CrowdStrike

detecting-service-account-abuse 是一款威胁狩猎技能，用于在 Windows、AD、SIEM 和 EDR 遥测中发现服务账号滥用。它重点关注可疑的交互式登录、权限提升、横向移动和访问异常，并提供狩猎模板、事件 ID 和工作流参考，便于重复开展调查。

detecting-fileless-attacks-on-endpoints 可帮助为 Windows 终端构建内存型攻击检测，包括 PowerShell 滥用、WMI 持久化、反射式加载和进程注入。可用于安全审计、威胁狩猎和检测工程，结合 Sysmon、AMSI 和 PowerShell 日志开展分析。

deploying-edr-agent-with-crowdstrike 可帮助规划、安装并验证 CrowdStrike Falcon sensor 在 Windows、macOS 和 Linux 终端上的部署。若你需要安装指引、策略配置、遥测接入 SIEM，以及 Incident Response 准备工作，可使用这个 deploying-edr-agent-with-crowdstrike skill。

containing-active-breach 是一项面向实时泄露遏制的事件响应技能。它通过结构化的 containing-active-breach 指南，并结合实用的 API 与脚本引用，帮助隔离主机、阻断可疑流量、禁用受影响账户，并减缓横向移动。