Threat Detection

detecting-s3-data-exfiltration-attempts 可協助針對可能的 AWS S3 資料外洩進行調查，方法是關聯 CloudTrail S3 data events、GuardDuty findings、Amazon Macie alerts 與 S3 存取模式。適用於安全稽核、事件回應，以及可疑大量下載分析等情境。

detecting-rdp-brute-force-attacks 可協助分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重複的 4625 失敗、4624 在失敗後成功登入、與 NLA 相關的登入，以及來源 IP 集中現象。可用於 Security Audit、威脅狩獵，以及可重複的 EVTX 式調查。

detecting-modbus-command-injection-attacks 可協助資安分析師找出可疑的 Modbus TCP/RTU 寫入行為、異常功能碼、格式不正確的封包，以及 ICS 與 SCADA 環境中的基準偏移。當你需要的是具備 Modbus 語境的偵測指引，而不是泛用的異常提示時，適合用於事件初步判讀、OT 監控與資安稽核。

detecting-living-off-the-land-with-lolbas 可協助偵測 LOLBAS 濫用，結合 Sysmon 與 Windows Event Logs，運用程序遙測、父子程序脈絡、Sigma 規則，以及一份實用的分流、威脅狩獵與規則撰寫指南。它也支援 detecting-living-off-the-land-with-lolbas 的威脅建模與分析師工作流程，涵蓋 certutil、regsvr32、mshta 與 rundll32。

detecting-living-off-the-land-attacks 技能，適用於 Security Audit、威脅狩獵與事件回應。透過程序建立、命令列與父子程序關聯遙測，偵測 certutil、mshta、rundll32、regsvr32 等合法 Windows 二進位檔遭濫用的情況。本指南聚焦可直接落地的 LOLBin 偵測模式，而非廣泛的 Windows 強化。

detecting-lateral-movement-in-network 可協助企業網路在遭入侵後偵測橫向移動，結合 Windows 事件記錄、Zeek 遙測、SMB、RDP 與 SIEM 關聯分析。它特別適合威脅狩獵、事件回應，以及用於 Security Audit 檢視的 detecting-lateral-movement-in-network，並提供實用的偵測工作流程。

detecting-insider-threat-with-ueba 可協助你在 Elasticsearch 或 OpenSearch 中建立 UEBA 偵測，涵蓋內部威脅情境所需的行為基線、異常分數、同儕群組分析，以及針對資料外洩、權限濫用與未授權存取的關聯式警示。適合用於 Incident Response 工作流程中的 detecting-insider-threat-with-ueba。