事件响应

exploiting-kerberoasting-with-impacket 可協助授權測試人員使用 Impacket 的 GetUserSPNs.py 規劃 Kerberoasting 流程，涵蓋 SPN 枚舉、TGS 票證擷取、離線破解與具偵測意識的報告撰寫。這份 exploiting-kerberoasting-with-impacket 指南適用於滲透測試工作流程，提供清楚的安裝與使用脈絡。

detecting-service-account-abuse 是一個威脅狩獵技能，用於在 Windows、AD、SIEM 與 EDR 遙測中找出服務帳號濫用情況。它聚焦於可疑的互動式登入、權限提升、橫向移動與存取異常，並提供可重複執行的調查模板、事件 ID 與工作流程參考。

detecting-s3-data-exfiltration-attempts 可協助針對可能的 AWS S3 資料外洩進行調查，方法是關聯 CloudTrail S3 data events、GuardDuty findings、Amazon Macie alerts 與 S3 存取模式。適用於安全稽核、事件回應，以及可疑大量下載分析等情境。

detecting-rdp-brute-force-attacks 可協助分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重複的 4625 失敗、4624 在失敗後成功登入、與 NLA 相關的登入，以及來源 IP 集中現象。可用於 Security Audit、威脅狩獵，以及可重複的 EVTX 式調查。

detecting-rootkit-activity 是一項惡意程式分析技能，用於找出 rootkit 徵兆，例如隱藏程序、被鉤住的系統呼叫、遭竄改的核心結構、隱藏模組與隱蔽網路痕跡。它透過交叉視角比對與完整性檢查，協助在標準工具結果不一致時驗證可疑主機。

analyzing-usb-device-connection-history 可協助在 Windows 上利用登錄機碼、事件記錄與 setupapi.dev.log 來調查 USB 裝置連線歷史，適用於數位鑑識、內部威脅調查與事件回應。它支援時間軸重建、裝置關聯分析，以及可移除媒體證據分析。

analyzing-browser-forensics-with-hindsight 可協助數位鑑識團隊使用 Hindsight 分析 Chromium 瀏覽器痕跡，包括瀏覽紀錄、下載項目、Cookie、自動填入、書籤、已儲存憑證中繼資料、快取與擴充功能。可用來重建網路活動、檢視時間軸，並調查 Chrome、Edge、Brave 與 Opera 使用者設定檔。

analyzing-bootkit-and-rootkit-samples 是一個用於 MBR、VBR、UEFI 與 rootkit 調查的惡意程式分析技能。當入侵跡象持續停留在作業系統以下層級時，可用它來檢查開機磁區、韌體模組與反 rootkit 指標。它適合需要實用指引、清楚流程，以及以證據為基礎的 Malware Analysis 分流判讀的分析人員。

detecting-network-anomalies-with-zeek skill 可協助部署 Zeek 進行被動式網路監控、檢視結構化日誌，並建立自訂偵測規則來找出 beaconing、DNS tunneling 與異常協定活動。這個 skill 很適合威脅狩獵、事件回應、可直接供 SIEM 使用的網路中繼資料，以及 Security Audit 工作流程，但不適用於 inline prevention。

detecting-modbus-command-injection-attacks 可協助資安分析師找出可疑的 Modbus TCP/RTU 寫入行為、異常功能碼、格式不正確的封包，以及 ICS 與 SCADA 環境中的基準偏移。當你需要的是具備 Modbus 語境的偵測指引，而不是泛用的異常提示時，適合用於事件初步判讀、OT 監控與資安稽核。

detecting-business-email-compromise 技能可協助分析師、SOC 團隊與事件應變人員，透過電子郵件標頭檢查、社交工程線索、偵測邏輯與以應變為導向的工作流程，辨識 BEC 嘗試。可將它當作一份實用的 detecting-business-email-compromise 指南，用於分流、驗證與封鎖處置。

