Endpoint Security

configuring-host-based-intrusion-detection 指南：使用 Wazuh、OSSEC 或 AIDE 搭建 HIDS，用于监控文件完整性、系统变更，以及面向合规的终端安全，适配 Security Audit 工作流。

detecting-wmi-persistence 技能可帮助威胁狩猎和 DFIR 分析师，利用 Windows 遥测中的 Sysmon Event ID 19、20 和 21 发现 WMI 事件订阅持久化。可用来识别恶意的 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动，验证发现，并区分攻击者持久化与正常的管理员自动化。

detecting-evasion-techniques-in-endpoint-logs 技能可帮助你在 Windows 终端日志中狩猎防御规避行为，包括清除日志、时间戳回溯（timestomping）、进程注入以及禁用安全工具。适用于威胁狩猎、检测工程和事件初筛，可结合 Sysmon、Windows Security 或 EDR 遥测使用。

detecting-fileless-attacks-on-endpoints 可帮助为 Windows 终端构建内存型攻击检测，包括 PowerShell 滥用、WMI 持久化、反射式加载和进程注入。可用于安全审计、威胁狩猎和检测工程，结合 Sysmon、AMSI 和 PowerShell 日志开展分析。

deploying-osquery-for-endpoint-monitoring 指南，帮助你部署和配置 osquery，实现终端可视化、全域监控以及基于 SQL 的威胁狩猎。可用于规划安装、阅读工作流和 API 参考，并将定时查询、日志采集和集中化审查落地到 Windows、macOS 和 Linux 终端上。

面向 Microsoft Defender for Endpoint 加固的 configuring-windows-defender-advanced-settings 技能。涵盖 ASR 规则、受控文件夹访问、网络防护、漏洞利用防护、部署规划，以及面向安全工程师、IT 管理员和 Security Audit 工作流的先审计后上线指导。