detecting-evasion-techniques-in-endpoint-logs
作者 mukul975detecting-evasion-techniques-in-endpoint-logs 技能可帮助你在 Windows 终端日志中狩猎防御规避行为,包括清除日志、时间戳回溯(timestomping)、进程注入以及禁用安全工具。适用于威胁狩猎、检测工程和事件初筛,可结合 Sysmon、Windows Security 或 EDR 遥测使用。
该技能评分 84/100,属于质量不错的目录收录候选。它明确覆盖 TA0005 防御规避场景,提供具体的终端日志工作流,以及能减少试错的辅助脚本和参考资源,比通用提示词更适合直接上手。需要注意的是,仓库在 SKILL.md 中没有展示安装命令,且预览内容分散在多个文件里,因此目录用户仍可能遇到一定的接入门槛。
- 针对终端防御规避调查的触发场景很明确,直接覆盖日志篡改、时间戳回溯、进程注入和禁用安全工具等用例。
- 相比纯文档型技能,操作支撑更强:包含工作流、参考资料,以及用于分析 Windows 事件日志 / EVTX 类数据的两个脚本。
- 基于 MITRE ATT&CK、Sigma、Sysmon 事件 ID 和检测模式的证据映射,带来不错的安装决策价值。
- SKILL.md 中没有安装命令,用户可能需要自行推断设置和调用方式。
- 预览显示主工作流分散在多个文件中,虽然内容充实,但首次使用时可能会稍慢。
detecting-evasion-techniques-in-endpoint-logs 技能概览
这个技能能做什么
detecting-evasion-techniques-in-endpoint-logs 技能帮助你在 Windows 终端遥测中排查防御规避行为,尤其是 MITRE ATT&CK TA0005 相关活动,比如清除日志、时间戳篡改、进程注入和禁用安全工具。它最适合需要实际检测工作流的分析师,而不只是想要一串可疑命令的人。
适合谁安装
如果你做 Sysmon、Windows Security 或 EDR 日志上的威胁狩猎、检测工程或事件分诊,就可以安装 detecting-evasion-techniques-in-endpoint-logs skill。它最适合你已经有终端事件数据,并且想把模糊的怀疑转化为可重复狩猎流程的时候。
它的不同之处
这个技能建立在具体的事件 ID、查询模式和狩猎模板之上,而不是泛泛的建议。仓库里包含工作流指引、检测模板和基于脚本的示例,因此 detecting-evasion-techniques-in-endpoint-logs 技能比“查找恶意活动”这种普通提示更可落地。
如何使用 detecting-evasion-techniques-in-endpoint-logs 技能
安装并确认适用范围
使用 npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-evasion-techniques-in-endpoint-logs 安装。安装后,确认这个技能触发的是终端防御规避请求,而不是网络层规避或恶意软件逆向分析。如果你的场景是代理转发、流量整形或 payload 解包,这个技能就不合适。
先提供正确的输入
想要更好的 detecting-evasion-techniques-in-endpoint-logs usage,请提供:
- 日志来源:Sysmon、Windows Security 或 EDR
- 目标技术:例如
T1070.001、T1055或T1562.001 - 时间窗口:过去 24 小时,还是 30–90 天
- 环境约束:域、基线噪音、允许列表、已知管理员工具
弱输入:find evasion
更好的输入:Hunt for T1070.001 log clearing in Sysmon and Security logs across the last 14 days on 200 endpoints; prioritize evidence that distinguishes admin maintenance from attacker cleanup.
先读这些文件
想最快理解 detecting-evasion-techniques-in-endpoint-logs guide,先看:
SKILL.md,了解范围和触发条件assets/template.md,了解狩猎输出格式references/api-reference.md,了解事件 ID 和检测模式references/workflows.md,了解狩猎与部署流程references/standards.md,了解 ATT&CK 和 Sigma 背景
采用先狩猎、后扩展的工作流
最可靠的 detecting-evasion-techniques-in-endpoint-logs usage 是:先选一个技术点,验证日志覆盖,执行窄查询,然后分诊。先从狩猎模板入手,把技术映射到正确的事件源,再逐步扩展到相邻遥测,例如进程树或注册表变更。这样可以把误报控制在可管理范围内,也更容易落地运营。
detecting-evasion-techniques-in-endpoint-logs 技能常见问题
这主要是给 Threat Hunting 用的吗?
是的。detecting-evasion-techniques-in-endpoint-logs for Threat Hunting 是最清晰的使用场景,因为这个技能就是围绕假设驱动的搜索、分诊和规则迭代构建的。它也适用于检测工程,尤其是当你想把狩猎发现转成可复用的 SIEM 规则时。
我可以直接用通用提示词吗?
可以,但如果你想少一些猜测,这个技能会更好。通用提示词可能只会给出较宽泛的建议;而这个技能会提供按技术细分的输入、事件源提示和实用工作流,方便在不同调查中复用。
它的边界在哪里?
它聚焦于终端遥测和以 Windows 为中心的防御规避。不要指望它解决网络层规避、内存取证或完整恶意软件分析。如果你的日志里没有进程创建、脚本执行或文件时间变更,检测价值会比较有限。
对新手友好吗?
如果你已经懂一点基础的终端日志术语,那么答案是肯定的。新手最能受益的方式,是一次只从一个技术点、一个数据源和一个时间范围开始,而不是试图一次性狩猎所有规避手法。
如何改进 detecting-evasion-techniques-in-endpoint-logs
给技能更明确的狩猎上下文
最能提升效果的是把技术、平台和预期噪音说清楚。比如在相关场景下,提到 wevtutil cl、Clear-EventLog、Sysmon Event ID 2,或者禁用 Defender 的命令。这能帮助 detecting-evasion-techniques-in-endpoint-logs skill 输出更精准的检测逻辑,而不是泛泛的狩猎语言。
加上基线和排除条件
如果你的环境里有管理员脚本、镜像工具、EDR 维护任务或备份代理,最好提前说明。误报往往来自合法的日志维护或安全运维,所以最好的 detecting-evasion-techniques-in-endpoint-logs install 效果,是提示词里已经包含了需要排除的已知正常行为。
基于证据迭代,不要基于假设
第一次输出后,继续喂入真实工件来细化:事件 ID、命令行、源/目标映像,或者噪音很大的主机。可以要求更窄的查询、分诊检查清单,或者更高信噪比的狩猎版本。这是改进 detecting-evasion-techniques-in-endpoint-logs usage 的最快方式,也不会把范围越扩越大。