Detection

detecting-ransomware-encryption-behavior 可協助防守方透過熵值分析、檔案 I/O 監控與行為式啟發規則，辨識類勒索軟體的加密行為。適合事件應變、SOC 調校與紅隊驗證等情境，當你需要快速偵測大量檔案變更、批次重新命名與可疑程序活動時特別有用。

detecting-process-injection-techniques 可協助分析可疑的記憶體內活動、驗證 EDR 警示，並辨識 process hollowing、APC injection、thread hijacking、reflective loading 與傳統 DLL injection，適用於安全稽核與惡意程式初步分析。

deploying-ransomware-canary-files 這項技能可協助資安團隊在關鍵目錄部署誘餌檔案，並監控讀取、修改、重新命名或刪除事件，以便提早發現勒索軟體跡象。適合用於 Security Audit 工作流程、輕量級偵測，以及透過 Slack、email 或 syslog 發出警示，但不能取代 EDR 或備份。

deploying-active-directory-honeytokens 協助防守者規劃並產生 Active Directory honeytokens，適用於 Security Audit 工作，包括偽造特權帳號、用於 Kerberoasting 偵測的偽 SPN、誘餌 GPO 陷阱，以及具欺騙性的 BloodHound 路徑。它把偏安裝導向的指引與腳本、遙測提示結合起來，方便實際部署與檢視。