威胁情报

building-ioc-defanging-and-sharing-pipeline 技能可用來擷取 IOC，並將 URL、IP、網域、電子郵件與雜湊進行 defang，接著轉換為 STIX 2.1，透過 TAXII 或 MISP 共享，支援資安稽核與威脅情資工作流程。

building-incident-timeline-with-timesketch 可協助 DFIR 團隊在 Timesketch 中建立可協作的事件時間線，透過匯入 Plaso、CSV 或 JSONL 證據，標準化時間戳、關聯事件，並記錄攻擊鏈，支援事件初步分流與報告撰寫。

detecting-mobile-malware-behavior 技能會分析可疑的 Android 與 iOS App，檢查權限濫用、執行時活動、網路指標，以及類似惡意程式的行為模式。適合用於分流判斷、事件應變，以及 Security Audit 工作流程中的 detecting-mobile-malware-behavior，並以可佐證的行動裝置分析提供依據。

detecting-business-email-compromise 技能可協助分析師、SOC 團隊與事件應變人員，透過電子郵件標頭檢查、社交工程線索、偵測邏輯與以應變為導向的工作流程，辨識 BEC 嘗試。可將它當作一份實用的 detecting-business-email-compromise 指南，用於分流、驗證與封鎖處置。

detecting-beaconing-patterns-with-zeek 可協助分析 Zeek `conn.log` 的時間間隔，用來偵測 C2 風格的 beaconing。它使用 ZAT，依來源、目的地與埠號分組流量，並透過統計檢查評分低抖動模式。很適合 SOC、威脅狩獵、事件應變，以及在 Security Audit 工作流程中使用 detecting-beaconing-patterns-with-zeek。

analyzing-supply-chain-malware-artifacts 是一個用於追查木馬化更新、遭投毒的依賴項與建置流程竄改的惡意軟體分析技能。可用來比對可信與不可信的工件、擷取指標、評估受影響範圍，並以更少猜測完成回報。

analyzing-ransomware-network-indicators 可協助分析 Zeek conn.log 與 NetFlow，找出 C2 beaconing、TOR 出口、資料外傳，以及可疑 DNS，適用於安全稽核與事件應變。

analyzing-ransomware-payment-wallets 是一個唯讀的區塊鏈鑑識技能，用於追蹤勒索軟體收款錢包、追查資金流向，並對相關地址進行群聚分析，以支援資安稽核與事件應變。當你手上有 BTC 地址、交易雜湊或可疑錢包，且需要有證據基礎的歸因支援時，這項技能特別適合。

analyzing-ransomware-leak-site-intelligence 可用來監控勒索軟體資料外洩站、擷取受害者與團伙訊號，並產出結構化威脅情資，支援事件應變、產業風險檢視與對手追蹤。

analyzing-cloud-storage-access-patterns 協助資安團隊偵測 AWS S3、GCS 與 Azure Blob Storage 中可疑的雲端儲存存取行為。它會分析稽核記錄，找出大量下載、新來源 IP、不尋常的 API 呼叫、儲存貯體列舉、非上班時段存取，以及透過基準值與異常檢查判斷可能的資料外洩。

hunting-advanced-persistent-threats 是一個威脅狩獵技能，用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程，將發現對應到 MITRE ATT&CK，並把威脅情資轉化為可執行的查詢與調查步驟，而不是零散的搜尋。

generating-threat-intelligence-reports 技能可將已分析的網路資安資料，轉化為面向高階主管、SOC 團隊、IR 負責人與分析師的策略性、作業性、戰術性或快訊型威脅情資報告。它支援成品情資、信心程度用語、TLP 標示處理，以及清楚的 Report Writing 建議。

extracting-iocs-from-malware-samples 的惡意程式分析技能指南：從樣本中擷取雜湊、IP、網域、URL、主機痕跡與驗證線索，用於威脅情報與偵測。

