Windows Security

detecting-service-account-abuse 是一款威胁狩猎技能，用于在 Windows、AD、SIEM 和 EDR 遥测中发现服务账号滥用。它重点关注可疑的交互式登录、权限提升、横向移动和访问异常，并提供狩猎模板、事件 ID 和工作流参考，便于重复开展调查。

detecting-rdp-brute-force-attacks 用于分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重复的 4625 失败、4624 在失败后成功、与 NLA 相关的登录，以及源 IP 集中异常。适合用于安全审计、威胁狩猎和可重复的基于 EVTX 的调查。

detecting-rootkit-activity 是一项 Malware Analysis 技能，用于发现 rootkit 迹象，例如隐藏进程、被 hook 的系统调用、被篡改的内核结构、隐藏模块以及隐蔽的网络痕迹。它通过交叉视图比对和完整性检查，帮助在标准工具结果不一致时验证可疑主机。

detecting-dcsync-attack-in-active-directory 是一项威胁狩猎技能，用于通过关联 4662 事件、复制 GUID 和合法的 DC 账户，识别 Active Directory 中的 DCSync 滥用。可用它借助 Splunk、KQL 和解析脚本来确认、分诊并记录凭据窃取活动。

eradicating-malware-from-infected-systems 是一项面向网络安全事件响应的技能，用于在隔离完成后清除恶意软件、后门和持久化机制。它提供工作流程指导、参考文件，以及用于 Windows 和 Linux 清理、凭据轮换、根因修复和验证的脚本。

detecting-privilege-escalation-attempts 可帮助排查 Windows 和 Linux 上的权限提升行为，包括 token 操作、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 sudo/doas 滥用。它面向需要实用工作流、参考查询和辅助脚本的威胁狩猎团队。

detecting-pass-the-ticket-attacks 通过关联 Windows Security Event IDs 4768、4769 和 4771，帮助检测 Kerberos Pass-the-Ticket 活动。适用于 Splunk 或 Elastic 中的威胁狩猎，用于发现票据复用、RC4 降级以及异常 TGS 流量，并提供可直接上手的查询和字段说明。

用于猎杀基于 NTLM 的横向移动、可疑的 Type 3 登录，以及通过 Windows Security 日志、Splunk 和 KQL 识别 T1550.002 活动的 detecting-pass-the-hash-attacks 技能。

detecting-evasion-techniques-in-endpoint-logs 技能可帮助你在 Windows 终端日志中狩猎防御规避行为，包括清除日志、时间戳回溯（timestomping）、进程注入以及禁用安全工具。适用于威胁狩猎、检测工程和事件初筛，可结合 Sysmon、Windows Security 或 EDR 遥测使用。

detecting-living-off-the-land-with-lolbas 结合 Sysmon 和 Windows Event Logs，帮助检测 LOLBAS 滥用；内容覆盖进程遥测、父子进程上下文、Sigma 规则，以及用于分流、狩猎和规则编写的实用指南。它支持在 Threat Modeling 和分析师工作流中使用 detecting-living-off-the-land-with-lolbas，重点关注 certutil、regsvr32、mshta 和 rundll32。

detecting-golden-ticket-forgery 通过分析 Windows Event ID 4769、RC4 降级使用（0x17）、异常票据生命周期以及 Splunk 和 Elastic 中的 krbtgt 异常，检测 Kerberos Golden Ticket 伪造。面向 Security Audit、事件调查和威胁狩猎，提供实用的检测指引。

detecting-dll-sideloading-attacks 帮助安全审计、威胁狩猎和事件响应团队使用 Sysmon、EDR、MDE 和 Splunk 发现 DLL 侧载。这个 detecting-dll-sideloading-attacks 指南包含工作流程说明、狩猎模板、标准映射，以及把可疑 DLL 加载转化为可重复检测的脚本。

detecting-credential-dumping-techniques 技能可帮助你利用 Sysmon Event ID 10、Windows Security 日志和 SIEM 关联规则，检测 LSASS 访问、SAM 导出、NTDS.dit 窃取以及 comsvcs.dll MiniDump 滥用。它面向威胁狩猎、检测工程和 Security Audit 工作流。

deploying-active-directory-honeytokens 帮助防守者为安全审计工作规划并生成 Active Directory honeytokens，包括伪造特权账户、用于 Kerberoasting 检测的伪 SPN、诱饵 GPO 陷阱，以及欺骗性的 BloodHound 路径。它将偏安装导向的指导与脚本和遥测线索结合起来，便于实际部署与复盘。

面向 Microsoft Defender for Endpoint 加固的 configuring-windows-defender-advanced-settings 技能。涵盖 ASR 规则、受控文件夹访问、网络防护、漏洞利用防护、部署规划，以及面向安全工程师、IT 管理员和 Security Audit 工作流的先审计后上线指导。