M
detecting-service-account-abuse
作者 mukul975
detecting-service-account-abuse 是一個威脅狩獵技能,用於在 Windows、AD、SIEM 與 EDR 遙測中找出服務帳號濫用情況。它聚焦於可疑的互動式登入、權限提升、橫向移動與存取異常,並提供可重複執行的調查模板、事件 ID 與工作流程參考。
Threat Hunting
收藏 0GitHub 6.2k
Microsoft Defender
由站点技能导入器呈现的 Microsoft Defender 技能与工作流。
6 個技能
M
detecting-privilege-escalation-attempts
作者 mukul975
detecting-privilege-escalation-attempts 可協助在 Windows 與 Linux 上追查權限提升,包括 token 操作、UAC 繞過、未加引號的服務路徑、核心漏洞利用,以及 sudo/doas 濫用。專為需要實用流程、參考查詢與輔助腳本的威脅獵捕團隊打造。
Threat Hunting
收藏 0GitHub 0
M
detecting-pass-the-hash-attacks
作者 mukul975
用於偵測 pass-the-hash attacks 的技能,協助追查基於 NTLM 的橫向移動、可疑的 Type 3 登入,以及透過 Windows Security logs、Splunk 和 KQL 進行的 T1550.002 活動。
Threat Hunting
收藏 0GitHub 0
M
detecting-insider-threat-behaviors
作者 mukul975
detecting-insider-threat-behaviors 可協助分析師追查內部威脅風險訊號,例如異常資料存取、非上班時段活動、大量下載、權限濫用,以及與離職相關的資料竊取。這份 detecting-insider-threat-behaviors 指南適合用於威脅狩獵、UEBA 風格的分流判讀與威脅建模,內含工作流程範本、SIEM 查詢範例與風險權重。
威胁建模
收藏 0GitHub 0
M
detecting-fileless-attacks-on-endpoints
作者 mukul975
detecting-fileless-attacks-on-endpoints 可協助建立針對 Windows 端點記憶體內攻擊的偵測,包括 PowerShell 濫用、WMI 持久化、反射式載入與程序注入。適合用於安全稽核、威脅狩獵與偵測工程,並搭配 Sysmon、AMSI 與 PowerShell 記錄來使用。
安全稽核
收藏 0GitHub 0
M
containing-active-breach
作者 mukul975
containing-active-breach 是一個用於即時入侵封控的 incident-response 技能。它能透過結構化的 containing-active-breach 指南,並搭配實用的 API 與腳本參考,協助隔離主機、封鎖可疑流量、停用遭入侵帳號,以及減緩橫向移動。
Incident Response
收藏 0GitHub 0