威胁狩猎

detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能，适用于威胁狩猎和事件响应。它可借助 Zeek 日志（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log）来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。

analyzing-cobaltstrike-malleable-c2-profiles 可帮助将 Cobalt Strike Malleable C2 profiles 解析为 C2 indicators、规避特征和检测思路，适用于 malware analysis、threat hunting 和 Security Audit 工作流。它使用 dissect.cobaltstrike 和 pyMalleableC2 进行 profile 与 beacon config 分析。

exploiting-kerberoasting-with-impacket 可帮助授权测试人员使用 Impacket 的 GetUserSPNs.py 规划 Kerberoasting 流程，从 SPN 枚举到 TGS 票据提取、离线破解以及检测感知型报告。此 exploiting-kerberoasting-with-impacket 指南适用于渗透测试工作流，提供清晰的安装与使用上下文。

detecting-shadow-it-cloud-usage 可帮助你从代理日志、DNS 查询和 netflow 中识别未经授权的 SaaS 和云服务使用情况。它会对域名进行分类，并与已批准清单进行比对，同时借助 detecting-shadow-it-cloud-usage 技能指南中的结构化证据，支持安全审计工作流。

detecting-service-account-abuse 是一款威胁狩猎技能，用于在 Windows、AD、SIEM 和 EDR 遥测中发现服务账号滥用。它重点关注可疑的交互式登录、权限提升、横向移动和访问异常，并提供狩猎模板、事件 ID 和工作流参考，便于重复开展调查。

detecting-s3-data-exfiltration-attempts 可通过关联 CloudTrail S3 data events、GuardDuty findings、Amazon Macie alerts 和 S3 访问模式，帮助排查可能的 AWS S3 数据窃取行为。适用于安全审计、事件响应，以及可疑批量下载分析。

detecting-rdp-brute-force-attacks 用于分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重复的 4625 失败、4624 在失败后成功、与 NLA 相关的登录，以及源 IP 集中异常。适合用于安全审计、威胁狩猎和可重复的基于 EVTX 的调查。

analyzing-usb-device-connection-history 可帮助在 Windows 上结合注册表 hive、事件日志和 setupapi.dev.log 调查 USB 设备连接历史，适用于数字取证、内部威胁排查和事件响应。它支持时间线重建、设备关联以及可移动介质证据分析。

analyzing-browser-forensics-with-hindsight 帮助数字取证团队使用 Hindsight 分析 Chromium 浏览器痕迹，包括历史记录、下载、Cookie、自动填充、书签、已保存凭据元数据、缓存和扩展程序。可用于还原 Web 活动、查看时间线，并调查 Chrome、Edge、Brave 和 Opera 配置文件。

analyzing-bootkit-and-rootkit-samples 是一款用于分析 MBR、VBR、UEFI 和 rootkit 的恶意软件分析技能。可用于检查引导扇区、固件模块以及反 rootkit 迹象，适合在恶意入侵持续滞留于 OS 层以下时进行排查。它适合需要实用指南、清晰流程和基于证据的 Malware Analysis 分诊的分析人员。

“detecting-network-anomalies-with-zeek” skill 可帮助你部署 Zeek 进行被动网络监控、查看结构化日志，并构建自定义检测来识别 beaconing、DNS 隧道和异常协议活动。它适用于威胁狩猎、事件响应、面向 SIEM 的网络元数据以及安全审计工作流——但不适合做链路内防护。

detecting-modbus-protocol-anomalies 可帮助检测 OT 和 ICS 网络中的可疑 Modbus/TCP 与 Modbus RTU 行为，包括无效功能码、越界寄存器访问、异常轮询时序、未经授权的写入以及格式异常的数据帧。适用于安全审计和基于证据的初步分诊。

detecting-typosquatting-packages-in-npm-pypi 可通过比较名称相似度、发布时间新近程度和下载异常，帮助识别可疑的 npm 和 PyPI 包。适用于安全审计流程、依赖审查，以及可复现的注册表检查流程中的供应链风险初筛。

detecting-t1003-credential-dumping-with-edr 是一项面向威胁狩猎的 skill，结合 EDR、Sysmon 和 Windows 事件关联，检测 LSASS、SAM、NTDS.dit、LSA secrets 以及缓存凭据转储。可用于验证告警、梳理事件范围，并借助实用流程指导降低误报。

detecting-dcsync-attack-in-active-directory 是一项威胁狩猎技能，用于通过关联 4662 事件、复制 GUID 和合法的 DC 账户，识别 Active Directory 中的 DCSync 滥用。可用它借助 Splunk、KQL 和解析脚本来确认、分诊并记录凭据窃取活动。

detecting-container-escape-with-falco-rules 帮助使用 Falco 运行时安全规则检测容器逃逸尝试。它聚焦 syscall 信号、特权容器、host-path 滥用、验证以及 Kubernetes 和 Linux 容器环境中的事件响应工作流。

用于授权 BLE 安全测试的 detecting-bluetooth-low-energy-attacks 技能。它结合真实的 BLE 工具和工作流指导，帮助评估嗅探暴露、重放风险、GATT 枚举滥用、广播伪装以及中间人攻击（MitM）迹象。

用于在授权网络段上安装、配置、验证和调优 Snort 3 IDS 的 configuring-snort-ids-for-intrusion-detection 技能。涵盖实用用法、规则加载、CLI 检查、误报降低以及 Security Audit 工作流。

analyzing-malware-sandbox-evasion-techniques 可帮助恶意软件分析师查看 Cuckoo 和 AnyRun 的行为，重点排查时间检测、VM 痕迹查询、用户交互门槛和 sleep inflation。它专为恶意软件分析流程中的聚焦型 analyzing-malware-sandbox-evasion-techniques 场景而设计，用于判断样本是否在躲避沙箱。

analyzing-malware-persistence-with-autoruns 是一个面向恶意软件分析的 Sysinternals Autoruns 技能。它帮助你用可重复的工作流检查 Windows 持久化点，包括 Run 键、服务、计划任务、Winlogon、驱动和 WMI，并结合 CSV 导出、可疑项审查和可直接写进报告的结论，完成分析。

hunting-advanced-persistent-threats 是一项威胁狩猎技能，用于在终端、网络和内存遥测中检测 APT 式活动。它帮助分析师构建基于假设的狩猎流程，将发现映射到 MITRE ATT&CK，并把威胁情报转化为可执行的查询和调查步骤，而不是零散的临时搜索。

extracting-windows-event-logs-artifacts 可帮助你提取、解析并分析 Windows Event Logs（EVTX），用于数字取证、事件响应和威胁狩猎。它支持对登录、进程创建、服务安装、计划任务、权限变更和日志清除等事件进行结构化审查，并可结合 Chainsaw、Hayabusa 和 EvtxECmd 使用。

这是一个关于使用 Rekall 分析 Windows 内存镜像的指南，聚焦于提取内存证据。你可以了解安装与使用模式，查找隐藏进程、注入代码、可疑 VAD、已加载 DLL 以及网络活动，适用于数字取证场景。

面向恶意软件分析的 extracting-iocs-from-malware-samples 技能指南：从样本中提取哈希、IP、域名、URL、主机工件和验证线索，用于威胁情报与检测。