Cybersecurity

detecting-shadow-it-cloud-usage 可帮助你从代理日志、DNS 查询和 netflow 中识别未经授权的 SaaS 和云服务使用情况。它会对域名进行分类，并与已批准清单进行比对，同时借助 detecting-shadow-it-cloud-usage 技能指南中的结构化证据，支持安全审计工作流。

“detecting-network-anomalies-with-zeek” skill 可帮助你部署 Zeek 进行被动网络监控、查看结构化日志，并构建自定义检测来识别 beaconing、DNS 隧道和异常协议活动。它适用于威胁狩猎、事件响应、面向 SIEM 的网络元数据以及安全审计工作流——但不适合做链路内防护。

detecting-beaconing-patterns-with-zeek 可帮助分析 Zeek `conn.log` 的时间间隔，以检测 C2 风格的 beaconing。它使用 ZAT，按源、目的和端口对流量分组，并通过统计检查为低抖动模式打分。适合 SOC、威胁狩猎、事件响应，以及 Security Audit 工作流中的 detecting-beaconing-patterns-with-zeek 使用场景。

building-patch-tuesday-response-process 帮助团队建立可重复的 Microsoft Patch Tuesday 流程，用于梳理公告优先级、评估风险、测试补丁、批准发布并跟踪合规性。适用于安全运营、漏洞管理，以及用于项目管理的 building-patch-tuesday-response-process。

analyzing-supply-chain-malware-artifacts 是一项用于分析恶意软件的技能，专门用于追踪被植入木马的更新、被投毒的依赖项以及构建流水线篡改。可用它来对比可信与不可信工件、提取 IOC、评估受影响范围，并减少猜测地输出调查结果。

generating-threat-intelligence-reports 技能可将已分析的网络安全数据转化为面向高管、SOC 团队、IR 负责人和分析师的战略、运营、战术或快报型威胁情报报告。它支持成品情报、置信度表述、TLP 处理，以及用于报告撰写的清晰建议。

evaluating-threat-intelligence-platforms 可帮助你从情报源接入、STIX/TAXII 支持、自动化、分析师工作流、集成能力和总体拥有成本等维度，对 TIP 产品进行对比评估。可将这份 evaluating-threat-intelligence-platforms 指南用于采购、迁移或成熟度规划；在平台选型会影响可追溯性和证据共享时，也适用于 Threat Modeling 场景下的 evaluating-threat-intelligence-platforms。

detecting-living-off-the-land-with-lolbas 结合 Sysmon 和 Windows Event Logs，帮助检测 LOLBAS 滥用；内容覆盖进程遥测、父子进程上下文、Sigma 规则，以及用于分流、狩猎和规则编写的实用指南。它支持在 Threat Modeling 和分析师工作流中使用 detecting-living-off-the-land-with-lolbas，重点关注 certutil、regsvr32、mshta 和 rundll32。

适用于安全审计、威胁狩猎和事件响应的 detecting-living-off-the-land-attacks 技能。通过进程创建、命令行和父子进程遥测，检测 certutil、mshta、rundll32、regsvr32 等合法 Windows 二进制文件被滥用的行为。该指南聚焦可落地的 LOLBin 检测模式，而不是泛泛的 Windows 加固。

detecting-lateral-movement-in-network 可利用 Windows 事件日志、Zeek 遥测、SMB、RDP 和 SIEM 关联，帮助发现企业网络中被入侵后的横向移动。它适用于威胁狩猎、事件响应，以及面向 Security Audit 审查的 detecting-lateral-movement-in-network，提供可落地的检测工作流。

detecting-golden-ticket-forgery 通过分析 Windows Event ID 4769、RC4 降级使用（0x17）、异常票据生命周期以及 Splunk 和 Elastic 中的 krbtgt 异常，检测 Kerberos Golden Ticket 伪造。面向 Security Audit、事件调查和威胁狩猎，提供实用的检测指引。

