SIEM

detecting-rdp-brute-force-attacks 用于分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重复的 4625 失败、4624 在失败后成功、与 NLA 相关的登录，以及源 IP 集中异常。适合用于安全审计、威胁狩猎和可重复的基于 EVTX 的调查。

configuring-host-based-intrusion-detection 指南：使用 Wazuh、OSSEC 或 AIDE 搭建 HIDS，用于监控文件完整性、系统变更，以及面向合规的终端安全，适配 Security Audit 工作流。

analyzing-security-logs-with-splunk 通过将 Windows、防火墙、代理和身份验证日志关联成时间线与证据，帮助在 Splunk 中调查安全事件。这份 analyzing-security-logs-with-splunk skill 是面向安全审计、事件响应和威胁狩猎的实用指南。

detecting-mimikatz-execution-patterns 帮助分析人员通过命令行模式、LSASS 访问信号、二进制特征和内存痕迹来检测 Mimikatz 执行。适合在安全审计、威胁狩猎和事件响应中安装和使用该 detecting-mimikatz-execution-patterns 技能，配有模板、参考资料和工作流指引。

适用于安全审计、威胁狩猎和事件响应的 detecting-living-off-the-land-attacks 技能。通过进程创建、命令行和父子进程遥测，检测 certutil、mshta、rundll32、regsvr32 等合法 Windows 二进制文件被滥用的行为。该指南聚焦可落地的 LOLBin 检测模式，而不是泛泛的 Windows 加固。

detecting-lateral-movement-in-network 可利用 Windows 事件日志、Zeek 遥测、SMB、RDP 和 SIEM 关联，帮助发现企业网络中被入侵后的横向移动。它适用于威胁狩猎、事件响应，以及面向 Security Audit 审查的 detecting-lateral-movement-in-network，提供可落地的检测工作流。

detecting-kerberoasting-attacks 技能可通过识别可疑的 Kerberos TGS 请求、弱票据加密方式和服务账户模式，帮助你主动猎杀 Kerberoasting 攻击。它适用于 SIEM、EDR、EVTX 以及用于 Threat Modeling 工作流的 detecting-kerberoasting-attacks，并提供实用的检测模板和调优建议。

detecting-insider-threat-with-ueba 可帮助你在 Elasticsearch 或 OpenSearch 中构建 UEBA 检测，用于识别内部威胁场景，包括行为基线、异常评分、同类群组分析，以及针对数据外传、权限滥用和未授权访问的关联告警。适合在 Incident Response 工作流中使用 detecting-insider-threat-with-ueba。

detecting-insider-threat-behaviors 可帮助分析师排查内部威胁信号，例如异常数据访问、非工作时间活动、批量下载、权限滥用以及与离职相关的窃取行为。可将这份 detecting-insider-threat-behaviors 指南用于威胁狩猎、UEBA 风格分诊和威胁建模，并结合工作流模板、SIEM 查询示例和风险权重来使用。

detecting-fileless-attacks-on-endpoints 可帮助为 Windows 终端构建内存型攻击检测，包括 PowerShell 滥用、WMI 持久化、反射式加载和进程注入。可用于安全审计、威胁狩猎和检测工程，结合 Sysmon、AMSI 和 PowerShell 日志开展分析。

detecting-email-forwarding-rules-attack 技能可帮助安全审计、威胁狩猎和事件响应团队发现用于持久化和邮件收集的恶意邮箱转发规则。它会引导分析人员查看 Microsoft 365 和 Exchange 相关证据、可疑规则模式，以及针对 forwarding、redirect、delete 和 hide 行为的实用分诊方法。

detecting-attacks-on-scada-systems 是一项面向网络安全的技能，用于发现 SCADA 以及 OT/ICS 环境中的攻击。它可帮助分析工业协议滥用、未授权 PLC 指令、HMI 被入侵、历史数据（historian）篡改和拒绝服务等问题，并为事件响应和检测验证提供实用指导。

