下载

Skill UI

浏览并发现 9952+ 精选技能

全部编程开发人工智能设计创意产品商业数据科学市场营销职场通用效率工具硬件工程语言学习

搜索 Windows 安全，共找到 7 条记录

默认排序最新上传最多下载

Windows预取文件取证分析

analyzing-windows-prefetch-with-python

mukul975/Anthropic-Cybersecurity-Skills

该技能使用Python解析Windows预取文件（.pf），帮助安全分析师重建详细的应用执行历史。它在事件响应中至关重要，可用于检测重命名二进制文件、识别可疑执行模式，并为深入的数字取证调查构建准确的时间线。

检测金票假造：Kerberos安全分析

detecting-golden-ticket-forgery

mukul975/Anthropic-Cybersecurity-Skills

本技能用于检测Kerberos中的“金票”攻击，这是一种高级威胁，涉及伪造域内访问票据。通过分析Windows事件ID 4769，重点查找RC4加密降级、异常票据生命周期和TGS/TGT请求的不一致性。适用于安全运营中心（SOC）分析师和威胁搜寻人员，用于利用SIEM平台加强凭证窃取检测能力。

检测本地二进制文件滥用行为

detecting-living-off-the-land-with-lolbas

mukul975/Anthropic-Cybersecurity-Skills

本技能提供了一套完整的检测生活在土地上（LOLBAS）恶意工具滥用的框架，可识别certutil、regsvr32等系统工具被恶意利用的行为。它结合了Sysmon和Windows事件日志的进程遥测数据、Sigma规则匹配以及父子进程异常分析，适用于安全运营中心（SOC）分析师和威胁猎手，以应对规避传统安全控制的复杂攻击。

通过事件日志检测RDP暴力破解攻击

detecting-rdp-brute-force-attacks

mukul975/Anthropic-Cybersecurity-Skills

本技能用于分析Windows安全事件日志（EVTX），检测远程桌面协议（RDP）的暴力破解攻击。通过解析失败登录事件（ID 4625）并关联成功登录事件（ID 4624），可识别攻击源IP、受害账户，帮助安全运营中心（SOC）进行威胁检测和事件响应。

检测WMI事件持久化痕迹

detecting-wmi-persistence

mukul975/Anthropic-Cybersecurity-Skills

本指南详细介绍了如何检测WMI事件订阅持久化机制（T1546.003）。通过分析Sysmon事件ID 19、20和21，帮助安全分析师识别恶意的事件过滤器、事件消费者和绑定，是进行事件响应和威胁狩猎的关键步骤。

Windows事件日志取证分析

extracting-windows-event-logs-artifacts

mukul975/Anthropic-Cybersecurity-Skills

这是一个用于安全事件响应和数字取证的详细工作流程。它指导用户如何从Windows EVTX事件日志中提取、解析和分析数据，利用Chainsaw和Hayabusa等高级工具，重点检测横向移动、权限提升和持久化机制等关键安全事件。

WMI横向移动威胁狩猎

hunting-for-lateral-movement-via-wmi

mukul975/Anthropic-Cybersecurity-Skills

本技能专用于检测基于WMI（Windows Management Instrumentation）的横向移动攻击。通过分析Windows事件日志（如4688）和Sysmon日志，识别由WmiPrvSE.exe进程触发的异常子进程、可疑命令列以及WMI事件订阅的持久化痕迹，帮助安全分析师进行深度威胁狩猎和安全事件调查。

1

语言