Credential Dumping

detecting-t1003-credential-dumping-with-edr 是一项面向威胁狩猎的 skill，结合 EDR、Sysmon 和 Windows 事件关联，检测 LSASS、SAM、NTDS.dit、LSA secrets 以及缓存凭据转储。可用于验证告警、梳理事件范围，并借助实用流程指导降低误报。