Endpoint Security

configuring-host-based-intrusion-detection 指南，協助你使用 Wazuh、OSSEC 或 AIDE 建置 HIDS，用於監控檔案完整性、系統變更，以及以合規為導向的端點安全，適合 Security Audit 工作流程。

detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師，使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果，並區分攻擊者持久化與正常的系統管理自動化。

detecting-evasion-techniques-in-endpoint-logs 技能可協助在 Windows 端點日誌中追查防禦規避行為，包括清除日誌、時間戳竄改（timestomping）、程序注入，以及停用安全工具。適合用於威脅狩獵、偵測工程與事件初步分流，並可搭配 Sysmon、Windows Security 或 EDR 遙測資料使用。

detecting-fileless-attacks-on-endpoints 可協助建立針對 Windows 端點記憶體內攻擊的偵測，包括 PowerShell 濫用、WMI 持久化、反射式載入與程序注入。適合用於安全稽核、威脅狩獵與偵測工程，並搭配 Sysmon、AMSI 與 PowerShell 記錄來使用。

deploying-osquery-for-endpoint-monitoring 指南，說明如何部署與設定 osquery，以提升端點可視性、進行全機群監控，並用 SQL 進行威脅狩獵。可用來規劃安裝、閱讀工作流程與 API 參考，並在 Windows、macOS 與 Linux 端點上落實排程查詢、日誌蒐集與集中檢視。

這是一個用於 Microsoft Defender for Endpoint 強化設定的 configuring-windows-defender-advanced-settings 技能。涵蓋 ASR 規則、受控資料夾存取、網路防護、漏洞防護、部署規劃，以及以稽核優先的 rollout 指引，適合資安工程師、IT 管理員與 Security Audit 工作流程使用。