evaluating-threat-intelligence-platforms 可協助你從資料來源匯入、STIX/TAXII 支援、自動化、分析師工作流程、整合能力與總持有成本等面向，比較 TIP 產品。這份 evaluating-threat-intelligence-platforms 指南適合用在採購、遷移或成熟度規劃；若平台選型會影響可追溯性與證據共享，也可用於 Threat Modeling 情境下的 evaluating-threat-intelligence-platforms。

detecting-privilege-escalation-attempts 可協助在 Windows 與 Linux 上追查權限提升，包括 token 操作、UAC 繞過、未加引號的服務路徑、核心漏洞利用，以及 sudo/doas 濫用。專為需要實用流程、參考查詢與輔助腳本的威脅獵捕團隊打造。

detecting-living-off-the-land-attacks 技能，適用於 Security Audit、威脅狩獵與事件回應。透過程序建立、命令列與父子程序關聯遙測，偵測 certutil、mshta、rundll32、regsvr32 等合法 Windows 二進位檔遭濫用的情況。本指南聚焦可直接落地的 LOLBin 偵測模式，而非廣泛的 Windows 強化。

detecting-kerberoasting-attacks 技能可透過辨識可疑的 Kerberos TGS 請求、薄弱的票證加密，以及服務帳號特徵來協助追查 Kerberoasting。適合用於 SIEM、EDR、EVTX，以及威脅建模流程中的 detecting-kerberoasting-attacks，並提供實用的偵測範本與調校建議。

detecting-insider-threat-with-ueba 可協助你在 Elasticsearch 或 OpenSearch 中建立 UEBA 偵測，涵蓋內部威脅情境所需的行為基線、異常分數、同儕群組分析，以及針對資料外洩、權限濫用與未授權存取的關聯式警示。適合用於 Incident Response 工作流程中的 detecting-insider-threat-with-ueba。

detecting-insider-threat-behaviors 可協助分析師追查內部威脅風險訊號，例如異常資料存取、非上班時段活動、大量下載、權限濫用，以及與離職相關的資料竊取。這份 detecting-insider-threat-behaviors 指南適合用於威脅狩獵、UEBA 風格的分流判讀與威脅建模，內含工作流程範本、SIEM 查詢範例與風險權重。

detecting-email-account-compromise 可協助事件應變人員與 SOC 分析師調查 Microsoft 365 與 Google Workspace 信箱遭接管的情況，方法包括檢查可疑登入、收件匣規則濫用、外部轉寄、OAuth 授權，以及 Graph／稽核記錄活動。可將它當作實用的 detecting-email-account-compromise 排查指南，幫助快速初步研判。

detecting-dll-sideloading-attacks 可協助安全稽核、威脅狩獵與事件回應團隊，使用 Sysmon、EDR、MDE 和 Splunk 偵測 DLL side-loading。這份 detecting-dll-sideloading-attacks 指南包含工作流程筆記、狩獵範本、標準對照，以及可將可疑 DLL 載入轉化為可重複偵測的腳本。

detecting-credential-dumping-techniques 技能可協助你偵測 LSASS 存取、SAM 匯出、NTDS.dit 竊取，以及透過 comsvcs.dll 的 MiniDump 濫用，並使用 Sysmon Event ID 10、Windows Security 記錄與 SIEM 關聯規則來進行分析。它是為威脅獵捕、偵測工程與 Security Audit 工作流程而設計。

detecting-command-and-control-over-dns 是一項資安技能，用來辨識透過 DNS 進行的 C2（指揮與控制），涵蓋隧道傳輸、beaconing、DGA 網域，以及 TXT/CNAME 濫用。它透過熵值檢查、被動 DNS 關聯分析，以及類似 Zeek 或 Suricata 的偵測流程，支援 SOC 分析師、威脅獵捕人員與安全稽核。

使用 AI 結合 NLP、文體分析、行為訊號與關聯脈絡來偵測商務電子郵件詐騙（BEC）。這個 detecting-business-email-compromise-with-ai 技能可協助 SOC、詐欺與資安稽核團隊為可疑郵件評分、解釋風險訊號，並判斷是否應隔離、警示或升級處理。