Sentinel

detecting-service-account-abuse 是一個威脅狩獵技能，用於在 Windows、AD、SIEM 與 EDR 遙測中找出服務帳號濫用情況。它聚焦於可疑的互動式登入、權限提升、橫向移動與存取異常，並提供可重複執行的調查模板、事件 ID 與工作流程參考。

detecting-azure-service-principal-abuse 可協助偵測、調查並記錄 Azure 中可疑的 Microsoft Entra ID 服務主體活動。適用於安全稽核、雲端事件應變與威脅狩獵，可檢視認證變更、管理員同意濫用、角色指派、擁有權路徑與登入異常。

detecting-azure-lateral-movement 可協助資安分析師在 Azure AD/Entra ID 與 Microsoft Sentinel 中，利用 Microsoft Graph 稽核記錄、登入遙測與 KQL 關聯分析來追查橫向移動。適合用於事件初步分流、偵測工程與資安稽核流程，涵蓋同意權濫用、服務主體誤用、權杖竊取，以及跨租戶跳轉等情境。

detecting-fileless-attacks-on-endpoints 可協助建立針對 Windows 端點記憶體內攻擊的偵測，包括 PowerShell 濫用、WMI 持久化、反射式載入與程序注入。適合用於安全稽核、威脅狩獵與偵測工程，並搭配 Sysmon、AMSI 與 PowerShell 記錄來使用。

deploying-edr-agent-with-crowdstrike 可協助規劃、安裝並驗證 CrowdStrike Falcon sensor 在 Windows、macOS 與 Linux 端點上的部署。若你需要安裝指引、政策設定、遙測串接 SIEM，以及 Incident Response 的就緒規劃，這個 deploying-edr-agent-with-crowdstrike 技能很適合用來參考。

building-threat-hunt-hypothesis-framework 可協助你從威脅情資、ATT&CK 對應與遙測資料，建立可驗證的威脅狩獵假設。使用這個 building-threat-hunt-hypothesis-framework 技能來規劃狩獵、對應資料來源、執行查詢，並為 Threat Modeling 的威脅狩獵與 building-threat-hunt-hypothesis-framework 記錄發現。

building-detection-rules-with-sigma 可協助分析師從威脅情資或廠商規則建立可攜式 Sigma 偵測規則，並對應到 MITRE ATT&CK，再轉換成 Splunk、Elastic、Microsoft Sentinel 等 SIEM 可用格式。這份 building-detection-rules-with-sigma 指南適合用於 Security Audit 工作流程、規則標準化，以及 detection-as-code。

building-cloud-siem-with-sentinel 是一份實作導向指南，說明如何將 Microsoft Sentinel 部署為雲端 SIEM 與 SOAR 層。內容涵蓋多雲日誌匯入、KQL 偵測、事件調查，以及用於 Security Audit 和 SOC 作業的 Logic Apps 回應 playbook。當你需要一個以 repo 為基礎的起點，來集中監控雲端安全時，這個 building-cloud-siem-with-sentinel 技能很適合使用。