detecting-dll-sideloading-attacks 帮助安全审计、威胁狩猎和事件响应团队使用 Sysmon、EDR、MDE 和 Splunk 发现 DLL 侧载。这个 detecting-dll-sideloading-attacks 指南包含工作流程说明、狩猎模板、标准映射，以及把可疑 DLL 加载转化为可重复检测的脚本。

detecting-deepfake-audio-in-vishing-attacks 可帮助安全团队分析音频中的 AI 生成语音，适用于 vishing、诈骗和冒充类案件。它会提取频谱特征和基于 MFCC 的特征，对可疑样本进行评分，并生成可供复核的法医风格报告。非常适合安全审计和事件响应工作流。

detecting-credential-dumping-techniques 技能可帮助你利用 Sysmon Event ID 10、Windows Security 日志和 SIEM 关联规则，检测 LSASS 访问、SAM 导出、NTDS.dit 窃取以及 comsvcs.dll MiniDump 滥用。它面向威胁狩猎、检测工程和 Security Audit 工作流。

detecting-attacks-on-historian-servers 可帮助检测 IT/OT 边界上 OSIsoft PI、Ignition 和 Wonderware 等 OT historian 服务器的可疑活动。可将这份 detecting-attacks-on-historian-servers 指南用于事件响应、未授权查询、数据篡改、API 滥用以及横向移动分流。

detecting-api-enumeration-attacks 可帮助安全审计团队通过分析顺序 ID、404 激增、授权失败和文档发现路径，检测 API 探测、BOLA 和 IDOR。它面向基于日志的检测指导、规则草拟以及 API 滥用模式的实操审查。

correlating-threat-campaigns 可帮助威胁情报分析师将事件、IOC 和 TTP 关联为以 campaign 为单位的证据。可用于对比历史事件、区分强关联与弱匹配，并为 MISP、SIEM 和 CTI 报告构建更有说服力的聚类分析。

configuring-pfsense-firewall-rules 这个技能可帮助你为分段、NAT、VPN 访问和流量整形设计 pfSense 规则。可用于为 LAN、DMZ、访客和 IoT 区域创建或审计防火墙策略，并提供安装、使用以及 Security Audit 工作流的实用指导。

configuring-ldap-security-hardening 可帮助安全工程师和审计人员评估 LDAP 风险，包括匿名绑定、签名过弱、缺少 LDAPS 以及 channel binding 缺口。使用这份 configuring-ldap-security-hardening 指南，可以先查阅参考文档，再运行 Python 审计辅助脚本，并为 Security Audit 产出可落地的修复建议。

conducting-pass-the-ticket-attack 是一项用于安全审计和红队的技能，适合规划和记录 Pass-the-Ticket 工作流。它可以帮助你审查 Kerberos 票据、梳理检测信号，并使用 conducting-pass-the-ticket-attack 技能产出结构化的验证或报告流程。

conducting-memory-forensics-with-volatility 可帮助你使用 Volatility 3 分析 RAM 转储，查找注入代码、可疑进程、网络连接、凭据窃取以及隐藏的内核活动。它是一个面向数字取证与事件响应分诊的实用 conducting-memory-forensics-with-volatility 技能。

conducting-external-reconnaissance-with-osint 技能适用于基于公开来源进行被动外部足迹探查、攻击面梳理和 Security Audit 准备，数据源包括 DNS、crt.sh、Shodan、GitHub 和泄露数据。面向授权侦察，强调清晰的范围控制、来源隔离和可落地的发现结果。

面向经授权的 Active Directory 安全审计工作的 conducting-domain-persistence-with-dcsync 指南。了解安装、使用和工作流说明，借助随附脚本、参考资料和报告模板，评估 DCSync 权限、KRBTGT 暴露、Golden Ticket 风险及修复步骤。

conducting-api-security-testing 可帮助授权测试人员依据 OWASP API Security Top 10 工作流，评估 REST、GraphQL 和 gRPC API 的身份验证、授权、速率限制、输入校验以及业务逻辑缺陷。适合用于结构化、以证据为基础的 API 安全测试和安全审计复核。