detecting-anomalous-authentication-patterns 可帮助分析认证日志，识别不可能旅行、暴力破解、密码喷洒、凭证填充以及账户被盗活动。它面向 Security Audit、SOC、IAM 和 incident response 工作流，提供基于基线的检测与有证据支撑的登录分析。

deploying-osquery-for-endpoint-monitoring 指南，帮助你部署和配置 osquery，实现终端可视化、全域监控以及基于 SQL 的威胁狩猎。可用于规划安装、阅读工作流和 API 参考，并将定时查询、日志采集和集中化审查落地到 Windows、macOS 和 Linux 终端上。

deploying-edr-agent-with-crowdstrike 可帮助规划、安装并验证 CrowdStrike Falcon sensor 在 Windows、macOS 和 Linux 终端上的部署。若你需要安装指引、策略配置、遥测接入 SIEM，以及 Incident Response 准备工作，可使用这个 deploying-edr-agent-with-crowdstrike skill。

correlating-security-events-in-qradar 可帮助 SOC 和检测团队结合 AQL、offense 上下文、自定义规则和 reference data 来关联 IBM QRadar offenses。可用本指南调查事件、降低误报，并为 Incident Response 构建更强的关联逻辑。

configuring-suricata-for-network-monitoring 技能可帮助部署和调优 Suricata，用于 IDS/IPS 监控、EVE JSON 日志记录、规则管理以及面向 SIEM 的输出。它适合用于 Security Audit 流程中的 configuring-suricata-for-network-monitoring 场景，尤其是在你需要可落地的部署、验证和降低误报时。

conducting-malware-incident-response 可帮助 IR 团队分诊疑似恶意软件，确认是否感染，评估传播范围，隔离受影响端点，并支持清除与恢复。它面向 Incident Response 工作流中的 conducting-malware-incident-response，提供有证据支撑的步骤、基于遥测的决策，以及实用的遏制指导。

building-vulnerability-scanning-workflow 帮助 SOC 团队设计一套可重复的漏洞扫描流程，用于资产发现、优先级排序、修复跟踪和报告。它支持安全审计场景，提供扫描编排、基于 KEV 的风险排序以及超越一次性扫描的工作流指导。

building-threat-hunt-hypothesis-framework 可帮助你基于威胁情报、ATT&CK 映射和遥测数据构建可验证的威胁狩猎假设。使用这个 building-threat-hunt-hypothesis-framework 技能来规划狩猎、映射数据源、运行查询，并记录威胁狩猎与 Threat Modeling 中的 building-threat-hunt-hypothesis-framework 发现。

building-threat-feed-aggregation-with-misp 可帮助你部署 MISP，用于聚合、关联并共享威胁情报源，从而实现集中化 IOC 管理和 SIEM 集成。本技能指南涵盖安装与使用模式、feed 同步、API 操作，以及面向 Threat Intelligence 团队的实用工作流步骤。

building-soc-metrics-and-kpi-tracking 这项技能可将 SOC 活动数据转化为 MTTD、MTTR、告警质量、分析师效率和检测覆盖率等 KPI。它适合需要可重复报表、趋势跟踪以及基于 Splunk 工作流、便于向管理层汇报的指标的 SOC 领导层、安全运营和可观测性团队。

building-detection-rules-with-sigma 可帮助分析师从威胁情报或厂商规则构建可移植的 Sigma 检测规则，将其映射到 MITRE ATT&CK，并转换为 Splunk、Elastic 和 Microsoft Sentinel 等 SIEM 可用的格式。将这份 building-detection-rules-with-sigma 指南用于安全审计流程、标准化建设和 detection-as-code。

building-detection-rule-with-splunk-spl 帮助 SOC 分析师和检测工程师构建用于威胁检测、调优和 Security Audit 审查的 Splunk SPL 关联搜索。可将一份检测简报转化为可部署的规则，并提供 MITRE 映射、富化和验证指导。