SIEM

由站点技能导入器展示的 SIEM 技能和工作流程。

29 個技能

detecting-rdp-brute-force-attacks

作者 mukul975

detecting-rdp-brute-force-attacks 可協助分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重複的 4625 失敗、4624 在失敗後成功登入、與 NLA 相關的登入，以及來源 IP 集中現象。可用於 Security Audit、威脅狩獵，以及可重複的 EVTX 式調查。

安全稽核

收藏 0GitHub 6.2k

configuring-host-based-intrusion-detection

作者 mukul975

configuring-host-based-intrusion-detection 指南，協助你使用 Wazuh、OSSEC 或 AIDE 建置 HIDS，用於監控檔案完整性、系統變更，以及以合規為導向的端點安全，適合 Security Audit 工作流程。

安全稽核

收藏 0GitHub 6.1k

analyzing-security-logs-with-splunk

作者 mukul975

analyzing-security-logs-with-splunk 可協助你在 Splunk 中調查資安事件，將 Windows、防火牆、proxy 與驗證紀錄關聯成時間軸與證據。這個 analyzing-security-logs-with-splunk 技能是 Security Audit、事件回應與威脅獵捕的實用指南。

安全稽核

收藏 0GitHub 6.1k

detecting-mimikatz-execution-patterns

作者 mukul975

detecting-mimikatz-execution-patterns 可協助分析人員透過命令列樣式、LSASS 存取訊號、二進位指標與記憶體痕跡來偵測 Mimikatz 執行。若你要用這個 detecting-mimikatz-execution-patterns 技能進行安裝，可用於安全稽核、威脅狩獵與事件回應，並搭配範本、參考資料與工作流程指引。

安全稽核

收藏 0GitHub 0

detecting-living-off-the-land-attacks

作者 mukul975

detecting-living-off-the-land-attacks 技能，適用於 Security Audit、威脅狩獵與事件回應。透過程序建立、命令列與父子程序關聯遙測，偵測 certutil、mshta、rundll32、regsvr32 等合法 Windows 二進位檔遭濫用的情況。本指南聚焦可直接落地的 LOLBin 偵測模式，而非廣泛的 Windows 強化。

安全稽核

收藏 0GitHub 0

detecting-lateral-movement-in-network

作者 mukul975

detecting-lateral-movement-in-network 可協助企業網路在遭入侵後偵測橫向移動，結合 Windows 事件記錄、Zeek 遙測、SMB、RDP 與 SIEM 關聯分析。它特別適合威脅狩獵、事件回應，以及用於 Security Audit 檢視的 detecting-lateral-movement-in-network，並提供實用的偵測工作流程。

安全稽核

收藏 0GitHub 0

detecting-kerberoasting-attacks

作者 mukul975

detecting-kerberoasting-attacks 技能可透過辨識可疑的 Kerberos TGS 請求、薄弱的票證加密，以及服務帳號特徵來協助追查 Kerberoasting。適合用於 SIEM、EDR、EVTX，以及威脅建模流程中的 detecting-kerberoasting-attacks，並提供實用的偵測範本與調校建議。

威胁建模

收藏 0GitHub 0

detecting-insider-threat-with-ueba

作者 mukul975

detecting-insider-threat-with-ueba 可協助你在 Elasticsearch 或 OpenSearch 中建立 UEBA 偵測，涵蓋內部威脅情境所需的行為基線、異常分數、同儕群組分析，以及針對資料外洩、權限濫用與未授權存取的關聯式警示。適合用於 Incident Response 工作流程中的 detecting-insider-threat-with-ueba。

Incident Response

收藏 0GitHub 0

detecting-insider-threat-behaviors

作者 mukul975

detecting-insider-threat-behaviors 可協助分析師追查內部威脅風險訊號，例如異常資料存取、非上班時段活動、大量下載、權限濫用，以及與離職相關的資料竊取。這份 detecting-insider-threat-behaviors 指南適合用於威脅狩獵、UEBA 風格的分流判讀與威脅建模，內含工作流程範本、SIEM 查詢範例與風險權重。

威胁建模

收藏 0GitHub 0

detecting-fileless-attacks-on-endpoints

作者 mukul975

detecting-fileless-attacks-on-endpoints 可協助建立針對 Windows 端點記憶體內攻擊的偵測，包括 PowerShell 濫用、WMI 持久化、反射式載入與程序注入。適合用於安全稽核、威脅狩獵與偵測工程，並搭配 Sysmon、AMSI 與 PowerShell 記錄來使用。

安全稽核

收藏 0GitHub 0

detecting-email-forwarding-rules-attack

作者 mukul975

detecting-email-forwarding-rules-attack 技能可協助資安稽核、威脅狩獵與事件應變團隊找出用於持久化與郵件蒐集的惡意信箱轉寄規則。它會引導分析人員檢視 Microsoft 365 與 Exchange 的相關證據、可疑規則樣式，以及轉寄、重新導向、刪除與隱藏行為的實務分流判讀。

安全稽核

收藏 0GitHub 0

detecting-attacks-on-scada-systems

作者 mukul975

detecting-attacks-on-scada-systems 是一項資安技能，專門用來偵測 SCADA 與 OT/ICS 環境中的攻擊。它可協助分析工業通訊協定濫用、未授權的 PLC 指令、HMI 遭入侵、歷史資料伺服器竄改，以及阻斷服務攻擊，並提供事件應變與偵測驗證的實務指引。

