M
detecting-service-account-abuse
作者 mukul975
detecting-service-account-abuse 是一個威脅狩獵技能,用於在 Windows、AD、SIEM 與 EDR 遙測中找出服務帳號濫用情況。它聚焦於可疑的互動式登入、權限提升、橫向移動與存取異常,並提供可重複執行的調查模板、事件 ID 與工作流程參考。
Threat Hunting
收藏 0GitHub 6.2k
Mitre Attack
Mitre Attack taxonomy generated by the site skill importer.
29 個技能
M
analyzing-campaign-attribution-evidence
作者 mukul975
analyzing-campaign-attribution-evidence 協助分析人員綜合評估基礎架構重疊、ATT&CK 一致性、惡意程式相似度、時間線與語言特徵,進而做出有理有據的活動歸因。可用這份 analyzing-campaign-attribution-evidence 指南來支援 CTI、事件分析與 Security Audit 審查。
安全稽核
收藏 0GitHub 6.1k
M
hunting-advanced-persistent-threats
作者 mukul975
hunting-advanced-persistent-threats 是一個威脅狩獵技能,用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程,將發現對應到 MITRE ATT&CK,並把威脅情資轉化為可執行的查詢與調查步驟,而不是零散的搜尋。
Threat Hunting
收藏 0GitHub 0
M
executing-red-team-exercise
作者 mukul975
executing-red-team-exercise 是一項資安技能,用於規劃與追蹤逼真的紅隊演練。它支援從偵察、技術選擇、執行到偵測缺口檢視的對手模擬流程,適合用於 Security Audit 工作與符合 ATT&CK 的評估。
安全稽核
收藏 0GitHub 0
M
detecting-wmi-persistence
作者 mukul975
detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師,使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果,並區分攻擊者持久化與正常的系統管理自動化。
Threat Hunting
收藏 0GitHub 0
M
detecting-process-hollowing-technique
作者 mukul975
detecting-process-hollowing-technique 協助在 Windows 遙測中狩獵程序空洞化(T1055.012),透過關聯掛起啟動、記憶體竄改、父子程序異常與 API 證據來提升偵測命中率。它適合需要可落地的 detecting-process-hollowing-technique 來支援 Threat Hunting 工作流程的威脅獵捕者、偵測工程師與應變人員。
Threat Hunting
收藏 0GitHub 0
M
detecting-privilege-escalation-attempts
作者 mukul975
detecting-privilege-escalation-attempts 可協助在 Windows 與 Linux 上追查權限提升,包括 token 操作、UAC 繞過、未加引號的服務路徑、核心漏洞利用,以及 sudo/doas 濫用。專為需要實用流程、參考查詢與輔助腳本的威脅獵捕團隊打造。
Threat Hunting
收藏 0GitHub 0
M
detecting-mimikatz-execution-patterns
作者 mukul975
detecting-mimikatz-execution-patterns 可協助分析人員透過命令列樣式、LSASS 存取訊號、二進位指標與記憶體痕跡來偵測 Mimikatz 執行。若你要用這個 detecting-mimikatz-execution-patterns 技能進行安裝,可用於安全稽核、威脅狩獵與事件回應,並搭配範本、參考資料與工作流程指引。
安全稽核
收藏 0GitHub 0
M
detecting-living-off-the-land-attacks
作者 mukul975
detecting-living-off-the-land-attacks 技能,適用於 Security Audit、威脅狩獵與事件回應。透過程序建立、命令列與父子程序關聯遙測,偵測 certutil、mshta、rundll32、regsvr32 等合法 Windows 二進位檔遭濫用的情況。本指南聚焦可直接落地的 LOLBin 偵測模式,而非廣泛的 Windows 強化。
安全稽核
收藏 0GitHub 0
M
detecting-kerberoasting-attacks
作者 mukul975
detecting-kerberoasting-attacks 技能可透過辨識可疑的 Kerberos TGS 請求、薄弱的票證加密,以及服務帳號特徵來協助追查 Kerberoasting。適合用於 SIEM、EDR、EVTX,以及威脅建模流程中的 detecting-kerberoasting-attacks,並提供實用的偵測範本與調校建議。
威胁建模
收藏 0GitHub 0
M
detecting-insider-threat-behaviors
作者 mukul975
detecting-insider-threat-behaviors 可協助分析師追查內部威脅風險訊號,例如異常資料存取、非上班時段活動、大量下載、權限濫用,以及與離職相關的資料竊取。這份 detecting-insider-threat-behaviors 指南適合用於威脅狩獵、UEBA 風格的分流判讀與威脅建模,內含工作流程範本、SIEM 查詢範例與風險權重。
威胁建模
收藏 0GitHub 0
M
detecting-dll-sideloading-attacks
作者 mukul975
detecting-dll-sideloading-attacks 可協助安全稽核、威脅狩獵與事件回應團隊,使用 Sysmon、EDR、MDE 和 Splunk 偵測 DLL side-loading。這份 detecting-dll-sideloading-attacks 指南包含工作流程筆記、狩獵範本、標準對照,以及可將可疑 DLL 載入轉化為可重複偵測的腳本。
安全稽核
收藏 0GitHub 0
M
detecting-command-and-control-over-dns
作者 mukul975
