作者 mukul975
detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能,适用于威胁狩猎和事件响应。它可借助 Zeek 日志(如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log)来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。
作者 mukul975
detecting-rdp-brute-force-attacks 用于分析 Windows Security Event Logs 中的 RDP 暴力破解模式,包括重复的 4625 失败、4624 在失败后成功、与 NLA 相关的登录,以及源 IP 集中异常。适合用于安全审计、威胁狩猎和可重复的基于 EVTX 的调查。
作者 mukul975
detecting-t1003-credential-dumping-with-edr 是一项面向威胁狩猎的 skill,结合 EDR、Sysmon 和 Windows 事件关联,检测 LSASS、SAM、NTDS.dit、LSA secrets 以及缓存凭据转储。可用于验证告警、梳理事件范围,并借助实用流程指导降低误报。
作者 mukul975
detecting-container-escape-with-falco-rules 帮助使用 Falco 运行时安全规则检测容器逃逸尝试。它聚焦 syscall 信号、特权容器、host-path 滥用、验证以及 Kubernetes 和 Linux 容器环境中的事件响应工作流。
