威胁狩猎

detecting-lateral-movement-with-zeek 是一個以 Zeek 為基礎的資安技能，適用於威脅狩獵與事件回應。它可透過 Zeek 日誌（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log、kerberos.log）偵測 SMB 管理員共享存取、DCE/RPC 服務建立、NTLM spray、Kerberos 異常，以及可疑的內網傳輸。

analyzing-cobaltstrike-malleable-c2-profiles 可協助將 Cobalt Strike Malleable C2 profiles 解析為 C2 indicators、evasion traits 與 detection ideas，適用於 malware analysis、threat hunting 與 Security Audit 工作流程。它使用 dissect.cobaltstrike 與 pyMalleableC2 來進行 profile 與 beacon config 分析。

exploiting-kerberoasting-with-impacket 可協助授權測試人員使用 Impacket 的 GetUserSPNs.py 規劃 Kerberoasting 流程，涵蓋 SPN 枚舉、TGS 票證擷取、離線破解與具偵測意識的報告撰寫。這份 exploiting-kerberoasting-with-impacket 指南適用於滲透測試工作流程，提供清楚的安裝與使用脈絡。

detecting-shadow-it-cloud-usage 可協助從 proxy logs、DNS queries 與 netflow 中辨識未經授權的 SaaS 與 cloud 使用情況。它會對網域進行分類、與核准清單比對，並以 detecting-shadow-it-cloud-usage skill guide 中的結構化證據支援資安稽核工作流程。

detecting-service-account-abuse 是一個威脅狩獵技能，用於在 Windows、AD、SIEM 與 EDR 遙測中找出服務帳號濫用情況。它聚焦於可疑的互動式登入、權限提升、橫向移動與存取異常，並提供可重複執行的調查模板、事件 ID 與工作流程參考。

detecting-s3-data-exfiltration-attempts 可協助針對可能的 AWS S3 資料外洩進行調查，方法是關聯 CloudTrail S3 data events、GuardDuty findings、Amazon Macie alerts 與 S3 存取模式。適用於安全稽核、事件回應，以及可疑大量下載分析等情境。

detecting-rdp-brute-force-attacks 可協助分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重複的 4625 失敗、4624 在失敗後成功登入、與 NLA 相關的登入，以及來源 IP 集中現象。可用於 Security Audit、威脅狩獵，以及可重複的 EVTX 式調查。

analyzing-usb-device-connection-history 可協助在 Windows 上利用登錄機碼、事件記錄與 setupapi.dev.log 來調查 USB 裝置連線歷史，適用於數位鑑識、內部威脅調查與事件回應。它支援時間軸重建、裝置關聯分析，以及可移除媒體證據分析。

analyzing-browser-forensics-with-hindsight 可協助數位鑑識團隊使用 Hindsight 分析 Chromium 瀏覽器痕跡，包括瀏覽紀錄、下載項目、Cookie、自動填入、書籤、已儲存憑證中繼資料、快取與擴充功能。可用來重建網路活動、檢視時間軸，並調查 Chrome、Edge、Brave 與 Opera 使用者設定檔。

analyzing-bootkit-and-rootkit-samples 是一個用於 MBR、VBR、UEFI 與 rootkit 調查的惡意程式分析技能。當入侵跡象持續停留在作業系統以下層級時，可用它來檢查開機磁區、韌體模組與反 rootkit 指標。它適合需要實用指引、清楚流程，以及以證據為基礎的 Malware Analysis 分流判讀的分析人員。

detecting-network-anomalies-with-zeek skill 可協助部署 Zeek 進行被動式網路監控、檢視結構化日誌，並建立自訂偵測規則來找出 beaconing、DNS tunneling 與異常協定活動。這個 skill 很適合威脅狩獵、事件回應、可直接供 SIEM 使用的網路中繼資料，以及 Security Audit 工作流程，但不適用於 inline prevention。