detecting-azure-lateral-movement 可協助資安分析師在 Azure AD/Entra ID 與 Microsoft Sentinel 中，利用 Microsoft Graph 稽核記錄、登入遙測與 KQL 關聯分析來追查橫向移動。適合用於事件初步分流、偵測工程與資安稽核流程，涵蓋同意權濫用、服務主體誤用、權杖竊取，以及跨租戶跳轉等情境。

configuring-host-based-intrusion-detection 指南，協助你使用 Wazuh、OSSEC 或 AIDE 建置 HIDS，用於監控檔案完整性、系統變更，以及以合規為導向的端點安全，適合 Security Audit 工作流程。

hunting-advanced-persistent-threats 是一個威脅狩獵技能，用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程，將發現對應到 MITRE ATT&CK，並把威脅情資轉化為可執行的查詢與調查步驟，而不是零散的搜尋。

extracting-windows-event-logs-artifacts 可協助你擷取、解析並分析 Windows Event Logs（EVTX），用於數位鑑識、事件回應與威脅狩獵。它支援以結構化方式檢視登入、程序建立、服務安裝、排程工作、權限變更與日誌清除，並可搭配 Chainsaw、Hayabusa 和 EvtxECmd 使用。

這是一份用 Rekall 分析 Windows 記憶體映像的 extracting-memory-artifacts-with-rekall 指南。你將學到安裝與使用模式，並找出隱藏程序、注入程式碼、可疑 VAD、已載入 DLL 與網路活動，適用於數位鑑識。

extracting-credentials-from-memory-dump 這項技能可協助你使用 Volatility 3 與 pypykatz 工作流程，分析 Windows 記憶體傾印中的 NTLM 雜湊、LSA secrets、Kerberos 材料與 token。它特別適合數位鑑識與事件回應情境，當你需要從有效的傾印中取得具證據力的結果、評估帳號影響，並提出修復建議時使用。

extracting-browser-history-artifacts 是一項數位鑑識技能，用於從 Chrome、Firefox 和 Edge 擷取瀏覽歷史、Cookie、快取、下載記錄與書籤。適合把瀏覽器設定檔檔案轉成可直接納入時間軸的證據，並提供可重複執行、以案件為中心的工作流程指引。

executing-red-team-exercise 是一項資安技能，用於規劃與追蹤逼真的紅隊演練。它支援從偵察、技術選擇、執行到偵測缺口檢視的對手模擬流程，適合用於 Security Audit 工作與符合 ATT&CK 的評估。

eradicating-malware-from-infected-systems 是一項資安事件應變技能，用於在完成遏制後移除惡意軟體、後門與持久化機制。內容涵蓋工作流程指引、參考檔案，以及用於 Windows 和 Linux 清理、憑證輪替、根因修補與驗證的腳本。

detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師，使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果，並區分攻擊者持久化與正常的系統管理自動化。

用於稽核 GitHub Actions 與 CI/CD 設定的 detecting-supply-chain-attacks-in-ci-cd 技能。它可協助找出未鎖定版本的 actions、腳本注入、相依性混淆、機密外洩，以及 Security Audit 工作流程中高風險權限。適合用來檢視 repo、workflow 檔案或可疑的 pipeline 變更，並提供清楚的發現與修正建議。

detecting-stuxnet-style-attacks 技能可協助防禦者偵測類 Stuxnet 的 OT 與 ICS 入侵模式，包括 PLC 邏輯竄改、感測器資料偽造、工程工作站遭入侵，以及 IT 到 OT 的橫向移動。適合用於威脅狩獵、事件初步分流與製程完整性監控，並可結合通訊協定、主機與程序層證據進行判讀。

detecting-ransomware-encryption-behavior 可協助防守方透過熵值分析、檔案 I/O 監控與行為式啟發規則，辨識類勒索軟體的加密行為。適合事件應變、SOC 調校與紅隊驗證等情境，當你需要快速偵測大量檔案變更、批次重新命名與可疑程序活動時特別有用。