Splunk

detecting-service-account-abuse 是一款威胁狩猎技能，用于在 Windows、AD、SIEM 和 EDR 遥测中发现服务账号滥用。它重点关注可疑的交互式登录、权限提升、横向移动和访问异常，并提供狩猎模板、事件 ID 和工作流参考，便于重复开展调查。

detecting-azure-service-principal-abuse 可帮助你在 Azure 中检测、调查并记录可疑的 Microsoft Entra ID 服务主体活动。适用于安全审计、云事件响应和威胁狩猎，帮助排查凭据变更、管理员同意滥用、角色分配、所有权路径和登录异常。

analyzing-security-logs-with-splunk 通过将 Windows、防火墙、代理和身份验证日志关联成时间线与证据，帮助在 Splunk 中调查安全事件。这份 analyzing-security-logs-with-splunk skill 是面向安全审计、事件响应和威胁狩猎的实用指南。

detecting-privilege-escalation-attempts 可帮助排查 Windows 和 Linux 上的权限提升行为，包括 token 操作、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 sudo/doas 滥用。它面向需要实用工作流、参考查询和辅助脚本的威胁狩猎团队。

detecting-pass-the-ticket-attacks 通过关联 Windows Security Event IDs 4768、4769 和 4771，帮助检测 Kerberos Pass-the-Ticket 活动。适用于 Splunk 或 Elastic 中的威胁狩猎，用于发现票据复用、RC4 降级以及异常 TGS 流量，并提供可直接上手的查询和字段说明。

用于猎杀基于 NTLM 的横向移动、可疑的 Type 3 登录，以及通过 Windows Security 日志、Splunk 和 KQL 识别 T1550.002 活动的 detecting-pass-the-hash-attacks 技能。

detecting-lateral-movement-in-network 可利用 Windows 事件日志、Zeek 遥测、SMB、RDP 和 SIEM 关联，帮助发现企业网络中被入侵后的横向移动。它适用于威胁狩猎、事件响应，以及面向 Security Audit 审查的 detecting-lateral-movement-in-network，提供可落地的检测工作流。

detecting-kerberoasting-attacks 技能可通过识别可疑的 Kerberos TGS 请求、弱票据加密方式和服务账户模式，帮助你主动猎杀 Kerberoasting 攻击。它适用于 SIEM、EDR、EVTX 以及用于 Threat Modeling 工作流的 detecting-kerberoasting-attacks，并提供实用的检测模板和调优建议。

detecting-insider-threat-behaviors 可帮助分析师排查内部威胁信号，例如异常数据访问、非工作时间活动、批量下载、权限滥用以及与离职相关的窃取行为。可将这份 detecting-insider-threat-behaviors 指南用于威胁狩猎、UEBA 风格分诊和威胁建模，并结合工作流模板、SIEM 查询示例和风险权重来使用。

detecting-golden-ticket-forgery 通过分析 Windows Event ID 4769、RC4 降级使用（0x17）、异常票据生命周期以及 Splunk 和 Elastic 中的 krbtgt 异常，检测 Kerberos Golden Ticket 伪造。面向 Security Audit、事件调查和威胁狩猎，提供实用的检测指引。

detecting-email-forwarding-rules-attack 技能可帮助安全审计、威胁狩猎和事件响应团队发现用于持久化和邮件收集的恶意邮箱转发规则。它会引导分析人员查看 Microsoft 365 和 Exchange 相关证据、可疑规则模式，以及针对 forwarding、redirect、delete 和 hide 行为的实用分诊方法。

detecting-dll-sideloading-attacks 帮助安全审计、威胁狩猎和事件响应团队使用 Sysmon、EDR、MDE 和 Splunk 发现 DLL 侧载。这个 detecting-dll-sideloading-attacks 指南包含工作流程说明、狩猎模板、标准映射，以及把可疑 DLL 加载转化为可重复检测的脚本。

deploying-edr-agent-with-crowdstrike 可帮助规划、安装并验证 CrowdStrike Falcon sensor 在 Windows、macOS 和 Linux 终端上的部署。若你需要安装指引、策略配置、遥测接入 SIEM，以及 Incident Response 准备工作，可使用这个 deploying-edr-agent-with-crowdstrike skill。

building-threat-hunt-hypothesis-framework 可帮助你基于威胁情报、ATT&CK 映射和遥测数据构建可验证的威胁狩猎假设。使用这个 building-threat-hunt-hypothesis-framework 技能来规划狩猎、映射数据源、运行查询，并记录威胁狩猎与 Threat Modeling 中的 building-threat-hunt-hypothesis-framework 发现。

building-soc-metrics-and-kpi-tracking 这项技能可将 SOC 活动数据转化为 MTTD、MTTR、告警质量、分析师效率和检测覆盖率等 KPI。它适合需要可重复报表、趋势跟踪以及基于 Splunk 工作流、便于向管理层汇报的指标的 SOC 领导层、安全运营和可观测性团队。

building-incident-response-dashboard 可帮助团队在 Splunk、Elastic 或 Grafana 中构建实时事件响应仪表盘，用于跟踪正在进行的事件、遏制状态、受影响资产、IOC 扩散情况和响应时间线。当你需要一个面向 SOC 分析师、事件指挥官和管理层的专用仪表盘时，可以使用这个 building-incident-response-dashboard skill。

building-detection-rules-with-sigma 可帮助分析师从威胁情报或厂商规则构建可移植的 Sigma 检测规则，将其映射到 MITRE ATT&CK，并转换为 Splunk、Elastic 和 Microsoft Sentinel 等 SIEM 可用的格式。将这份 building-detection-rules-with-sigma 指南用于安全审计流程、标准化建设和 detection-as-code。

building-detection-rule-with-splunk-spl 帮助 SOC 分析师和检测工程师构建用于威胁检测、调优和 Security Audit 审查的 Splunk SPL 关联搜索。可将一份检测简报转化为可部署的规则，并提供 MITRE 映射、富化和验证指导。

analyzing-windows-event-logs-in-splunk skill 可帮助 SOC 分析师在 Splunk 中调查 Windows Security、System 和 Sysmon 日志，识别认证攻击、权限提升、持久化和横向移动。它适用于事件初判、检测工程和时间线分析，并提供映射好的 SPL 模式与 event ID 指引。

analyzing-dns-logs-for-exfiltration 可帮助 SOC 分析师从 SIEM 或 Zeek 日志中发现 DNS 隧道、DGA 类域名、TXT 滥用和隐蔽 C2 模式。适用于 Security Audit 流程，尤其是在需要熵分析、查询量异常识别和实用分流建议时。