Edr

detecting-t1003-credential-dumping-with-edr 是一项面向威胁狩猎的 skill，结合 EDR、Sysmon 和 Windows 事件关联，检测 LSASS、SAM、NTDS.dit、LSA secrets 以及缓存凭据转储。可用于验证告警、梳理事件范围，并借助实用流程指导降低误报。

hunting-advanced-persistent-threats 是一项威胁狩猎技能，用于在终端、网络和内存遥测中检测 APT 式活动。它帮助分析师构建基于假设的狩猎流程，将发现映射到 MITRE ATT&CK，并把威胁情报转化为可执行的查询和调查步骤，而不是零散的临时搜索。

detecting-process-hollowing-technique 通过关联挂起启动、内存篡改、父子进程异常和 API 证据，帮助在 Windows telemetry 中狩猎进程空洞化（T1055.012）。面向威胁狩猎、检测工程和响应人员，适合作为 Threat Hunting 工作流中实用的 detecting-process-hollowing-technique。

detecting-evasion-techniques-in-endpoint-logs 技能可帮助你在 Windows 终端日志中狩猎防御规避行为，包括清除日志、时间戳回溯（timestomping）、进程注入以及禁用安全工具。适用于威胁狩猎、检测工程和事件初筛，可结合 Sysmon、Windows Security 或 EDR 遥测使用。

detecting-mimikatz-execution-patterns 帮助分析人员通过命令行模式、LSASS 访问信号、二进制特征和内存痕迹来检测 Mimikatz 执行。适合在安全审计、威胁狩猎和事件响应中安装和使用该 detecting-mimikatz-execution-patterns 技能，配有模板、参考资料和工作流指引。

适用于安全审计、威胁狩猎和事件响应的 detecting-living-off-the-land-attacks 技能。通过进程创建、命令行和父子进程遥测，检测 certutil、mshta、rundll32、regsvr32 等合法 Windows 二进制文件被滥用的行为。该指南聚焦可落地的 LOLBin 检测模式，而不是泛泛的 Windows 加固。

detecting-insider-threat-behaviors 可帮助分析师排查内部威胁信号，例如异常数据访问、非工作时间活动、批量下载、权限滥用以及与离职相关的窃取行为。可将这份 detecting-insider-threat-behaviors 指南用于威胁狩猎、UEBA 风格分诊和威胁建模，并结合工作流模板、SIEM 查询示例和风险权重来使用。

detecting-dll-sideloading-attacks 帮助安全审计、威胁狩猎和事件响应团队使用 Sysmon、EDR、MDE 和 Splunk 发现 DLL 侧载。这个 detecting-dll-sideloading-attacks 指南包含工作流程说明、狩猎模板、标准映射，以及把可疑 DLL 加载转化为可重复检测的脚本。

deploying-edr-agent-with-crowdstrike 可帮助规划、安装并验证 CrowdStrike Falcon sensor 在 Windows、macOS 和 Linux 终端上的部署。若你需要安装指引、策略配置、遥测接入 SIEM，以及 Incident Response 准备工作，可使用这个 deploying-edr-agent-with-crowdstrike skill。

conducting-malware-incident-response 可帮助 IR 团队分诊疑似恶意软件，确认是否感染，评估传播范围，隔离受影响端点，并支持清除与恢复。它面向 Incident Response 工作流中的 conducting-malware-incident-response，提供有证据支撑的步骤、基于遥测的决策，以及实用的遏制指导。

building-threat-hunt-hypothesis-framework 可帮助你基于威胁情报、ATT&CK 映射和遥测数据构建可验证的威胁狩猎假设。使用这个 building-threat-hunt-hypothesis-framework 技能来规划狩猎、映射数据源、运行查询，并记录威胁狩猎与 Threat Modeling 中的 building-threat-hunt-hypothesis-framework 发现。