kiểm thử từ threat intelligence, ánh xạ ATT&CK và telemetry. Hãy dùng skill building-threat-hunt-hypothesis-framework này để lập kế hoạch hunt, ánh xạ nguồn dữ liệu, chạy truy vấn và ghi lại phát hiện cho threat hunting và building-threat-hunt-hypothesis-framework trong Threat Modeling.

building-detection-rules-with-sigma giúp nhà phân tích xây dựng các Sigma detection rules có thể tái sử dụng từ threat intel hoặc rule của nhà cung cấp, ánh xạ chúng sang MITRE ATT&CK và chuyển đổi cho các SIEM như Splunk, Elastic và Microsoft Sentinel. Hãy dùng hướng dẫn building-detection-rules-with-sigma này cho quy trình Security Audit, chuẩn hóa và detection-as-code.

building-cloud-siem-with-sentinel là một hướng dẫn thực tiễn để triển khai Microsoft Sentinel như một lớp SIEM và SOAR trên cloud. Nội dung bao gồm thu thập log đa đám mây, phát hiện bằng KQL, điều tra sự cố và playbook phản ứng bằng Logic Apps cho Security Audit và vận hành SOC. Hãy dùng skill building-cloud-siem-with-sentinel khi bạn cần một điểm khởi đầu dựa trên repo cho việc giám sát an ninh cloud tập trung.