M
detecting-service-account-abuse
作者 mukul975
detecting-service-account-abuse 是一個威脅狩獵技能,用於在 Windows、AD、SIEM 與 EDR 遙測中找出服務帳號濫用情況。它聚焦於可疑的互動式登入、權限提升、橫向移動與存取異常,並提供可重複執行的調查模板、事件 ID 與工作流程參考。
Threat Hunting
收藏 0GitHub 6.2k
Windows Security
Windows Security taxonomy generated by the site skill importer.
14 個技能
M
detecting-rdp-brute-force-attacks
作者 mukul975
detecting-rdp-brute-force-attacks 可協助分析 Windows Security Event Logs 中的 RDP 暴力破解模式,包括重複的 4625 失敗、4624 在失敗後成功登入、與 NLA 相關的登入,以及來源 IP 集中現象。可用於 Security Audit、威脅狩獵,以及可重複的 EVTX 式調查。
安全稽核
收藏 0GitHub 6.2k
M
detecting-rootkit-activity
作者 mukul975
detecting-rootkit-activity 是一項惡意程式分析技能,用於找出 rootkit 徵兆,例如隱藏程序、被鉤住的系統呼叫、遭竄改的核心結構、隱藏模組與隱蔽網路痕跡。它透過交叉視角比對與完整性檢查,協助在標準工具結果不一致時驗證可疑主機。
Malware Analysis
收藏 0GitHub 6.2k
M
eradicating-malware-from-infected-systems
作者 mukul975
eradicating-malware-from-infected-systems 是一項資安事件應變技能,用於在完成遏制後移除惡意軟體、後門與持久化機制。內容涵蓋工作流程指引、參考檔案,以及用於 Windows 和 Linux 清理、憑證輪替、根因修補與驗證的腳本。
Incident Response
收藏 0GitHub 0
M
detecting-privilege-escalation-attempts
作者 mukul975
detecting-privilege-escalation-attempts 可協助在 Windows 與 Linux 上追查權限提升,包括 token 操作、UAC 繞過、未加引號的服務路徑、核心漏洞利用,以及 sudo/doas 濫用。專為需要實用流程、參考查詢與輔助腳本的威脅獵捕團隊打造。
Threat Hunting
收藏 0GitHub 0
M
detecting-pass-the-ticket-attacks
作者 mukul975
detecting-pass-the-ticket-attacks 可透過關聯 Windows 安全性事件 ID 4768、4769 與 4771,協助偵測 Kerberos Pass-the-Ticket 活動。適合在 Splunk 或 Elastic 中進行威脅狩獵,用來找出票證重用、RC4 降級與異常 TGS 流量,並提供實用查詢與欄位指引。
Threat Hunting
收藏 0GitHub 0
M
detecting-pass-the-hash-attacks
作者 mukul975
用於偵測 pass-the-hash attacks 的技能,協助追查基於 NTLM 的橫向移動、可疑的 Type 3 登入,以及透過 Windows Security logs、Splunk 和 KQL 進行的 T1550.002 活動。
Threat Hunting
收藏 0GitHub 0
M
detecting-evasion-techniques-in-endpoint-logs
作者 mukul975
detecting-evasion-techniques-in-endpoint-logs 技能可協助在 Windows 端點日誌中追查防禦規避行為,包括清除日誌、時間戳竄改(timestomping)、程序注入,以及停用安全工具。適合用於威脅狩獵、偵測工程與事件初步分流,並可搭配 Sysmon、Windows Security 或 EDR 遙測資料使用。
Threat Hunting
收藏 0GitHub 0
M
detecting-living-off-the-land-with-lolbas
作者 mukul975
detecting-living-off-the-land-with-lolbas 可協助偵測 LOLBAS 濫用,結合 Sysmon 與 Windows Event Logs,運用程序遙測、父子程序脈絡、Sigma 規則,以及一份實用的分流、威脅狩獵與規則撰寫指南。它也支援 detecting-living-off-the-land-with-lolbas 的威脅建模與分析師工作流程,涵蓋 certutil、regsvr32、mshta 與 rundll32。
威胁建模
收藏 0GitHub 0
M
detecting-golden-ticket-forgery
作者 mukul975
detecting-golden-ticket-forgery 透過分析 Windows Event ID 4769、RC4 降級使用(0x17)、異常票證存活時間,以及 Splunk 與 Elastic 中的 krbtgt 異常,偵測 Kerberos Golden Ticket 偽造。適合用於安全稽核、事件調查與威脅狩獵,並提供實用的偵測指引。
安全稽核
收藏 0GitHub 0
M
detecting-dll-sideloading-attacks
作者 mukul975
detecting-dll-sideloading-attacks 可協助安全稽核、威脅狩獵與事件回應團隊,使用 Sysmon、EDR、MDE 和 Splunk 偵測 DLL side-loading。這份 detecting-dll-sideloading-attacks 指南包含工作流程筆記、狩獵範本、標準對照,以及可將可疑 DLL 載入轉化為可重複偵測的腳本。
安全稽核
收藏 0GitHub 0
M
detecting-credential-dumping-techniques
作者 mukul975
detecting-credential-dumping-techniques 技能可協助你偵測 LSASS 存取、SAM 匯出、NTDS.dit 竊取,以及透過 comsvcs.dll 的 MiniDump 濫用,並使用 Sysmon Event ID 10、Windows Security 記錄與 SIEM 關聯規則來進行分析。它是為威脅獵捕、偵測工程與 Security Audit 工作流程而設計。
安全稽核
收藏 0GitHub 0
M
deploying-active-directory-honeytokens
作者 mukul975
deploying-active-directory-honeytokens 協助防守者規劃並產生 Active Directory honeytokens,適用於 Security Audit 工作,包括偽造特權帳號、用於 Kerberoasting 偵測的偽 SPN、誘餌 GPO 陷阱,以及具欺騙性的 BloodHound 路徑。它把偏安裝導向的指引與腳本、遙測提示結合起來,方便實際部署與檢視。
安全稽核
收藏 0GitHub 0
M
configuring-windows-defender-advanced-settings
作者 mukul975
這是一個用於 Microsoft Defender for Endpoint 強化設定的 configuring-windows-defender-advanced-settings 技能。涵蓋 ASR 規則、受控資料夾存取、網路防護、漏洞防護、部署規劃,以及以稽核優先的 rollout 指引,適合資安工程師、IT 管理員與 Security Audit 工作流程使用。
安全稽核
收藏 0GitHub 0