Detection Engineering

detecting-privilege-escalation-attempts 可協助在 Windows 與 Linux 上追查權限提升，包括 token 操作、UAC 繞過、未加引號的服務路徑、核心漏洞利用，以及 sudo/doas 濫用。專為需要實用流程、參考查詢與輔助腳本的威脅獵捕團隊打造。

detecting-evasion-techniques-in-endpoint-logs 技能可協助在 Windows 端點日誌中追查防禦規避行為，包括清除日誌、時間戳竄改（timestomping）、程序注入，以及停用安全工具。適合用於威脅狩獵、偵測工程與事件初步分流，並可搭配 Sysmon、Windows Security 或 EDR 遙測資料使用。

correlating-security-events-in-qradar 可協助 SOC 與偵測團隊，使用 AQL、offense 情境、自訂規則與 reference data 來關聯 IBM QRadar 的 offenses。可用這份指南來調查事件、降低誤判，並為 Incident Response 建立更強的關聯邏輯。

building-detection-rule-with-splunk-spl 可協助 SOC 分析師與偵測工程師建立 Splunk SPL 關聯搜尋，用於威脅偵測、調校與 Security Audit 審查。它能把偵測需求簡報轉成可部署的規則，並提供 MITRE 對應、資料增補與驗證指引。