detecting-command-and-control-over-dns 是一項資安技能,用來辨識透過 DNS 進行的 C2(指揮與控制),涵蓋隧道傳輸、beaconing、DGA 網域,以及 TXT/CNAME 濫用。它透過熵值檢查、被動 DNS 關聯分析,以及類似 Zeek 或 Suricata 的偵測流程,支援 SOC 分析師、威脅獵捕人員與安全稽核。
安全稽核
收藏 0GitHub 0
M
correlating-threat-campaigns
作者 mukul975
correlating-threat-campaigns 協助威脅情資分析師將事件、IOC 與 TTP 串聯成活動層級的證據。可用來比對歷史事件、區分強關聯與弱匹配,並建立可辯護的叢集分析,供 MISP、SIEM 與 CTI 報告使用。
Threat Intelligence
收藏 0GitHub 0
M
conducting-post-incident-lessons-learned
作者 mukul975
conducting-post-incident-lessons-learned 技能可協助 Incident Response 團隊進行有結構的事後檢討,建立具事實依據的時間線,找出根因,整理哪些做法有效、哪些地方失誤,並把每次事故轉化為可衡量的改進項目,包括負責人、截止日期與 playbook 更新。
Incident Response
收藏 0GitHub 0
M
conducting-pass-the-ticket-attack
作者 mukul975
conducting-pass-the-ticket-attack 是一個用於資安稽核與紅隊演練的技能,協助你規劃與記錄 Pass-the-Ticket(PtT)流程。它可幫助你檢視 Kerberos 票證、對應偵測訊號,並使用 conducting-pass-the-ticket-attack skill 產出結構化的驗證或報告流程。
安全稽核
收藏 0GitHub 0
M
conducting-cloud-penetration-testing
作者 mukul975
conducting-cloud-penetration-testing 可協助你規劃並執行經授權的雲端評估,涵蓋 AWS、Azure 與 GCP。可用來找出 IAM 設定錯誤、metadata 暴露、公開資源與權限提升路徑,並將結果整理成資安稽核報告。它適用於 Security Audit 工作流程中的 conducting-cloud-penetration-testing 技能。
安全稽核
收藏 0GitHub 0
M
collecting-threat-intelligence-with-misp
作者 mukul975
collecting-threat-intelligence-with-misp 技能可協助你在 MISP 中蒐集、標準化、搜尋與匯出威脅情資。這份 collecting-threat-intelligence-with-misp 指南適用於 feed、PyMISP 工作流程、事件篩選、warninglist 降噪,以及 Threat Modeling 與 CTI 作業中實際可用的 collecting-threat-intelligence-with-misp 方法。
威胁建模
收藏 0GitHub 0
M
building-threat-intelligence-platform
作者 mukul975
building-threat-intelligence-platform 技能,適用於使用 MISP、OpenCTI、TheHive、Cortex、STIX/TAXII 與 Elasticsearch 設計、部署和審視威脅情資平台。可用於安裝指引、使用流程,以及由倉庫參考資料與腳本支援的 Security Audit 規劃。
安全稽核
收藏 0GitHub 0
M
building-threat-hunt-hypothesis-framework
作者 mukul975
building-threat-hunt-hypothesis-framework 可協助你從威脅情資、ATT&CK 對應與遙測資料,建立可驗證的威脅狩獵假設。使用這個 building-threat-hunt-hypothesis-framework 技能來規劃狩獵、對應資料來源、執行查詢,並為 Threat Modeling 的威脅狩獵與 building-threat-hunt-hypothesis-framework 記錄發現。
威胁建模
收藏 0GitHub 0
M
building-threat-actor-profile-from-osint
作者 mukul975
building-threat-actor-profile-from-osint 可協助威脅情資團隊將 OSINT 轉化為結構化的威脅行為者檔案。它支援針對已命名的組織或活動進行分析,並提供 ATT&CK 對應、基礎設施關聯、來源可追溯性與信心註記,讓分析更具可辯護性。
Threat Intelligence
收藏 0GitHub 0
M
building-soc-playbook-for-ransomware
作者 mukul975
building-soc-playbook-for-ransomware 是一款適合需要結構化勒索軟體應變手冊的 SOC 團隊使用的技能。內容涵蓋偵測觸發條件、隔離、清除、復原,以及符合 NIST SP 800-61 與 MITRE ATT&CK 的稽核就緒流程。可用於實作可落地的 playbook 建置、桌上演練,以及 Security Audit 支援。
安全稽核
收藏 0GitHub 0
M
building-detection-rules-with-sigma
作者 mukul975
building-detection-rules-with-sigma 可協助分析師從威脅情資或廠商規則建立可攜式 Sigma 偵測規則,並對應到 MITRE ATT&CK,再轉換成 Splunk、Elastic、Microsoft Sentinel 等 SIEM 可用格式。這份 building-detection-rules-with-sigma 指南適合用於 Security Audit 工作流程、規則標準化,以及 detection-as-code。
安全稽核
收藏 0GitHub 0
M
building-detection-rule-with-splunk-spl
作者 mukul975
building-detection-rule-with-splunk-spl 可協助 SOC 分析師與偵測工程師建立 Splunk SPL 關聯搜尋,用於威脅偵測、調校與 Security Audit 審查。它能把偵測需求簡報轉成可部署的規則,並提供 MITRE 對應、資料增補與驗證指引。
安全稽核
收藏 0GitHub 0