Mitre Attack

detecting-service-account-abuse 是一款威胁狩猎技能，用于在 Windows、AD、SIEM 和 EDR 遥测中发现服务账号滥用。它重点关注可疑的交互式登录、权限提升、横向移动和访问异常，并提供狩猎模板、事件 ID 和工作流参考，便于重复开展调查。

analyzing-campaign-attribution-evidence 帮助分析师综合评估基础设施重叠、ATT&CK 一致性、恶意软件相似性、时间线和语言痕迹，以形成更有依据的 campaign 归因结论。适用于 CTI、事件分析和 Security Audit 复核的 analyzing-campaign-attribution-evidence 指南。

analyzing-malware-sandbox-evasion-techniques 可帮助恶意软件分析师查看 Cuckoo 和 AnyRun 的行为，重点排查时间检测、VM 痕迹查询、用户交互门槛和 sleep inflation。它专为恶意软件分析流程中的聚焦型 analyzing-malware-sandbox-evasion-techniques 场景而设计，用于判断样本是否在躲避沙箱。

hunting-advanced-persistent-threats 是一项威胁狩猎技能，用于在终端、网络和内存遥测中检测 APT 式活动。它帮助分析师构建基于假设的狩猎流程，将发现映射到 MITRE ATT&CK，并把威胁情报转化为可执行的查询和调查步骤，而不是零散的临时搜索。

executing-red-team-exercise 是一项用于规划和跟踪逼真红队演练的网络安全技能。它支持从侦察、技术选择、执行到检测缺口复盘的对手模拟流程，因此很适合 Security Audit 工作和 ATT&CK 对齐的评估场景。

detecting-wmi-persistence 技能可帮助威胁狩猎和 DFIR 分析师，利用 Windows 遥测中的 Sysmon Event ID 19、20 和 21 发现 WMI 事件订阅持久化。可用来识别恶意的 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动，验证发现，并区分攻击者持久化与正常的管理员自动化。

detecting-process-hollowing-technique 通过关联挂起启动、内存篡改、父子进程异常和 API 证据，帮助在 Windows telemetry 中狩猎进程空洞化（T1055.012）。面向威胁狩猎、检测工程和响应人员，适合作为 Threat Hunting 工作流中实用的 detecting-process-hollowing-technique。

detecting-privilege-escalation-attempts 可帮助排查 Windows 和 Linux 上的权限提升行为，包括 token 操作、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 sudo/doas 滥用。它面向需要实用工作流、参考查询和辅助脚本的威胁狩猎团队。

detecting-mimikatz-execution-patterns 帮助分析人员通过命令行模式、LSASS 访问信号、二进制特征和内存痕迹来检测 Mimikatz 执行。适合在安全审计、威胁狩猎和事件响应中安装和使用该 detecting-mimikatz-execution-patterns 技能，配有模板、参考资料和工作流指引。

适用于安全审计、威胁狩猎和事件响应的 detecting-living-off-the-land-attacks 技能。通过进程创建、命令行和父子进程遥测，检测 certutil、mshta、rundll32、regsvr32 等合法 Windows 二进制文件被滥用的行为。该指南聚焦可落地的 LOLBin 检测模式，而不是泛泛的 Windows 加固。

detecting-kerberoasting-attacks 技能可通过识别可疑的 Kerberos TGS 请求、弱票据加密方式和服务账户模式，帮助你主动猎杀 Kerberoasting 攻击。它适用于 SIEM、EDR、EVTX 以及用于 Threat Modeling 工作流的 detecting-kerberoasting-attacks，并提供实用的检测模板和调优建议。

detecting-insider-threat-behaviors 可帮助分析师排查内部威胁信号，例如异常数据访问、非工作时间活动、批量下载、权限滥用以及与离职相关的窃取行为。可将这份 detecting-insider-threat-behaviors 指南用于威胁狩猎、UEBA 风格分诊和威胁建模，并结合工作流模板、SIEM 查询示例和风险权重来使用。

