事件响应

detecting-lateral-movement-with-zeek 是一個以 Zeek 為基礎的資安技能，適用於威脅狩獵與事件回應。它可透過 Zeek 日誌（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log、kerberos.log）偵測 SMB 管理員共享存取、DCE/RPC 服務建立、NTLM spray、Kerberos 異常，以及可疑的內網傳輸。

analyzing-windows-shellbag-artifacts 可協助 DFIR 分析人員解讀 Windows Shellbag 登錄檔 artefact，重建資料夾瀏覽紀錄、已刪除資料夾存取、可移除媒體使用情況，以及網路共享活動，並搭配 SBECmd 與 ShellBags Explorer 使用。這是一份實用的 analyzing-windows-shellbag-artifacts 指南，適合事件回應與鑑識工作。

analyzing-cobaltstrike-malleable-c2-profiles 可協助將 Cobalt Strike Malleable C2 profiles 解析為 C2 indicators、evasion traits 與 detection ideas，適用於 malware analysis、threat hunting 與 Security Audit 工作流程。它使用 dissect.cobaltstrike 與 pyMalleableC2 來進行 profile 與 beacon config 分析。

exploiting-kerberoasting-with-impacket 可協助授權測試人員使用 Impacket 的 GetUserSPNs.py 規劃 Kerberoasting 流程，涵蓋 SPN 枚舉、TGS 票證擷取、離線破解與具偵測意識的報告撰寫。這份 exploiting-kerberoasting-with-impacket 指南適用於滲透測試工作流程，提供清楚的安裝與使用脈絡。

detecting-service-account-abuse 是一個威脅狩獵技能，用於在 Windows、AD、SIEM 與 EDR 遙測中找出服務帳號濫用情況。它聚焦於可疑的互動式登入、權限提升、橫向移動與存取異常，並提供可重複執行的調查模板、事件 ID 與工作流程參考。

detecting-s3-data-exfiltration-attempts 可協助針對可能的 AWS S3 資料外洩進行調查，方法是關聯 CloudTrail S3 data events、GuardDuty findings、Amazon Macie alerts 與 S3 存取模式。適用於安全稽核、事件回應，以及可疑大量下載分析等情境。

detecting-rdp-brute-force-attacks 可協助分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重複的 4625 失敗、4624 在失敗後成功登入、與 NLA 相關的登入，以及來源 IP 集中現象。可用於 Security Audit、威脅狩獵，以及可重複的 EVTX 式調查。

detecting-rootkit-activity 是一項惡意程式分析技能，用於找出 rootkit 徵兆，例如隱藏程序、被鉤住的系統呼叫、遭竄改的核心結構、隱藏模組與隱蔽網路痕跡。它透過交叉視角比對與完整性檢查，協助在標準工具結果不一致時驗證可疑主機。

analyzing-usb-device-connection-history 可協助在 Windows 上利用登錄機碼、事件記錄與 setupapi.dev.log 來調查 USB 裝置連線歷史，適用於數位鑑識、內部威脅調查與事件回應。它支援時間軸重建、裝置關聯分析，以及可移除媒體證據分析。

analyzing-browser-forensics-with-hindsight 可協助數位鑑識團隊使用 Hindsight 分析 Chromium 瀏覽器痕跡，包括瀏覽紀錄、下載項目、Cookie、自動填入、書籤、已儲存憑證中繼資料、快取與擴充功能。可用來重建網路活動、檢視時間軸，並調查 Chrome、Edge、Brave 與 Opera 使用者設定檔。

analyzing-bootkit-and-rootkit-samples 是一個用於 MBR、VBR、UEFI 與 rootkit 調查的惡意程式分析技能。當入侵跡象持續停留在作業系統以下層級時，可用它來檢查開機磁區、韌體模組與反 rootkit 指標。它適合需要實用指引、清楚流程，以及以證據為基礎的 Malware Analysis 分流判讀的分析人員。

detecting-network-anomalies-with-zeek skill 可協助部署 Zeek 進行被動式網路監控、檢視結構化日誌，並建立自訂偵測規則來找出 beaconing、DNS tunneling 與異常協定活動。這個 skill 很適合威脅狩獵、事件回應、可直接供 SIEM 使用的網路中繼資料，以及 Security Audit 工作流程，但不適用於 inline prevention。

