Threat Hunting

detecting-beaconing-patterns-with-zeek giúp phân tích các khoảng thời gian trong Zeek `conn.log` để phát hiện beaconing kiểu C2. Kỹ năng này dùng ZAT, nhóm các luồng theo nguồn, đích và cổng, rồi chấm điểm các mẫu có độ dao động thấp bằng các kiểm tra thống kê. Phù hợp cho SOC, threat hunting, ứng phó sự cố, và các quy trình Security Audit cần detecting-beaconing-patterns-with-zeek.

detecting-azure-lateral-movement giúp nhà phân tích bảo mật săn tìm hành vi di chuyển ngang trong Azure AD/Entra ID và Microsoft Sentinel bằng cách dùng log kiểm tra Microsoft Graph, telemetry đăng nhập và tương quan KQL. Hãy dùng khi triage sự cố, xây dựng detection, và thực hiện quy trình kiểm toán bảo mật liên quan đến lạm dụng consent, lạm dụng service principal, đánh cắp token và pivot xuyên tenant.

analyzing-security-logs-with-splunk giúp điều tra các sự kiện bảo mật trong Splunk bằng cách đối chiếu log Windows, firewall, proxy và xác thực thành dòng thời gian cùng bằng chứng. Skill analyzing-security-logs-with-splunk này là một hướng dẫn thực tiễn cho Security Audit, ứng phó sự cố và threat hunting.

analyzing-golang-malware-with-ghidra giúp nhà phân tích reverse engineer malware biên dịch bằng Go trong Ghidra, với các quy trình khôi phục hàm, trích xuất chuỗi, đọc metadata bản dựng và ánh xạ phụ thuộc. Skill analyzing-golang-malware-with-ghidra hữu ích cho triage malware, ứng phó sự cố và các tác vụ Security Audit cần bước phân tích thực tế, đặc thù cho Go.

detecting-living-off-the-land-with-lolbas giúp phát hiện hành vi lạm dụng LOLBAS bằng Sysmon và Windows Event Logs, dựa trên telemetry tiến trình, ngữ cảnh cha–con, các quy tắc Sigma và một hướng dẫn thực hành cho triage, hunting và soạn thảo rule. Kỹ năng này hỗ trợ detecting-living-off-the-land-with-lolbas cho Threat Modeling và quy trình làm việc của analyst với certutil, regsvr32, mshta và rundll32.

Skill phát hiện Kerberoasting giúp săn tìm Kerberoasting bằng cách nhận diện các yêu cầu Kerberos TGS đáng ngờ, kiểu mã hóa vé yếu và các mẫu hành vi của service account. Phù hợp cho các workflow SIEM, EDR, EVTX và Threat Modeling với các mẫu phát hiện thực tế cùng hướng dẫn tinh chỉnh để giảm nhiễu.

detecting-insider-threat-behaviors giúp nhà phân tích truy tìm các tín hiệu rủi ro nội bộ như truy cập dữ liệu bất thường, hoạt động ngoài giờ, tải xuống hàng loạt, lạm dụng đặc quyền và hành vi đánh cắp gắn với việc nghỉ việc. Hãy dùng hướng dẫn detecting-insider-threat-behaviors này cho threat hunting, triage kiểu UEBA và threat modeling, với các mẫu quy trình, ví dụ truy vấn SIEM và trọng số rủi ro.

Kỹ năng detecting-fileless-malware-techniques hỗ trợ các quy trình Malware Analysis để điều tra mã độc fileless chạy trong bộ nhớ qua PowerShell, WMI, .NET reflection, payload nằm trong registry và LOLBins. Hãy dùng kỹ năng này để chuyển từ các cảnh báo đáng ngờ sang bước sàng lọc có bằng chứng, ý tưởng phát hiện và truy tìm tiếp theo.

Kỹ năng phát hiện tấn công quy tắc chuyển tiếp email giúp các nhóm Security Audit, threat hunting và incident response tìm ra các quy tắc chuyển tiếp hộp thư độc hại được dùng để duy trì hiện diện và thu thập email. Kỹ năng này hướng dẫn nhà phân tích xem xét bằng chứng trong Microsoft 365 và Exchange, nhận diện các mẫu quy tắc đáng ngờ, và triage thực tế cho các hành vi chuyển tiếp, chuyển hướng, xóa và ẩn.

detecting-dll-sideloading-attacks giúp các nhóm Security Audit, threat hunting và ứng phó sự cố phát hiện DLL side-loading bằng Sysmon, EDR, MDE và Splunk. Hướng dẫn detecting-dll-sideloading-attacks này bao gồm ghi chú quy trình, mẫu hunt, ánh xạ tiêu chuẩn và các script để biến những lần nạp DLL đáng ngờ thành các phát hiện có thể lặp lại.