Incident Response

收藏 0GitHub 0

detecting-anomalous-authentication-patterns

作者 mukul975

detecting-anomalous-authentication-patterns 可協助分析驗證登入紀錄，找出不可能移動、暴力破解、密碼噴灑、憑證填充，以及帳號遭入侵等可疑活動。它適用於 Security Audit、SOC、IAM 與事件回應工作流程，具備會參考基準的偵測能力與有證據支撐的登入分析。

安全稽核

收藏 0GitHub 0

deploying-osquery-for-endpoint-monitoring

作者 mukul975

deploying-osquery-for-endpoint-monitoring 指南，說明如何部署與設定 osquery，以提升端點可視性、進行全機群監控，並用 SQL 進行威脅狩獵。可用來規劃安裝、閱讀工作流程與 API 參考，並在 Windows、macOS 與 Linux 端點上落實排程查詢、日誌蒐集與集中檢視。

監控

收藏 0GitHub 0

deploying-edr-agent-with-crowdstrike

作者 mukul975

deploying-edr-agent-with-crowdstrike 可協助規劃、安裝並驗證 CrowdStrike Falcon sensor 在 Windows、macOS 與 Linux 端點上的部署。若你需要安裝指引、政策設定、遙測串接 SIEM，以及 Incident Response 的就緒規劃，這個 deploying-edr-agent-with-crowdstrike 技能很適合用來參考。

Incident Response

收藏 0GitHub 0

correlating-security-events-in-qradar

作者 mukul975

correlating-security-events-in-qradar 可協助 SOC 與偵測團隊，使用 AQL、offense 情境、自訂規則與 reference data 來關聯 IBM QRadar 的 offenses。可用這份指南來調查事件、降低誤判，並為 Incident Response 建立更強的關聯邏輯。

Incident Response

收藏 0GitHub 0

configuring-suricata-for-network-monitoring

作者 mukul975

configuring-suricata-for-network-monitoring 技能可協助部署與調校 Suricata，用於 IDS/IPS 監控、EVE JSON 記錄、規則管理，以及可直接供 SIEM 使用的輸出。當你在 Security Audit 工作流程中需要實作設定、驗證與降低誤判時，configuring-suricata-for-network-monitoring 特別合適。

安全稽核

收藏 0GitHub 0

conducting-malware-incident-response

作者 mukul975

conducting-malware-incident-response 可協助 IR 團隊分流可疑惡意軟體、確認是否感染、判定擴散範圍、隔離端點，並支援清除與復原。此技能專為 conducting-malware-incident-response 的 Incident Response 工作流程而設計，提供有證據基礎的步驟、以遙測為依據的判斷，以及實用的封鎖與隔離指引。

Incident Response

收藏 0GitHub 0

building-vulnerability-scanning-workflow

作者 mukul975

building-vulnerability-scanning-workflow 協助 SOC 團隊建立可重複執行的漏洞掃描流程，涵蓋資產探索、優先排序、修補追蹤與報表輸出。它支援 Security Audit 情境，提供掃描器協調、KEV 風險排序，以及超越單次掃描的工作流程指引。

安全稽核

收藏 0GitHub 0

building-threat-hunt-hypothesis-framework

作者 mukul975

building-threat-hunt-hypothesis-framework 可協助你從威脅情資、ATT&CK 對應與遙測資料，建立可驗證的威脅狩獵假設。使用這個 building-threat-hunt-hypothesis-framework 技能來規劃狩獵、對應資料來源、執行查詢，並為 Threat Modeling 的威脅狩獵與 building-threat-hunt-hypothesis-framework 記錄發現。

威胁建模

收藏 0GitHub 0

building-threat-feed-aggregation-with-misp

作者 mukul975

building-threat-feed-aggregation-with-misp 可協助你部署 MISP，用來彙整、關聯並分享威脅情資來源，集中管理 IOC，並整合 SIEM。本技能指南涵蓋安裝與使用模式、情資來源同步、API 操作，以及供威脅情資團隊實作的實務工作流程步驟。

Threat Intelligence

收藏 0GitHub 0

building-soc-metrics-and-kpi-tracking

作者 mukul975

building-soc-metrics-and-kpi-tracking 技能可將 SOC 活動資料轉化為 MTTD、MTTR、告警品質、分析師生產力與偵測覆蓋率等 KPI。它適合需要可重複報表、趨勢追蹤，以及由 Splunk 工作流程支撐、方便向主管呈現的指標的 SOC 領導團隊、資安營運與可觀測性團隊。

Observability

收藏 0GitHub 0

building-detection-rules-with-sigma

作者 mukul975

building-detection-rules-with-sigma 可協助分析師從威脅情資或廠商規則建立可攜式 Sigma 偵測規則，並對應到 MITRE ATT&CK，再轉換成 Splunk、Elastic、Microsoft Sentinel 等 SIEM 可用格式。這份 building-detection-rules-with-sigma 指南適合用於 Security Audit 工作流程、規則標準化，以及 detection-as-code。

安全稽核

收藏 0GitHub 0

building-detection-rule-with-splunk-spl

作者 mukul975

building-detection-rule-with-splunk-spl 可協助 SOC 分析師與偵測工程師建立 Splunk SPL 關聯搜尋，用於威脅偵測、調校與 Security Audit 審查。它能把偵測需求簡報轉成可部署的規則，並提供 MITRE 對應、資料增補與驗證指引。

安全稽核

收藏 0GitHub 0