detecting-modbus-command-injection-attacks 可協助資安分析師找出可疑的 Modbus TCP/RTU 寫入行為、異常功能碼、格式不正確的封包，以及 ICS 與 SCADA 環境中的基準偏移。當你需要的是具備 Modbus 語境的偵測指引，而不是泛用的異常提示時，適合用於事件初步判讀、OT 監控與資安稽核。

detecting-business-email-compromise 技能可協助分析師、SOC 團隊與事件應變人員，透過電子郵件標頭檢查、社交工程線索、偵測邏輯與以應變為導向的工作流程，辨識 BEC 嘗試。可將它當作一份實用的 detecting-business-email-compromise 指南，用於分流、驗證與封鎖處置。

detecting-azure-lateral-movement 可協助資安分析師在 Azure AD/Entra ID 與 Microsoft Sentinel 中，利用 Microsoft Graph 稽核記錄、登入遙測與 KQL 關聯分析來追查橫向移動。適合用於事件初步分流、偵測工程與資安稽核流程，涵蓋同意權濫用、服務主體誤用、權杖竊取，以及跨租戶跳轉等情境。

configuring-host-based-intrusion-detection 指南，協助你使用 Wazuh、OSSEC 或 AIDE 建置 HIDS，用於監控檔案完整性、系統變更，以及以合規為導向的端點安全，適合 Security Audit 工作流程。

detecting-t1003-credential-dumping-with-edr 技能，適用於結合 EDR、Sysmon 與 Windows 事件關聯進行威脅狩獵，偵測 LSASS、SAM、NTDS.dit、LSA secrets 以及快取憑證傾印。可用來驗證告警、界定事件範圍，並透過實作導向的流程指引降低誤判。

detecting-dcsync-attack-in-active-directory 是一項威脅狩獵技能，可透過關聯 4662 事件、複寫 GUID 與合法 DC 帳號，找出 Active Directory 中的 DCSync 濫用。可用來搭配 Splunk、KQL 與解析腳本，確認、分流並記錄憑證竊取活動。

detecting-container-escape-with-falco-rules 可協助使用 Falco runtime security rules 偵測容器逃逸嘗試。內容聚焦於 syscall 訊號、特權容器、host-path 濫用、驗證，以及 Kubernetes 與 Linux 容器環境中的事件回應流程。

analyzing-malware-persistence-with-autoruns 是一個用於惡意程式分析的 Sysinternals Autoruns 技能。它可協助你以可重複的流程檢視 Windows 持久化位置，包括 Run 機碼、服務、排程工作、Winlogon、驅動程式與 WMI，並透過 CSV 匯出、可疑項目審查與可直接納入報告的結果來完成分析。

hunting-advanced-persistent-threats 是一個威脅狩獵技能，用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程，將發現對應到 MITRE ATT&CK，並把威脅情資轉化為可執行的查詢與調查步驟，而不是零散的搜尋。

extracting-windows-event-logs-artifacts 可協助你擷取、解析並分析 Windows Event Logs（EVTX），用於數位鑑識、事件回應與威脅狩獵。它支援以結構化方式檢視登入、程序建立、服務安裝、排程工作、權限變更與日誌清除，並可搭配 Chainsaw、Hayabusa 和 EvtxECmd 使用。

這是一份用 Rekall 分析 Windows 記憶體映像的 extracting-memory-artifacts-with-rekall 指南。你將學到安裝與使用模式，並找出隱藏程序、注入程式碼、可疑 VAD、已載入 DLL 與網路活動，適用於數位鑑識。

extracting-credentials-from-memory-dump 這項技能可協助你使用 Volatility 3 與 pypykatz 工作流程，分析 Windows 記憶體傾印中的 NTLM 雜湊、LSA secrets、Kerberos 材料與 token。它特別適合數位鑑識與事件回應情境，當你需要從有效的傾印中取得具證據力的結果、評估帳號影響，並提出修復建議時使用。