Microsoft Defender

detecting-misconfigured-azure-storage 是一款安全审计技能，用于检查 Azure Storage 账户是否存在 Blob 公共访问、加密薄弱、网络规则开放、SAS 使用不安全以及日志缺失等问题。它适合在多个订阅中进行可重复的云安全检查，并提供基于 Azure CLI 的操作指引。

detecting-service-account-abuse 是一款威胁狩猎技能，用于在 Windows、AD、SIEM 和 EDR 遥测中发现服务账号滥用。它重点关注可疑的交互式登录、权限提升、横向移动和访问异常，并提供狩猎模板、事件 ID 和工作流参考，便于重复开展调查。

detecting-privilege-escalation-attempts 可帮助排查 Windows 和 Linux 上的权限提升行为，包括 token 操作、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 sudo/doas 滥用。它面向需要实用工作流、参考查询和辅助脚本的威胁狩猎团队。

用于猎杀基于 NTLM 的横向移动、可疑的 Type 3 登录，以及通过 Windows Security 日志、Splunk 和 KQL 识别 T1550.002 活动的 detecting-pass-the-hash-attacks 技能。

detecting-insider-threat-behaviors 可帮助分析师排查内部威胁信号，例如异常数据访问、非工作时间活动、批量下载、权限滥用以及与离职相关的窃取行为。可将这份 detecting-insider-threat-behaviors 指南用于威胁狩猎、UEBA 风格分诊和威胁建模，并结合工作流模板、SIEM 查询示例和风险权重来使用。

detecting-fileless-attacks-on-endpoints 可帮助为 Windows 终端构建内存型攻击检测，包括 PowerShell 滥用、WMI 持久化、反射式加载和进程注入。可用于安全审计、威胁狩猎和检测工程，结合 Sysmon、AMSI 和 PowerShell 日志开展分析。

containing-active-breach 是一项面向实时泄露遏制的事件响应技能。它通过结构化的 containing-active-breach 指南，并结合实用的 API 与脚本引用，帮助隔离主机、阻断可疑流量、禁用受影响账户，并减缓横向移动。