detecting-dll-sideloading-attacks 帮助安全审计、威胁狩猎和事件响应团队使用 Sysmon、EDR、MDE 和 Splunk 发现 DLL 侧载。这个 detecting-dll-sideloading-attacks 指南包含工作流程说明、狩猎模板、标准映射，以及把可疑 DLL 加载转化为可重复检测的脚本。

detecting-command-and-control-over-dns 是一项用于发现通过 DNS 进行 C2 的网络安全技能，涵盖隧道传输、beaconing、DGA 域名以及 TXT/CNAME 滥用等场景。它结合熵值检查、passive DNS 关联分析以及类似 Zeek 或 Suricata 的检测流程，适合 SOC 分析师、威胁猎手和安全审计使用。

correlating-threat-campaigns 可帮助威胁情报分析师将事件、IOC 和 TTP 关联为以 campaign 为单位的证据。可用于对比历史事件、区分强关联与弱匹配，并为 MISP、SIEM 和 CTI 报告构建更有说服力的聚类分析。

conducting-post-incident-lessons-learned 技能帮助 Incident Response 团队开展结构化的事后复盘，构建基于事实的时间线，识别根因，记录哪些做法有效、哪些失效，并通过负责人、截止日期和 playbook 更新，把每次事件转化为可衡量的改进。

conducting-pass-the-ticket-attack 是一项用于安全审计和红队的技能，适合规划和记录 Pass-the-Ticket 工作流。它可以帮助你审查 Kerberos 票据、梳理检测信号，并使用 conducting-pass-the-ticket-attack 技能产出结构化的验证或报告流程。

conducting-cloud-penetration-testing 可帮助你规划并执行经授权的云环境评估，覆盖 AWS、Azure 和 GCP。你可以用它来发现 IAM 配置错误、metadata 暴露、公开资源以及提权路径，并将结果整理成安全审计报告。它适用于 Security Audit 工作流中的 conducting-cloud-penetration-testing 技能。

collecting-threat-intelligence-with-misp 技能可帮助你在 MISP 中采集、规范化、搜索并导出威胁情报。可将这份 collecting-threat-intelligence-with-misp 指南用于 feeds、PyMISP 工作流、事件过滤、warninglist 降噪，以及面向 Threat Modeling 和 CTI 运营的实用 collecting-threat-intelligence-with-misp 方法。

building-threat-intelligence-platform 适用于使用 MISP、OpenCTI、TheHive、Cortex、STIX/TAXII 和 Elasticsearch 设计、部署并评审威胁情报平台的技能。可用于安装指引、使用流程，以及基于仓库参考和脚本的 Security Audit 规划。

building-threat-hunt-hypothesis-framework 可帮助你基于威胁情报、ATT&CK 映射和遥测数据构建可验证的威胁狩猎假设。使用这个 building-threat-hunt-hypothesis-framework 技能来规划狩猎、映射数据源、运行查询，并记录威胁狩猎与 Threat Modeling 中的 building-threat-hunt-hypothesis-framework 发现。

building-threat-actor-profile-from-osint 可帮助威胁情报团队将 OSINT 转化为结构化的威胁行为者画像。它支持对已命名的组织或活动进行画像分析，并提供 ATT&CK 映射、基础设施关联、来源可追溯性和置信度说明，便于形成可辩护的分析结论。

面向需要结构化勒索软件响应手册的 SOC 团队的 building-soc-playbook-for-ransomware 技能。它涵盖检测触发、遏制、清除、恢复，以及符合 NIST SP 800-61 和 MITRE ATT&CK 的审计就绪流程。可用于实用的手册编写、桌面推演和 Security Audit 支持。

building-detection-rules-with-sigma 可帮助分析师从威胁情报或厂商规则构建可移植的 Sigma 检测规则，将其映射到 MITRE ATT&CK，并转换为 Splunk、Elastic 和 Microsoft Sentinel 等 SIEM 可用的格式。将这份 building-detection-rules-with-sigma 指南用于安全审计流程、标准化建设和 detection-as-code。