Blue Team

detecting-lateral-movement-with-zeek 是一個以 Zeek 為基礎的資安技能，適用於威脅狩獵與事件回應。它可透過 Zeek 日誌（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log、kerberos.log）偵測 SMB 管理員共享存取、DCE/RPC 服務建立、NTLM spray、Kerberos 異常，以及可疑的內網傳輸。

detecting-rdp-brute-force-attacks 可協助分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重複的 4625 失敗、4624 在失敗後成功登入、與 NLA 相關的登入，以及來源 IP 集中現象。可用於 Security Audit、威脅狩獵，以及可重複的 EVTX 式調查。

detecting-t1003-credential-dumping-with-edr 技能，適用於結合 EDR、Sysmon 與 Windows 事件關聯進行威脅狩獵，偵測 LSASS、SAM、NTDS.dit、LSA secrets 以及快取憑證傾印。可用來驗證告警、界定事件範圍，並透過實作導向的流程指引降低誤判。

detecting-container-escape-with-falco-rules 可協助使用 Falco runtime security rules 偵測容器逃逸嘗試。內容聚焦於 syscall 訊號、特權容器、host-path 濫用、驗證，以及 Kubernetes 與 Linux 容器環境中的事件回應流程。