Splunk

detecting-service-account-abuse là một skill săn tìm mối đe doạ để phát hiện việc lạm dụng service account trên dữ liệu telemetry từ Windows, AD, SIEM và EDR. Skill này tập trung vào các đăng nhập tương tác đáng ngờ, leo thang đặc quyền, di chuyển ngang và các bất thường trong truy cập, đồng thời cung cấp mẫu săn tìm, event ID và tham chiếu quy trình để hỗ trợ điều tra lặp lại, nhất quán.

detecting-azure-service-principal-abuse giúp phát hiện, điều tra và ghi lại hoạt động đáng ngờ của Microsoft Entra ID service principal trong Azure. Hãy dùng nó cho Security Audit, ứng phó sự cố trên cloud và threat hunting để rà soát thay đổi thông tin xác thực, lạm dụng admin consent, gán vai trò, đường dẫn sở hữu và bất thường đăng nhập.

analyzing-security-logs-with-splunk giúp điều tra các sự kiện bảo mật trong Splunk bằng cách đối chiếu log Windows, firewall, proxy và xác thực thành dòng thời gian cùng bằng chứng. Skill analyzing-security-logs-with-splunk này là một hướng dẫn thực tiễn cho Security Audit, ứng phó sự cố và threat hunting.

detecting-privilege-escalation-attempts giúp săn tìm leo thang đặc quyền trên Windows và Linux, bao gồm thao túng token, UAC bypass, đường dẫn dịch vụ không được đặt trong dấu ngoặc kép, khai thác kernel và lạm dụng sudo/doas. Phù hợp cho các đội threat hunting cần một quy trình thực chiến, truy vấn tham chiếu và script hỗ trợ.

detecting-pass-the-ticket-attacks giúp phát hiện hoạt động Kerberos Pass-the-Ticket bằng cách tương quan các Windows Security Event ID 4768, 4769 và 4771. Hãy dùng nó để threat hunting trong Splunk hoặc Elastic nhằm phát hiện việc tái sử dụng ticket, hạ cấp RC4 và lưu lượng TGS bất thường, kèm truy vấn thực tế và hướng dẫn về field.

Kỹ năng detecting-pass-the-hash-attacks để săn tìm di chuyển ngang dựa trên NTLM, các lần đăng nhập Type 3 đáng ngờ và hoạt động T1550.002 bằng Windows Security logs, Splunk và KQL.

detecting-lateral-movement-in-network giúp phát hiện lateral movement sau khi bị xâm nhập trong mạng doanh nghiệp bằng cách sử dụng Windows event logs, Zeek telemetry, SMB, RDP và tương quan SIEM. Skill này hữu ích cho threat hunting, incident response và các đợt Security Audit liên quan đến detecting-lateral-movement-in-network, với quy trình phát hiện thực tiễn, dễ áp dụng.

Skill phát hiện Kerberoasting giúp săn tìm Kerberoasting bằng cách nhận diện các yêu cầu Kerberos TGS đáng ngờ, kiểu mã hóa vé yếu và các mẫu hành vi của service account. Phù hợp cho các workflow SIEM, EDR, EVTX và Threat Modeling với các mẫu phát hiện thực tế cùng hướng dẫn tinh chỉnh để giảm nhiễu.

detecting-insider-threat-behaviors giúp nhà phân tích truy tìm các tín hiệu rủi ro nội bộ như truy cập dữ liệu bất thường, hoạt động ngoài giờ, tải xuống hàng loạt, lạm dụng đặc quyền và hành vi đánh cắp gắn với việc nghỉ việc. Hãy dùng hướng dẫn detecting-insider-threat-behaviors này cho threat hunting, triage kiểu UEBA và threat modeling, với các mẫu quy trình, ví dụ truy vấn SIEM và trọng số rủi ro.

detecting-golden-ticket-forgery phát hiện giả mạo Kerberos Golden Ticket bằng cách phân tích Windows Event ID 4769, việc hạ cấp sang RC4 (0x17), thời lượng ticket bất thường và các bất thường ở krbtgt trong Splunk và Elastic. Được xây dựng cho Security Audit, điều tra sự cố và threat hunting với hướng dẫn phát hiện thực tế.