detecting-attacks-on-historian-servers giúp phát hiện hoạt động đáng ngờ trên các OT historian server như OSIsoft PI, Ignition và Wonderware tại ranh giới IT/OT. Hãy dùng hướng dẫn detecting-attacks-on-historian-servers này cho Incident Response, truy vấn trái phép, thao túng dữ liệu, lạm dụng API và sàng lọc di chuyển ngang.

detecting-anomalous-authentication-patterns giúp phân tích nhật ký xác thực để phát hiện đi lại bất khả thi, brute force, password spraying, credential stuffing và hoạt động của tài khoản bị xâm phạm. Được xây dựng cho quy trình Security Audit, SOC, IAM và ứng phó sự cố, với khả năng phát hiện có xét đến đường cơ sở và phân tích đăng nhập dựa trên bằng chứng.

Hướng dẫn deploying-osquery-for-endpoint-monitoring về cách triển khai và cấu hình osquery để quan sát endpoint, giám sát trên toàn bộ đội máy, và hunting mối đe dọa dựa trên SQL. Dùng tài liệu này để lên kế hoạch cài đặt, đọc quy trình làm việc và tài liệu tham chiếu API, đồng thời vận hành các truy vấn theo lịch, thu thập log, và rà soát tập trung trên các endpoint Windows, macOS và Linux.

correlating-security-events-in-qradar giúp các nhóm SOC và phát hiện mối đe dọa đối chiếu các offense trong IBM QRadar bằng AQL, ngữ cảnh offense, rules tùy chỉnh và reference data. Dùng hướng dẫn này để điều tra sự cố, giảm false positive và xây dựng logic correlation mạnh hơn cho Incident Response.

containing-active-breach là một kỹ năng ứng phó sự cố dành cho việc cô lập vi phạm đang diễn ra. Kỹ năng này giúp cô lập máy chủ, chặn lưu lượng đáng ngờ, vô hiệu hóa tài khoản bị xâm nhập và làm chậm chuyển động ngang bằng một hướng dẫn containing-active-breach có cấu trúc, kèm tham chiếu API và script thực tiễn.

building-threat-hunt-hypothesis-framework giúp bạn xây dựng các giả thuyết threat hunt có thể kiểm thử từ threat intelligence, ánh xạ ATT&CK và telemetry. Hãy dùng skill building-threat-hunt-hypothesis-framework này để lập kế hoạch hunt, ánh xạ nguồn dữ liệu, chạy truy vấn và ghi lại phát hiện cho threat hunting và building-threat-hunt-hypothesis-framework trong Threat Modeling.

Kỹ năng analyzing-threat-actor-ttps-with-mitre-attack giúp ánh xạ các báo cáo mối đe dọa sang các tactic, technique và sub-technique của MITRE ATT&CK, xây dựng chế độ xem mức độ bao phủ và ưu tiên các khoảng trống phát hiện. Bộ kỹ năng này có sẵn mẫu báo cáo, tham chiếu ATT&CK, cùng các script để tra cứu technique và phân tích khoảng trống, nên rất hữu ích cho CTI, SOC, kỹ thuật phát hiện và mô hình hóa mối đe dọa.

Kỹ năng analyzing-powershell-empire-artifacts giúp các nhóm Security Audit phát hiện dấu vết PowerShell Empire trong nhật ký Windows bằng Script Block Logging, mẫu launcher Base64, IOC của stager, chữ ký module và các tham chiếu phát hiện để hỗ trợ triage và viết rule.

Kỹ năng analyzing-powershell-script-block-logging dùng để phân tích Windows PowerShell Script Block Logging Event ID 4104 từ file EVTX, tái tạo các script block bị chia nhỏ, và phát hiện lệnh bị làm rối, payload mã hóa, lạm dụng `Invoke-Expression`, download cradle, cùng các nỗ lực vượt qua AMSI cho công việc Security Audit.

Kỹ năng phân tích cơ chế bám trụ trong Linux giúp điều tra các dấu hiệu bám trụ sau khi hệ thống bị xâm nhập, bao gồm các tác vụ crontab, unit systemd, lạm dụng LD_PRELOAD, thay đổi hồ sơ shell và backdoor qua SSH authorized_keys. Kỹ năng này được thiết kế cho quy trình ứng phó sự cố, săn tìm mối đe dọa và kiểm tra an ninh, với auditd và các bước kiểm tra toàn vẹn tệp.