Detection

detecting-container-escape-with-falco-rules 帮助使用 Falco 运行时安全规则检测容器逃逸尝试。它聚焦 syscall 信号、特权容器、host-path 滥用、验证以及 Kubernetes 和 Linux 容器环境中的事件响应工作流。

detecting-ransomware-encryption-behavior 帮助防御者通过熵分析、文件 I/O 监控和行为启发式规则识别勒索软件式加密行为。它适用于事件响应、SOC 调优和红队验证，能在你需要快速发现批量文件变更、连续重命名和可疑进程活动时派上用场。

detecting-process-injection-techniques 可帮助分析可疑的内存驻留行为、验证 EDR 告警，并识别进程空洞化、APC 注入、线程劫持、反射式加载以及传统 DLL 注入，适用于安全审计和恶意软件分流。

deploying-ransomware-canary-files 技能可帮助安全团队在关键目录中部署诱饵文件，并监控读取、修改、重命名或删除事件，以便尽早发现勒索软件迹象。它适用于 Security Audit 工作流、轻量级检测，以及通过 Slack、email 或 syslog 发出告警，但不能替代 EDR 或备份。

deploying-active-directory-honeytokens 帮助防守者为安全审计工作规划并生成 Active Directory honeytokens，包括伪造特权账户、用于 Kerberoasting 检测的伪 SPN、诱饵 GPO 陷阱，以及欺骗性的 BloodHound 路径。它将偏安装导向的指导与脚本和遥测线索结合起来，便于实际部署与复盘。