Siem

detecting-rdp-brute-force-attacks giúp phân tích Windows Security Event Logs để phát hiện mẫu brute force RDP, bao gồm các lần lỗi 4625 lặp lại, đăng nhập 4624 thành công sau nhiều lần thất bại, logon liên quan đến NLA và mức độ tập trung theo source IP. Hãy dùng skill này cho Security Audit, threat hunting và các cuộc điều tra EVTX có thể lặp lại.

Hướng dẫn cấu hình phát hiện xâm nhập dựa trên host để thiết lập HIDS với Wazuh, OSSEC hoặc AIDE, nhằm giám sát tính toàn vẹn tệp, thay đổi hệ thống và bảo mật endpoint theo hướng tuân thủ cho các workflow Security Audit.

analyzing-security-logs-with-splunk giúp điều tra các sự kiện bảo mật trong Splunk bằng cách đối chiếu log Windows, firewall, proxy và xác thực thành dòng thời gian cùng bằng chứng. Skill analyzing-security-logs-with-splunk này là một hướng dẫn thực tiễn cho Security Audit, ứng phó sự cố và threat hunting.

detecting-mimikatz-execution-patterns giúp nhà phân tích phát hiện việc thực thi Mimikatz bằng các mẫu dòng lệnh, tín hiệu truy cập LSASS, chỉ báo nhị phân và dấu vết bộ nhớ. Hãy dùng skill detecting-mimikatz-execution-patterns để cài đặt cho Security Audit, hunting và ứng phó sự cố, với mẫu, tài liệu tham khảo và hướng dẫn quy trình đi kèm.

Skill detecting-living-off-the-land-attacks dành cho Security Audit, săn tìm mối đe doạ và ứng phó sự cố. Phát hiện việc lạm dụng các nhị phân Windows hợp lệ như `certutil`, `mshta`, `rundll32` và `regsvr32` bằng dữ liệu tạo tiến trình, dòng lệnh và quan hệ cha-con giữa tiến trình. Hướng dẫn tập trung vào các mẫu phát hiện LOLBin có thể áp dụng ngay, không phải một tài liệu hardening Windows tổng quát.

detecting-lateral-movement-in-network giúp phát hiện lateral movement sau khi bị xâm nhập trong mạng doanh nghiệp bằng cách sử dụng Windows event logs, Zeek telemetry, SMB, RDP và tương quan SIEM. Skill này hữu ích cho threat hunting, incident response và các đợt Security Audit liên quan đến detecting-lateral-movement-in-network, với quy trình phát hiện thực tiễn, dễ áp dụng.

Skill phát hiện Kerberoasting giúp săn tìm Kerberoasting bằng cách nhận diện các yêu cầu Kerberos TGS đáng ngờ, kiểu mã hóa vé yếu và các mẫu hành vi của service account. Phù hợp cho các workflow SIEM, EDR, EVTX và Threat Modeling với các mẫu phát hiện thực tế cùng hướng dẫn tinh chỉnh để giảm nhiễu.

detecting-insider-threat-with-ueba giúp bạn xây dựng các phát hiện UEBA trong Elasticsearch hoặc OpenSearch cho các tình huống đe dọa nội bộ, bao gồm thiết lập baseline hành vi, chấm điểm bất thường, phân tích nhóm đồng đẳng và cảnh báo tương quan cho rò rỉ dữ liệu, lạm dụng đặc quyền và truy cập trái phép. Nó phù hợp với quy trình Incident Response khi dùng detecting-insider-threat-with-ueba.

detecting-insider-threat-behaviors giúp nhà phân tích truy tìm các tín hiệu rủi ro nội bộ như truy cập dữ liệu bất thường, hoạt động ngoài giờ, tải xuống hàng loạt, lạm dụng đặc quyền và hành vi đánh cắp gắn với việc nghỉ việc. Hãy dùng hướng dẫn detecting-insider-threat-behaviors này cho threat hunting, triage kiểu UEBA và threat modeling, với các mẫu quy trình, ví dụ truy vấn SIEM và trọng số rủi ro.

detecting-fileless-attacks-on-endpoints giúp xây dựng các phát hiện cho những cuộc tấn công chỉ tồn tại trong bộ nhớ trên endpoint Windows, bao gồm lạm dụng PowerShell, duy trì bám trụ qua WMI, reflective loading và tiêm tiến trình. Phù hợp cho Security Audit, săn tìm mối đe dọa và kỹ thuật phát hiện với Sysmon, AMSI và PowerShell logging.

Kỹ năng phát hiện tấn công quy tắc chuyển tiếp email giúp các nhóm Security Audit, threat hunting và incident response tìm ra các quy tắc chuyển tiếp hộp thư độc hại được dùng để duy trì hiện diện và thu thập email. Kỹ năng này hướng dẫn nhà phân tích xem xét bằng chứng trong Microsoft 365 và Exchange, nhận diện các mẫu quy tắc đáng ngờ, và triage thực tế cho các hành vi chuyển tiếp, chuyển hướng, xóa và ẩn.

detecting-attacks-on-scada-systems là một skill an ninh mạng giúp phát hiện các cuộc tấn công vào môi trường SCADA và OT/ICS. Skill này hỗ trợ phân tích lạm dụng giao thức công nghiệp, lệnh PLC trái phép, xâm nhập HMI, chỉnh sửa historian và tấn công từ chối dịch vụ, kèm hướng dẫn thực tế cho ứng phó sự cố và kiểm chứng phát hiện.

detecting-anomalous-authentication-patterns giúp phân tích nhật ký xác thực để phát hiện đi lại bất khả thi, brute force, password spraying, credential stuffing và hoạt động của tài khoản bị xâm phạm. Được xây dựng cho quy trình Security Audit, SOC, IAM và ứng phó sự cố, với khả năng phát hiện có xét đến đường cơ sở và phân tích đăng nhập dựa trên bằng chứng.

