Threat Hunting

detecting-beaconing-patterns-with-zeek 可帮助分析 Zeek `conn.log` 的时间间隔，以检测 C2 风格的 beaconing。它使用 ZAT，按源、目的和端口对流量分组，并通过统计检查为低抖动模式打分。适合 SOC、威胁狩猎、事件响应，以及 Security Audit 工作流中的 detecting-beaconing-patterns-with-zeek 使用场景。

detecting-azure-lateral-movement 帮助安全分析师利用 Microsoft Graph 审计日志、登录遥测和 KQL 关联，在 Azure AD/Entra ID 与 Microsoft Sentinel 中狩猎横向移动。适用于事件分诊、检测工程和安全审计流程，覆盖同意滥用、服务主体误用、令牌窃取以及跨租户跳转等场景。

analyzing-security-logs-with-splunk 通过将 Windows、防火墙、代理和身份验证日志关联成时间线与证据，帮助在 Splunk 中调查安全事件。这份 analyzing-security-logs-with-splunk skill 是面向安全审计、事件响应和威胁狩猎的实用指南。

analyzing-golang-malware-with-ghidra 帮助分析人员在 Ghidra 中对 Go 编译的恶意软件进行逆向分析，覆盖函数恢复、字符串提取、构建元数据和依赖映射等工作流。analyzing-golang-malware-with-ghidra 适合恶意软件初筛、事件响应和安全审计中需要实用 Go 专项分析步骤的场景。

detecting-living-off-the-land-with-lolbas 结合 Sysmon 和 Windows Event Logs，帮助检测 LOLBAS 滥用；内容覆盖进程遥测、父子进程上下文、Sigma 规则，以及用于分流、狩猎和规则编写的实用指南。它支持在 Threat Modeling 和分析师工作流中使用 detecting-living-off-the-land-with-lolbas，重点关注 certutil、regsvr32、mshta 和 rundll32。

detecting-kerberoasting-attacks 技能可通过识别可疑的 Kerberos TGS 请求、弱票据加密方式和服务账户模式，帮助你主动猎杀 Kerberoasting 攻击。它适用于 SIEM、EDR、EVTX 以及用于 Threat Modeling 工作流的 detecting-kerberoasting-attacks，并提供实用的检测模板和调优建议。

detecting-insider-threat-behaviors 可帮助分析师排查内部威胁信号，例如异常数据访问、非工作时间活动、批量下载、权限滥用以及与离职相关的窃取行为。可将这份 detecting-insider-threat-behaviors 指南用于威胁狩猎、UEBA 风格分诊和威胁建模，并结合工作流模板、SIEM 查询示例和风险权重来使用。

detecting-fileless-malware-techniques 技能支持恶意软件分析工作流，用于调查通过 PowerShell、WMI、.NET reflection、注册表驻留 payload 以及 LOLBins 在内存中运行的 fileless malware。你可以借助它从可疑告警快速推进到有证据支撑的初步分诊、检测思路和后续狩猎方向。

detecting-email-forwarding-rules-attack 技能可帮助安全审计、威胁狩猎和事件响应团队发现用于持久化和邮件收集的恶意邮箱转发规则。它会引导分析人员查看 Microsoft 365 和 Exchange 相关证据、可疑规则模式，以及针对 forwarding、redirect、delete 和 hide 行为的实用分诊方法。

detecting-dll-sideloading-attacks 帮助安全审计、威胁狩猎和事件响应团队使用 Sysmon、EDR、MDE 和 Splunk 发现 DLL 侧载。这个 detecting-dll-sideloading-attacks 指南包含工作流程说明、狩猎模板、标准映射，以及把可疑 DLL 加载转化为可重复检测的脚本。

detecting-attacks-on-historian-servers 可帮助检测 IT/OT 边界上 OSIsoft PI、Ignition 和 Wonderware 等 OT historian 服务器的可疑活动。可将这份 detecting-attacks-on-historian-servers 指南用于事件响应、未授权查询、数据篡改、API 滥用以及横向移动分流。

detecting-anomalous-authentication-patterns 可帮助分析认证日志，识别不可能旅行、暴力破解、密码喷洒、凭证填充以及账户被盗活动。它面向 Security Audit、SOC、IAM 和 incident response 工作流，提供基于基线的检测与有证据支撑的登录分析。

deploying-osquery-for-endpoint-monitoring 指南，帮助你部署和配置 osquery，实现终端可视化、全域监控以及基于 SQL 的威胁狩猎。可用于规划安装、阅读工作流和 API 参考，并将定时查询、日志采集和集中化审查落地到 Windows、macOS 和 Linux 终端上。

correlating-security-events-in-qradar 可帮助 SOC 和检测团队结合 AQL、offense 上下文、自定义规则和 reference data 来关联 IBM QRadar offenses。可用本指南调查事件、降低误报，并为 Incident Response 构建更强的关联逻辑。

containing-active-breach 是一项面向实时泄露遏制的事件响应技能。它通过结构化的 containing-active-breach 指南，并结合实用的 API 与脚本引用，帮助隔离主机、阻断可疑流量、禁用受影响账户，并减缓横向移动。

building-threat-hunt-hypothesis-framework 可帮助你基于威胁情报、ATT&CK 映射和遥测数据构建可验证的威胁狩猎假设。使用这个 building-threat-hunt-hypothesis-framework 技能来规划狩猎、映射数据源、运行查询，并记录威胁狩猎与 Threat Modeling 中的 building-threat-hunt-hypothesis-framework 发现。

analyzing-threat-actor-ttps-with-mitre-attack 技能可帮助将威胁报告映射到 MITRE ATT&CK 的战术、技术和子技术，构建覆盖视图，并优先识别检测缺口。它包含报告模板、ATT&CK 参考资料，以及用于技术查询和缺口分析的脚本，因此很适合 CTI、SOC、检测工程和威胁建模场景。

analyzing-powershell-empire-artifacts 技能帮助安全审计团队借助 Script Block Logging、Base64 启动器特征、stager IOC、模块签名和检测参考，在 Windows 日志中识别 PowerShell Empire 相关痕迹，并用于初步研判和规则编写。

analyzing-powershell-script-block-logging 技能用于解析 Windows PowerShell Script Block Logging 的 Event ID 4104（来自 EVTX 文件），重建被拆分的脚本块，并标记混淆命令、编码载荷、Invoke-Expression 滥用、下载器手法以及 AMSI 绕过尝试，适合安全审计工作。

analyzing-persistence-mechanisms-in-linux skill 可用于调查 Linux 机器在被入侵后的持久化迹象，包括 crontab 任务、systemd 单元、LD_PRELOAD 滥用、shell profile 修改以及 SSH authorized_keys 后门。它面向 incident response、threat hunting 和安全审计流程，并结合 auditd 和文件完整性检查使用。