Splunk

detecting-service-account-abuse 是一個威脅狩獵技能，用於在 Windows、AD、SIEM 與 EDR 遙測中找出服務帳號濫用情況。它聚焦於可疑的互動式登入、權限提升、橫向移動與存取異常，並提供可重複執行的調查模板、事件 ID 與工作流程參考。

detecting-azure-service-principal-abuse 可協助偵測、調查並記錄 Azure 中可疑的 Microsoft Entra ID 服務主體活動。適用於安全稽核、雲端事件應變與威脅狩獵，可檢視認證變更、管理員同意濫用、角色指派、擁有權路徑與登入異常。

analyzing-security-logs-with-splunk 可協助你在 Splunk 中調查資安事件，將 Windows、防火牆、proxy 與驗證紀錄關聯成時間軸與證據。這個 analyzing-security-logs-with-splunk 技能是 Security Audit、事件回應與威脅獵捕的實用指南。

detecting-privilege-escalation-attempts 可協助在 Windows 與 Linux 上追查權限提升，包括 token 操作、UAC 繞過、未加引號的服務路徑、核心漏洞利用，以及 sudo/doas 濫用。專為需要實用流程、參考查詢與輔助腳本的威脅獵捕團隊打造。

detecting-pass-the-ticket-attacks 可透過關聯 Windows 安全性事件 ID 4768、4769 與 4771，協助偵測 Kerberos Pass-the-Ticket 活動。適合在 Splunk 或 Elastic 中進行威脅狩獵，用來找出票證重用、RC4 降級與異常 TGS 流量，並提供實用查詢與欄位指引。

用於偵測 pass-the-hash attacks 的技能，協助追查基於 NTLM 的橫向移動、可疑的 Type 3 登入，以及透過 Windows Security logs、Splunk 和 KQL 進行的 T1550.002 活動。

detecting-lateral-movement-in-network 可協助企業網路在遭入侵後偵測橫向移動，結合 Windows 事件記錄、Zeek 遙測、SMB、RDP 與 SIEM 關聯分析。它特別適合威脅狩獵、事件回應，以及用於 Security Audit 檢視的 detecting-lateral-movement-in-network，並提供實用的偵測工作流程。

detecting-kerberoasting-attacks 技能可透過辨識可疑的 Kerberos TGS 請求、薄弱的票證加密，以及服務帳號特徵來協助追查 Kerberoasting。適合用於 SIEM、EDR、EVTX，以及威脅建模流程中的 detecting-kerberoasting-attacks，並提供實用的偵測範本與調校建議。

detecting-insider-threat-behaviors 可協助分析師追查內部威脅風險訊號，例如異常資料存取、非上班時段活動、大量下載、權限濫用，以及與離職相關的資料竊取。這份 detecting-insider-threat-behaviors 指南適合用於威脅狩獵、UEBA 風格的分流判讀與威脅建模，內含工作流程範本、SIEM 查詢範例與風險權重。

detecting-golden-ticket-forgery 透過分析 Windows Event ID 4769、RC4 降級使用（0x17）、異常票證存活時間，以及 Splunk 與 Elastic 中的 krbtgt 異常，偵測 Kerberos Golden Ticket 偽造。適合用於安全稽核、事件調查與威脅狩獵，並提供實用的偵測指引。

detecting-email-forwarding-rules-attack 技能可協助資安稽核、威脅狩獵與事件應變團隊找出用於持久化與郵件蒐集的惡意信箱轉寄規則。它會引導分析人員檢視 Microsoft 365 與 Exchange 的相關證據、可疑規則樣式，以及轉寄、重新導向、刪除與隱藏行為的實務分流判讀。

detecting-dll-sideloading-attacks 可協助安全稽核、威脅狩獵與事件回應團隊，使用 Sysmon、EDR、MDE 和 Splunk 偵測 DLL side-loading。這份 detecting-dll-sideloading-attacks 指南包含工作流程筆記、狩獵範本、標準對照，以及可將可疑 DLL 載入轉化為可重複偵測的腳本。

deploying-edr-agent-with-crowdstrike 可協助規劃、安裝並驗證 CrowdStrike Falcon sensor 在 Windows、macOS 與 Linux 端點上的部署。若你需要安裝指引、政策設定、遙測串接 SIEM，以及 Incident Response 的就緒規劃，這個 deploying-edr-agent-with-crowdstrike 技能很適合用來參考。

building-threat-hunt-hypothesis-framework 可協助你從威脅情資、ATT&CK 對應與遙測資料，建立可驗證的威脅狩獵假設。使用這個 building-threat-hunt-hypothesis-framework 技能來規劃狩獵、對應資料來源、執行查詢，並為 Threat Modeling 的威脅狩獵與 building-threat-hunt-hypothesis-framework 記錄發現。

building-soc-metrics-and-kpi-tracking 技能可將 SOC 活動資料轉化為 MTTD、MTTR、告警品質、分析師生產力與偵測覆蓋率等 KPI。它適合需要可重複報表、趨勢追蹤，以及由 Splunk 工作流程支撐、方便向主管呈現的指標的 SOC 領導團隊、資安營運與可觀測性團隊。

building-incident-response-dashboard 可協助團隊在 Splunk、Elastic 或 Grafana 中建立即時事件應變儀表板，用於追蹤進行中的事故、封鎖狀態、受影響資產、IOC 擴散情況與應變時間軸。當你需要一個專注的儀表板，供 SOC 分析師、事件指揮官與管理層使用時，就適合使用這個 building-incident-response-dashboard 技能。

building-detection-rules-with-sigma 可協助分析師從威脅情資或廠商規則建立可攜式 Sigma 偵測規則，並對應到 MITRE ATT&CK，再轉換成 Splunk、Elastic、Microsoft Sentinel 等 SIEM 可用格式。這份 building-detection-rules-with-sigma 指南適合用於 Security Audit 工作流程、規則標準化，以及 detection-as-code。

building-detection-rule-with-splunk-spl 可協助 SOC 分析師與偵測工程師建立 Splunk SPL 關聯搜尋，用於威脅偵測、調校與 Security Audit 審查。它能把偵測需求簡報轉成可部署的規則，並提供 MITRE 對應、資料增補與驗證指引。

analyzing-windows-event-logs-in-splunk skill 協助 SOC 分析師在 Splunk 中調查 Windows Security、System 與 Sysmon 記錄，找出驗證攻擊、權限提升、持續化與橫向移動行為。適合用於事件初步研判、偵測工程與時間軸分析，並提供對應的 SPL 模式與 Event ID 指引。

analyzing-dns-logs-for-exfiltration 可協助 SOC 分析師從 SIEM 或 Zeek 日誌中偵測 DNS 隧道、類 DGA 網域、TXT 濫用與隱蔽的 C2 模式。當你在 Security Audit 流程中需要雜湊/熵分析、查詢量異常偵測與實用的初步排查指引時，這個技能特別適合使用。