M
detecting-rdp-brute-force-attacks
作者 mukul975
detecting-rdp-brute-force-attacks 可協助分析 Windows Security Event Logs 中的 RDP 暴力破解模式,包括重複的 4625 失敗、4624 在失敗後成功登入、與 NLA 相關的登入,以及來源 IP 集中現象。可用於 Security Audit、威脅狩獵,以及可重複的 EVTX 式調查。
安全稽核
收藏 0GitHub 6.2k
Event Logs
Event Logs taxonomy generated by the site skill importer.
6 個技能
M
analyzing-usb-device-connection-history
作者 mukul975
analyzing-usb-device-connection-history 可協助在 Windows 上利用登錄機碼、事件記錄與 setupapi.dev.log 來調查 USB 裝置連線歷史,適用於數位鑑識、內部威脅調查與事件回應。它支援時間軸重建、裝置關聯分析,以及可移除媒體證據分析。
Digital Forensics
收藏 0GitHub 6.2k
M
extracting-windows-event-logs-artifacts
作者 mukul975
extracting-windows-event-logs-artifacts 可協助你擷取、解析並分析 Windows Event Logs(EVTX),用於數位鑑識、事件回應與威脅狩獵。它支援以結構化方式檢視登入、程序建立、服務安裝、排程工作、權限變更與日誌清除,並可搭配 Chainsaw、Hayabusa 和 EvtxECmd 使用。
Digital Forensics
收藏 0GitHub 0
M
detecting-wmi-persistence
作者 mukul975
detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師,使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果,並區分攻擊者持久化與正常的系統管理自動化。
Threat Hunting
收藏 0GitHub 0
M
detecting-evasion-techniques-in-endpoint-logs
作者 mukul975
detecting-evasion-techniques-in-endpoint-logs 技能可協助在 Windows 端點日誌中追查防禦規避行為,包括清除日誌、時間戳竄改(timestomping)、程序注入,以及停用安全工具。適合用於威脅狩獵、偵測工程與事件初步分流,並可搭配 Sysmon、Windows Security 或 EDR 遙測資料使用。
Threat Hunting
收藏 0GitHub 0
M
analyzing-windows-event-logs-in-splunk
作者 mukul975
analyzing-windows-event-logs-in-splunk skill 協助 SOC 分析師在 Splunk 中調查 Windows Security、System 與 Sysmon 記錄,找出驗證攻擊、權限提升、持續化與橫向移動行為。適合用於事件初步研判、偵測工程與時間軸分析,並提供對應的 SPL 模式與 Event ID 指引。
事件分诊
收藏 0GitHub 0