detecting-modbus-protocol-anomalies 可協助偵測 OT 與 ICS 網路中的可疑 Modbus/TCP 與 Modbus RTU 行為，包括無效的功能碼、超出範圍的暫存器存取、異常輪詢時序、未授權寫入，以及格式異常的封包。適合用於資安稽核與以證據為基礎的初步判讀。

detecting-typosquatting-packages-in-npm-pypi 可透過比對名稱相似度、發佈時間新舊與下載異常，協助找出可疑的 npm 與 PyPI 套件。適合用於資安稽核流程、相依套件審查，以及以可重現的 Registry 檢查流程進行供應鏈風險初篩。

detecting-t1003-credential-dumping-with-edr 技能，適用於結合 EDR、Sysmon 與 Windows 事件關聯進行威脅狩獵，偵測 LSASS、SAM、NTDS.dit、LSA secrets 以及快取憑證傾印。可用來驗證告警、界定事件範圍，並透過實作導向的流程指引降低誤判。

detecting-dcsync-attack-in-active-directory 是一項威脅狩獵技能，可透過關聯 4662 事件、複寫 GUID 與合法 DC 帳號，找出 Active Directory 中的 DCSync 濫用。可用來搭配 Splunk、KQL 與解析腳本，確認、分流並記錄憑證竊取活動。

detecting-container-escape-with-falco-rules 可協助使用 Falco runtime security rules 偵測容器逃逸嘗試。內容聚焦於 syscall 訊號、特權容器、host-path 濫用、驗證，以及 Kubernetes 與 Linux 容器環境中的事件回應流程。

detecting-bluetooth-low-energy-attacks 技能，適用於授權的 BLE 安全測試。可協助評估嗅探暴露、重放風險、GATT 枚舉濫用、廣播偽裝，以及中間人攻擊跡象，並提供實際 BLE 工具與工作流程指引。

configuring-snort-ids-for-intrusion-detection 技能，協助在授權的網路區段上安裝、設定、驗證與調校 Snort 3 IDS。內容涵蓋實務操作、規則載入、CLI 檢查、降低誤判，以及 Security Audit 工作流程。

analyzing-malware-sandbox-evasion-techniques 協助惡意程式分析人員檢視 Cuckoo 和 AnyRun 的行為，重點找出時間檢查、VM 痕跡查詢、使用者互動門檻與 sleep inflation。它專為 Malware Analysis 工作流程中的 analyzing-malware-sandbox-evasion-techniques 情境而設，適合判斷樣本是否在躲避 sandbox。

analyzing-malware-persistence-with-autoruns 是一個用於惡意程式分析的 Sysinternals Autoruns 技能。它可協助你以可重複的流程檢視 Windows 持久化位置，包括 Run 機碼、服務、排程工作、Winlogon、驅動程式與 WMI，並透過 CSV 匯出、可疑項目審查與可直接納入報告的結果來完成分析。

hunting-advanced-persistent-threats 是一個威脅狩獵技能，用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程，將發現對應到 MITRE ATT&CK，並把威脅情資轉化為可執行的查詢與調查步驟，而不是零散的搜尋。

extracting-windows-event-logs-artifacts 可協助你擷取、解析並分析 Windows Event Logs（EVTX），用於數位鑑識、事件回應與威脅狩獵。它支援以結構化方式檢視登入、程序建立、服務安裝、排程工作、權限變更與日誌清除，並可搭配 Chainsaw、Hayabusa 和 EvtxECmd 使用。

這是一份用 Rekall 分析 Windows 記憶體映像的 extracting-memory-artifacts-with-rekall 指南。你將學到安裝與使用模式，並找出隱藏程序、注入程式碼、可疑 VAD、已載入 DLL 與網路活動，適用於數位鑑識。

extracting-iocs-from-malware-samples 的惡意程式分析技能指南：從樣本中擷取雜湊、IP、網域、URL、主機痕跡與驗證線索，用於威脅情報與偵測。