Threat Hunting

detecting-beaconing-patterns-with-zeek 可協助分析 Zeek `conn.log` 的時間間隔，用來偵測 C2 風格的 beaconing。它使用 ZAT，依來源、目的地與埠號分組流量，並透過統計檢查評分低抖動模式。很適合 SOC、威脅狩獵、事件應變，以及在 Security Audit 工作流程中使用 detecting-beaconing-patterns-with-zeek。

detecting-azure-lateral-movement 可協助資安分析師在 Azure AD/Entra ID 與 Microsoft Sentinel 中，利用 Microsoft Graph 稽核記錄、登入遙測與 KQL 關聯分析來追查橫向移動。適合用於事件初步分流、偵測工程與資安稽核流程，涵蓋同意權濫用、服務主體誤用、權杖竊取，以及跨租戶跳轉等情境。

analyzing-security-logs-with-splunk 可協助你在 Splunk 中調查資安事件，將 Windows、防火牆、proxy 與驗證紀錄關聯成時間軸與證據。這個 analyzing-security-logs-with-splunk 技能是 Security Audit、事件回應與威脅獵捕的實用指南。

analyzing-golang-malware-with-ghidra 可協助分析人員在 Ghidra 中逆向 Go 編譯的惡意軟體，提供函式還原、字串擷取、建置中繼資料與依賴關係映射等工作流程。這個 analyzing-golang-malware-with-ghidra 技能特別適合惡意程式初步判讀、事件回應，以及需要實用 Go 專屬分析步驟的 Security Audit 任務。

detecting-living-off-the-land-with-lolbas 可協助偵測 LOLBAS 濫用，結合 Sysmon 與 Windows Event Logs，運用程序遙測、父子程序脈絡、Sigma 規則，以及一份實用的分流、威脅狩獵與規則撰寫指南。它也支援 detecting-living-off-the-land-with-lolbas 的威脅建模與分析師工作流程，涵蓋 certutil、regsvr32、mshta 與 rundll32。

detecting-kerberoasting-attacks 技能可透過辨識可疑的 Kerberos TGS 請求、薄弱的票證加密，以及服務帳號特徵來協助追查 Kerberoasting。適合用於 SIEM、EDR、EVTX，以及威脅建模流程中的 detecting-kerberoasting-attacks，並提供實用的偵測範本與調校建議。

detecting-insider-threat-behaviors 可協助分析師追查內部威脅風險訊號，例如異常資料存取、非上班時段活動、大量下載、權限濫用，以及與離職相關的資料竊取。這份 detecting-insider-threat-behaviors 指南適合用於威脅狩獵、UEBA 風格的分流判讀與威脅建模，內含工作流程範本、SIEM 查詢範例與風險權重。

detecting-fileless-malware-techniques 技能支援惡意程式分析工作流程，用來調查透過 PowerShell、WMI、.NET reflection、登錄檔常駐 payload 與 LOLBins 在記憶體中執行的無檔案惡意程式。適合用來把可疑警示轉成有證據支撐的初步分流、偵測構想與後續狩獵方向。

detecting-email-forwarding-rules-attack 技能可協助資安稽核、威脅狩獵與事件應變團隊找出用於持久化與郵件蒐集的惡意信箱轉寄規則。它會引導分析人員檢視 Microsoft 365 與 Exchange 的相關證據、可疑規則樣式，以及轉寄、重新導向、刪除與隱藏行為的實務分流判讀。

detecting-dll-sideloading-attacks 可協助安全稽核、威脅狩獵與事件回應團隊，使用 Sysmon、EDR、MDE 和 Splunk 偵測 DLL side-loading。這份 detecting-dll-sideloading-attacks 指南包含工作流程筆記、狩獵範本、標準對照，以及可將可疑 DLL 載入轉化為可重複偵測的腳本。

detecting-attacks-on-historian-servers 可協助偵測 IT/OT 邊界上 OT historian 伺服器的可疑活動，例如 OSIsoft PI、Ignition 與 Wonderware。這份 detecting-attacks-on-historian-servers 指南適合用於 Incident Response、未授權查詢、資料竄改、API 濫用，以及橫向移動的初步分流判斷。

detecting-anomalous-authentication-patterns 可協助分析驗證登入紀錄，找出不可能移動、暴力破解、密碼噴灑、憑證填充，以及帳號遭入侵等可疑活動。它適用於 Security Audit、SOC、IAM 與事件回應工作流程，具備會參考基準的偵測能力與有證據支撐的登入分析。

deploying-osquery-for-endpoint-monitoring 指南，說明如何部署與設定 osquery，以提升端點可視性、進行全機群監控，並用 SQL 進行威脅狩獵。可用來規劃安裝、閱讀工作流程與 API 參考，並在 Windows、macOS 與 Linux 端點上落實排程查詢、日誌蒐集與集中檢視。

correlating-security-events-in-qradar 可協助 SOC 與偵測團隊，使用 AQL、offense 情境、自訂規則與 reference data 來關聯 IBM QRadar 的 offenses。可用這份指南來調查事件、降低誤判，並為 Incident Response 建立更強的關聯邏輯。

containing-active-breach 是一個用於即時入侵封控的 incident-response 技能。它能透過結構化的 containing-active-breach 指南，並搭配實用的 API 與腳本參考，協助隔離主機、封鎖可疑流量、停用遭入侵帳號，以及減緩橫向移動。

building-threat-hunt-hypothesis-framework 可協助你從威脅情資、ATT&CK 對應與遙測資料，建立可驗證的威脅狩獵假設。使用這個 building-threat-hunt-hypothesis-framework 技能來規劃狩獵、對應資料來源、執行查詢，並為 Threat Modeling 的威脅狩獵與 building-threat-hunt-hypothesis-framework 記錄發現。

analyzing-threat-actor-ttps-with-mitre-attack 技能可協助將威脅報告對應到 MITRE ATT&CK 的戰術、技術與子技術，建立涵蓋度視圖，並優先排序偵測缺口。內容包含報告範本、ATT&CK 參考資料，以及用於技術查找與缺口分析的腳本，適合 CTI、SOC、偵測工程與威脅建模使用。

analyzing-powershell-empire-artifacts 技能可協助資安稽核團隊透過 Script Block Logging、Base64 啟動器樣式、stager IOC、模組特徵與偵測參考，在 Windows 日誌中找出 PowerShell Empire 相關工件，方便進行初步判讀與規則撰寫。

這個 analyzing-powershell-script-block-logging 技能可用來解析 Windows PowerShell Script Block Logging 的 Event ID 4104（來自 EVTX 檔案），重建被拆分的 script block，並標記混淆指令、編碼 payload、Invoke-Expression 濫用、download cradle，以及 AMSI bypass 嘗試，適合 Security Audit 工作。

analyzing-persistence-mechanisms-in-linux skill 可協助分析遭入侵後的 Linux 持久化手法，包括 crontab 工作、systemd 單元、LD_PRELOAD 濫用、shell 設定檔變更，以及 SSH authorized_keys 後門。它適用於 incident response、threat hunting 與 security audit 工作流程，並可搭配 auditd 與檔案完整性檢查使用。