Hướng dẫn deploying-osquery-for-endpoint-monitoring về cách triển khai và cấu hình osquery để quan sát endpoint, giám sát trên toàn bộ đội máy, và hunting mối đe dọa dựa trên SQL. Dùng tài liệu này để lên kế hoạch cài đặt, đọc quy trình làm việc và tài liệu tham chiếu API, đồng thời vận hành các truy vấn theo lịch, thu thập log, và rà soát tập trung trên các endpoint Windows, macOS và Linux.

deploying-edr-agent-with-crowdstrike giúp lập kế hoạch, cài đặt và xác minh việc triển khai CrowdStrike Falcon sensor trên các endpoint Windows, macOS và Linux. Dùng skill deploying-edr-agent-with-crowdstrike này để nhận hướng dẫn cài đặt, thiết lập policy, tích hợp telemetry với SIEM và chuẩn bị cho Incident Response.

correlating-security-events-in-qradar giúp các nhóm SOC và phát hiện mối đe dọa đối chiếu các offense trong IBM QRadar bằng AQL, ngữ cảnh offense, rules tùy chỉnh và reference data. Dùng hướng dẫn này để điều tra sự cố, giảm false positive và xây dựng logic correlation mạnh hơn cho Incident Response.

Kỹ năng configuring-suricata-for-network-monitoring giúp triển khai và tinh chỉnh Suricata cho giám sát IDS/IPS, ghi log EVE JSON, quản lý rules và đầu ra sẵn sàng cho SIEM. Đây là lựa chọn phù hợp cho quy trình Security Audit với configuring-suricata-for-network-monitoring khi bạn cần thiết lập thực tế, kiểm tra xác thực và giảm false positive.

conducting-malware-incident-response giúp các nhóm IR sàng lọc nghi ngờ nhiễm mã độc, xác nhận lây nhiễm, khoanh vùng mức độ lan rộng, cô lập endpoint và hỗ trợ loại bỏ cùng khôi phục. Skill này được thiết kế cho conducting-malware-incident-response trong quy trình Incident Response, với các bước dựa trên bằng chứng, quyết định dựa trên telemetry và hướng dẫn cô lập thực tế.

building-vulnerability-scanning-workflow giúp các đội SOC thiết kế một quy trình quét lỗ hổng có thể lặp lại để phát hiện, ưu tiên xử lý, theo dõi khắc phục và báo cáo trên nhiều tài sản. Kỹ năng này hỗ trợ các tình huống Security Audit với điều phối trình quét, xếp hạng rủi ro theo KEV và hướng dẫn quy trình vượt ra ngoài một lần quét đơn lẻ.

building-threat-hunt-hypothesis-framework giúp bạn xây dựng các giả thuyết threat hunt có thể kiểm thử từ threat intelligence, ánh xạ ATT&CK và telemetry. Hãy dùng skill building-threat-hunt-hypothesis-framework này để lập kế hoạch hunt, ánh xạ nguồn dữ liệu, chạy truy vấn và ghi lại phát hiện cho threat hunting và building-threat-hunt-hypothesis-framework trong Threat Modeling.

building-threat-feed-aggregation-with-misp giúp bạn triển khai MISP để tổng hợp, tương quan và chia sẻ các threat intelligence feed, phục vụ quản lý IOC tập trung và tích hợp SIEM. Hướng dẫn skill này bao gồm các mẫu cài đặt và sử dụng, đồng bộ feed, thao tác API, cùng các bước quy trình thực tế dành cho các nhóm Threat Intelligence.

Kỹ năng building-soc-metrics-and-kpi-tracking biến dữ liệu hoạt động của SOC thành các KPI như MTTD, MTTR, chất lượng cảnh báo, năng suất của nhà phân tích và độ phủ phát hiện. Kỹ năng này phù hợp với lãnh đạo SOC, vận hành an ninh và các nhóm observability cần báo cáo lặp lại, theo dõi xu hướng và bộ chỉ số thân thiện với lãnh đạo, được hỗ trợ bởi quy trình làm việc dựa trên Splunk.

building-detection-rules-with-sigma giúp nhà phân tích xây dựng các Sigma detection rules có thể tái sử dụng từ threat intel hoặc rule của nhà cung cấp, ánh xạ chúng sang MITRE ATT&CK và chuyển đổi cho các SIEM như Splunk, Elastic và Microsoft Sentinel. Hãy dùng hướng dẫn building-detection-rules-with-sigma này cho quy trình Security Audit, chuẩn hóa và detection-as-code.

building-detection-rule-with-splunk-spl giúp các nhà phân tích SOC và kỹ sư phát hiện xây dựng các truy vấn tương quan Splunk SPL để phát hiện mối đe dọa, tinh chỉnh và rà soát Security Audit. Dùng skill này để biến một brief phát hiện thành rule có thể triển khai, kèm mapping MITRE, enrichment và hướng dẫn xác thực.