威胁情报

building-ioc-defanging-and-sharing-pipeline 技能，用于提取 IOC，去武装 URL、IP、域名、邮箱和哈希值，然后通过 TAXII 或 MISP 将其转换为 STIX 2.1 并共享，适用于安全审计和威胁情报工作流。

building-incident-timeline-with-timesketch 帮助 DFIR 团队在 Timesketch 中构建协作式事件时间线，通过导入 Plaso、CSV 或 JSONL 证据，统一时间戳，关联事件，并记录攻击链，支持事件分诊和报告输出。

detecting-mobile-malware-behavior 技能会分析可疑的 Android 和 iOS 应用，检查权限滥用、运行时活动、网络指标以及类似恶意软件的行为模式。可用于分诊、事件响应，以及面向 Security Audit 工作流的 detecting-mobile-malware-behavior，提供有证据支撑的移动端分析。

detecting-business-email-compromise 技能可帮助分析师、SOC 团队和事件响应人员通过邮件头检查、社工线索、检测逻辑和面向响应的工作流识别 BEC 尝试。可将其作为一份实用的 detecting-business-email-compromise 指南，用于分诊、验证和遏制。

detecting-beaconing-patterns-with-zeek 可帮助分析 Zeek `conn.log` 的时间间隔，以检测 C2 风格的 beaconing。它使用 ZAT，按源、目的和端口对流量分组，并通过统计检查为低抖动模式打分。适合 SOC、威胁狩猎、事件响应，以及 Security Audit 工作流中的 detecting-beaconing-patterns-with-zeek 使用场景。

analyzing-supply-chain-malware-artifacts 是一项用于分析恶意软件的技能，专门用于追踪被植入木马的更新、被投毒的依赖项以及构建流水线篡改。可用它来对比可信与不可信工件、提取 IOC、评估受影响范围，并减少猜测地输出调查结果。

analyzing-ransomware-network-indicators 可帮助分析 Zeek `conn.log` 和 NetFlow，识别 C2 beaconing、TOR 出口、数据外传以及可疑 DNS，适用于安全审计和事件响应。

analyzing-ransomware-payment-wallets 是一项只读的区块链取证技能，用于追踪勒索软件支付钱包、沿资金流向分析，并对相关地址进行聚类，以支持安全审计和事件响应。适用于你手头有 BTC 地址、交易哈希或可疑钱包，并需要有证据支撑的归因辅助时。

analyzing-ransomware-leak-site-intelligence 可帮助监控勒索软件数据泄露站点，提取受害者与团伙信号，并生成结构化威胁情报，用于事件响应、行业风险研判和对手追踪。

analyzing-cloud-storage-access-patterns 帮助安全团队在 AWS S3、GCS 和 Azure Blob Storage 中发现可疑的云存储访问行为。它会分析审计日志，识别批量下载、新来源 IP、异常 API 调用、桶枚举、非工作时间访问，以及基于基线和异常检测发现的潜在数据外传。

hunting-advanced-persistent-threats 是一项威胁狩猎技能，用于在终端、网络和内存遥测中检测 APT 式活动。它帮助分析师构建基于假设的狩猎流程，将发现映射到 MITRE ATT&CK，并把威胁情报转化为可执行的查询和调查步骤，而不是零散的临时搜索。

generating-threat-intelligence-reports 技能可将已分析的网络安全数据转化为面向高管、SOC 团队、IR 负责人和分析师的战略、运营、战术或快报型威胁情报报告。它支持成品情报、置信度表述、TLP 处理，以及用于报告撰写的清晰建议。

面向恶意软件分析的 extracting-iocs-from-malware-samples 技能指南：从样本中提取哈希、IP、域名、URL、主机工件和验证线索，用于威胁情报与检测。

evaluating-threat-intelligence-platforms 可帮助你从情报源接入、STIX/TAXII 支持、自动化、分析师工作流、集成能力和总体拥有成本等维度，对 TIP 产品进行对比评估。可将这份 evaluating-threat-intelligence-platforms 指南用于采购、迁移或成熟度规划；在平台选型会影响可追溯性和证据共享时，也适用于 Threat Modeling 场景下的 evaluating-threat-intelligence-platforms。

detecting-privilege-escalation-attempts 可帮助排查 Windows 和 Linux 上的权限提升行为，包括 token 操作、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 sudo/doas 滥用。它面向需要实用工作流、参考查询和辅助脚本的威胁狩猎团队。

适用于安全审计、威胁狩猎和事件响应的 detecting-living-off-the-land-attacks 技能。通过进程创建、命令行和父子进程遥测，检测 certutil、mshta、rundll32、regsvr32 等合法 Windows 二进制文件被滥用的行为。该指南聚焦可落地的 LOLBin 检测模式，而不是泛泛的 Windows 加固。

detecting-kerberoasting-attacks 技能可通过识别可疑的 Kerberos TGS 请求、弱票据加密方式和服务账户模式，帮助你主动猎杀 Kerberoasting 攻击。它适用于 SIEM、EDR、EVTX 以及用于 Threat Modeling 工作流的 detecting-kerberoasting-attacks，并提供实用的检测模板和调优建议。

detecting-insider-threat-with-ueba 可帮助你在 Elasticsearch 或 OpenSearch 中构建 UEBA 检测，用于识别内部威胁场景，包括行为基线、异常评分、同类群组分析，以及针对数据外传、权限滥用和未授权访问的关联告警。适合在 Incident Response 工作流中使用 detecting-insider-threat-with-ueba。

detecting-insider-threat-behaviors 可帮助分析师排查内部威胁信号，例如异常数据访问、非工作时间活动、批量下载、权限滥用以及与离职相关的窃取行为。可将这份 detecting-insider-threat-behaviors 指南用于威胁狩猎、UEBA 风格分诊和威胁建模，并结合工作流模板、SIEM 查询示例和风险权重来使用。

detecting-email-account-compromise 帮助事件响应人员和 SOC 分析师，通过检查可疑登录、收件箱规则滥用、外部转发、OAuth 授权以及 Graph/审计日志活动，调查 Microsoft 365 和 Google Workspace 邮箱接管。可将其作为实用的 detecting-email-account-compromise 指南，用于快速分诊。

detecting-dll-sideloading-attacks 帮助安全审计、威胁狩猎和事件响应团队使用 Sysmon、EDR、MDE 和 Splunk 发现 DLL 侧载。这个 detecting-dll-sideloading-attacks 指南包含工作流程说明、狩猎模板、标准映射，以及把可疑 DLL 加载转化为可重复检测的脚本。

detecting-credential-dumping-techniques 技能可帮助你利用 Sysmon Event ID 10、Windows Security 日志和 SIEM 关联规则，检测 LSASS 访问、SAM 导出、NTDS.dit 窃取以及 comsvcs.dll MiniDump 滥用。它面向威胁狩猎、检测工程和 Security Audit 工作流。

detecting-command-and-control-over-dns 是一项用于发现通过 DNS 进行 C2 的网络安全技能，涵盖隧道传输、beaconing、DGA 域名以及 TXT/CNAME 滥用等场景。它结合熵值检查、passive DNS 关联分析以及类似 Zeek 或 Suricata 的检测流程，适合 SOC 分析师、威胁猎手和安全审计使用。

使用 AI 结合 NLP、文体分析、行为信号和关系上下文来检测商业电子邮件欺诈（BEC）。这个 detecting-business-email-compromise-with-ai 技能可帮助 SOC、反欺诈和安全审计团队对可疑邮件进行风险评分，解释风险信号，并判断是隔离、提醒还是升级处置。