Kỹ năng phát hiện tấn công quy tắc chuyển tiếp email giúp các nhóm Security Audit, threat hunting và incident response tìm ra các quy tắc chuyển tiếp hộp thư độc hại được dùng để duy trì hiện diện và thu thập email. Kỹ năng này hướng dẫn nhà phân tích xem xét bằng chứng trong Microsoft 365 và Exchange, nhận diện các mẫu quy tắc đáng ngờ, và triage thực tế cho các hành vi chuyển tiếp, chuyển hướng, xóa và ẩn.

detecting-dll-sideloading-attacks giúp các nhóm Security Audit, threat hunting và ứng phó sự cố phát hiện DLL side-loading bằng Sysmon, EDR, MDE và Splunk. Hướng dẫn detecting-dll-sideloading-attacks này bao gồm ghi chú quy trình, mẫu hunt, ánh xạ tiêu chuẩn và các script để biến những lần nạp DLL đáng ngờ thành các phát hiện có thể lặp lại.

deploying-edr-agent-with-crowdstrike giúp lập kế hoạch, cài đặt và xác minh việc triển khai CrowdStrike Falcon sensor trên các endpoint Windows, macOS và Linux. Dùng skill deploying-edr-agent-with-crowdstrike này để nhận hướng dẫn cài đặt, thiết lập policy, tích hợp telemetry với SIEM và chuẩn bị cho Incident Response.

building-threat-hunt-hypothesis-framework giúp bạn xây dựng các giả thuyết threat hunt có thể kiểm thử từ threat intelligence, ánh xạ ATT&CK và telemetry. Hãy dùng skill building-threat-hunt-hypothesis-framework này để lập kế hoạch hunt, ánh xạ nguồn dữ liệu, chạy truy vấn và ghi lại phát hiện cho threat hunting và building-threat-hunt-hypothesis-framework trong Threat Modeling.

Kỹ năng building-soc-metrics-and-kpi-tracking biến dữ liệu hoạt động của SOC thành các KPI như MTTD, MTTR, chất lượng cảnh báo, năng suất của nhà phân tích và độ phủ phát hiện. Kỹ năng này phù hợp với lãnh đạo SOC, vận hành an ninh và các nhóm observability cần báo cáo lặp lại, theo dõi xu hướng và bộ chỉ số thân thiện với lãnh đạo, được hỗ trợ bởi quy trình làm việc dựa trên Splunk.

building-incident-response-dashboard giúp các nhóm xây dựng dashboard ứng phó sự cố theo thời gian thực trong Splunk, Elastic hoặc Grafana để theo dõi sự cố đang diễn ra, trạng thái cô lập, tài sản bị ảnh hưởng, mức độ lan truyền IOC và mốc thời gian xử lý. Hãy dùng skill building-incident-response-dashboard này khi bạn cần một dashboard tập trung cho nhà phân tích SOC, trưởng điều phối sự cố và ban lãnh đạo.

building-detection-rules-with-sigma giúp nhà phân tích xây dựng các Sigma detection rules có thể tái sử dụng từ threat intel hoặc rule của nhà cung cấp, ánh xạ chúng sang MITRE ATT&CK và chuyển đổi cho các SIEM như Splunk, Elastic và Microsoft Sentinel. Hãy dùng hướng dẫn building-detection-rules-with-sigma này cho quy trình Security Audit, chuẩn hóa và detection-as-code.

building-detection-rule-with-splunk-spl giúp các nhà phân tích SOC và kỹ sư phát hiện xây dựng các truy vấn tương quan Splunk SPL để phát hiện mối đe dọa, tinh chỉnh và rà soát Security Audit. Dùng skill này để biến một brief phát hiện thành rule có thể triển khai, kèm mapping MITRE, enrichment và hướng dẫn xác thực.

Kỹ năng analyzing-windows-event-logs-in-splunk giúp các nhà phân tích SOC điều tra log Windows Security, System và Sysmon trong Splunk để tìm các cuộc tấn công xác thực, leo thang đặc quyền, duy trì hiện diện và di chuyển ngang. Hãy dùng kỹ năng này cho phân loại sự cố ban đầu, kỹ thuật phát hiện và phân tích dòng thời gian với các mẫu SPL đã được ánh xạ cùng hướng dẫn event ID.

analyzing-dns-logs-for-exfiltration giúp chuyên viên SOC phát hiện DNS tunneling, domain kiểu DGA, lạm dụng TXT và các mẫu C2 ẩn trong log SIEM hoặc Zeek. Hãy dùng skill này cho quy trình Security Audit khi bạn cần phân tích entropy, phát hiện bất thường về lưu lượng truy vấn và hướng dẫn triage thực tế.