Edr

hunting-advanced-persistent-threats 是一個威脅狩獵技能，用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程，將發現對應到 MITRE ATT&CK，並把威脅情資轉化為可執行的查詢與調查步驟，而不是零散的搜尋。

detecting-process-hollowing-technique 協助在 Windows 遙測中狩獵程序空洞化（T1055.012），透過關聯掛起啟動、記憶體竄改、父子程序異常與 API 證據來提升偵測命中率。它適合需要可落地的 detecting-process-hollowing-technique 來支援 Threat Hunting 工作流程的威脅獵捕者、偵測工程師與應變人員。

detecting-evasion-techniques-in-endpoint-logs 技能可協助在 Windows 端點日誌中追查防禦規避行為，包括清除日誌、時間戳竄改（timestomping）、程序注入，以及停用安全工具。適合用於威脅狩獵、偵測工程與事件初步分流，並可搭配 Sysmon、Windows Security 或 EDR 遙測資料使用。

detecting-mimikatz-execution-patterns 可協助分析人員透過命令列樣式、LSASS 存取訊號、二進位指標與記憶體痕跡來偵測 Mimikatz 執行。若你要用這個 detecting-mimikatz-execution-patterns 技能進行安裝，可用於安全稽核、威脅狩獵與事件回應，並搭配範本、參考資料與工作流程指引。

detecting-living-off-the-land-attacks 技能，適用於 Security Audit、威脅狩獵與事件回應。透過程序建立、命令列與父子程序關聯遙測，偵測 certutil、mshta、rundll32、regsvr32 等合法 Windows 二進位檔遭濫用的情況。本指南聚焦可直接落地的 LOLBin 偵測模式，而非廣泛的 Windows 強化。

detecting-insider-threat-behaviors 可協助分析師追查內部威脅風險訊號，例如異常資料存取、非上班時段活動、大量下載、權限濫用，以及與離職相關的資料竊取。這份 detecting-insider-threat-behaviors 指南適合用於威脅狩獵、UEBA 風格的分流判讀與威脅建模，內含工作流程範本、SIEM 查詢範例與風險權重。

detecting-dll-sideloading-attacks 可協助安全稽核、威脅狩獵與事件回應團隊，使用 Sysmon、EDR、MDE 和 Splunk 偵測 DLL side-loading。這份 detecting-dll-sideloading-attacks 指南包含工作流程筆記、狩獵範本、標準對照，以及可將可疑 DLL 載入轉化為可重複偵測的腳本。

deploying-edr-agent-with-crowdstrike 可協助規劃、安裝並驗證 CrowdStrike Falcon sensor 在 Windows、macOS 與 Linux 端點上的部署。若你需要安裝指引、政策設定、遙測串接 SIEM，以及 Incident Response 的就緒規劃，這個 deploying-edr-agent-with-crowdstrike 技能很適合用來參考。

conducting-malware-incident-response 可協助 IR 團隊分流可疑惡意軟體、確認是否感染、判定擴散範圍、隔離端點，並支援清除與復原。此技能專為 conducting-malware-incident-response 的 Incident Response 工作流程而設計，提供有證據基礎的步驟、以遙測為依據的判斷，以及實用的封鎖與隔離指引。

building-threat-hunt-hypothesis-framework 可協助你從威脅情資、ATT&CK 對應與遙測資料，建立可驗證的威脅狩獵假設。使用這個 building-threat-hunt-hypothesis-framework 技能來規劃狩獵、對應資料來源、執行查詢，並為 Threat Modeling 的威脅狩獵與 building-threat-hunt-hypothesis-framework 記錄發現。