M
detecting-service-account-abuse
作者 mukul975
detecting-service-account-abuse 是一款威胁狩猎技能,用于在 Windows、AD、SIEM 和 EDR 遥测中发现服务账号滥用。它重点关注可疑的交互式登录、权限提升、横向移动和访问异常,并提供狩猎模板、事件 ID 和工作流参考,便于重复开展调查。
威胁狩猎
收藏 0GitHub 6.2k
Elastic
Elastic taxonomy generated by the site skill importer.
5 个技能
M
detecting-pass-the-ticket-attacks
作者 mukul975
detecting-pass-the-ticket-attacks 通过关联 Windows Security Event IDs 4768、4769 和 4771,帮助检测 Kerberos Pass-the-Ticket 活动。适用于 Splunk 或 Elastic 中的威胁狩猎,用于发现票据复用、RC4 降级以及异常 TGS 流量,并提供可直接上手的查询和字段说明。
威胁狩猎
收藏 0GitHub 0
M
deploying-edr-agent-with-crowdstrike
作者 mukul975
deploying-edr-agent-with-crowdstrike 可帮助规划、安装并验证 CrowdStrike Falcon sensor 在 Windows、macOS 和 Linux 终端上的部署。若你需要安装指引、策略配置、遥测接入 SIEM,以及 Incident Response 准备工作,可使用这个 deploying-edr-agent-with-crowdstrike skill。
事件响应
收藏 0GitHub 0
M
building-incident-response-dashboard
作者 mukul975
building-incident-response-dashboard 可帮助团队在 Splunk、Elastic 或 Grafana 中构建实时事件响应仪表盘,用于跟踪正在进行的事件、遏制状态、受影响资产、IOC 扩散情况和响应时间线。当你需要一个面向 SOC 分析师、事件指挥官和管理层的专用仪表盘时,可以使用这个 building-incident-response-dashboard skill。
仪表盘构建
收藏 0GitHub 0
M
building-detection-rules-with-sigma
作者 mukul975
building-detection-rules-with-sigma 可帮助分析师从威胁情报或厂商规则构建可移植的 Sigma 检测规则,将其映射到 MITRE ATT&CK,并转换为 Splunk、Elastic 和 Microsoft Sentinel 等 SIEM 可用的格式。将这份 building-detection-rules-with-sigma 指南用于安全审计流程、标准化建设和 detection-as-code。
安全审计
收藏 0GitHub 0