Sentinel

detecting-service-account-abuse 是一款威胁狩猎技能，用于在 Windows、AD、SIEM 和 EDR 遥测中发现服务账号滥用。它重点关注可疑的交互式登录、权限提升、横向移动和访问异常，并提供狩猎模板、事件 ID 和工作流参考，便于重复开展调查。

detecting-azure-service-principal-abuse 可帮助你在 Azure 中检测、调查并记录可疑的 Microsoft Entra ID 服务主体活动。适用于安全审计、云事件响应和威胁狩猎，帮助排查凭据变更、管理员同意滥用、角色分配、所有权路径和登录异常。

detecting-azure-lateral-movement 帮助安全分析师利用 Microsoft Graph 审计日志、登录遥测和 KQL 关联，在 Azure AD/Entra ID 与 Microsoft Sentinel 中狩猎横向移动。适用于事件分诊、检测工程和安全审计流程，覆盖同意滥用、服务主体误用、令牌窃取以及跨租户跳转等场景。

detecting-fileless-attacks-on-endpoints 可帮助为 Windows 终端构建内存型攻击检测，包括 PowerShell 滥用、WMI 持久化、反射式加载和进程注入。可用于安全审计、威胁狩猎和检测工程，结合 Sysmon、AMSI 和 PowerShell 日志开展分析。

deploying-edr-agent-with-crowdstrike 可帮助规划、安装并验证 CrowdStrike Falcon sensor 在 Windows、macOS 和 Linux 终端上的部署。若你需要安装指引、策略配置、遥测接入 SIEM，以及 Incident Response 准备工作，可使用这个 deploying-edr-agent-with-crowdstrike skill。

building-threat-hunt-hypothesis-framework 可帮助你基于威胁情报、ATT&CK 映射和遥测数据构建可验证的威胁狩猎假设。使用这个 building-threat-hunt-hypothesis-framework 技能来规划狩猎、映射数据源、运行查询，并记录威胁狩猎与 Threat Modeling 中的 building-threat-hunt-hypothesis-framework 发现。

building-detection-rules-with-sigma 可帮助分析师从威胁情报或厂商规则构建可移植的 Sigma 检测规则，将其映射到 MITRE ATT&CK，并转换为 Splunk、Elastic 和 Microsoft Sentinel 等 SIEM 可用的格式。将这份 building-detection-rules-with-sigma 指南用于安全审计流程、标准化建设和 detection-as-code。

building-cloud-siem-with-sentinel 是一份面向实践的指南，用于将 Microsoft Sentinel 作为云端 SIEM 和 SOAR 层来部署。它涵盖多云日志接入、KQL 检测、事件调查，以及面向 Security Audit 和 SOC 运营的 Logic Apps 响应 playbook。當你需要一个有 repo 支撑的起点来做集中式云安全监控时，可以使用这个 building-cloud-siem-with-sentinel skill。