登录
下载

Skill UI

浏览并发现 9916+ 精选技能
全部 编程开发 人工智能 设计创意 产品商业 数据科学 市场营销 职场通用 效率工具 硬件工程 语言学习
搜索 威胁分析 ,共找到 173 条记录
默认排序 最新上传 最多下载

发现数据外泄前的暂存活动

hunting-for-data-staging-before-exfiltration
mukul975/Anthropic-Cybersecurity-Skills
425
本技能指导安全分析师发现数据暂存行为,这是数据外泄的关键前兆。它通过监控压缩工具(如7-Zip、RAR)的使用、异常的文件合并模式以及写入临时或隐藏目录的活动,利用EDR和进程遥测数据进行检测。适用于主动威胁狩猎和增强T1074检测覆盖率。
查看详情

检测DCSync攻击事件日志

hunting-for-dcsync-attacks
mukul975/Anthropic-Cybersecurity-Skills
338
本指南提供检测DCSync攻击的方法,通过分析Windows事件ID 4662,识别来自非域控制器账户的未经授权的域复制请求。适用于安全事件响应和威胁狩猎,旨在防止凭证被盗。
查看详情

MFT分析:检测文件时间戳篡改

hunting-for-defense-evasion-via-timestomping
mukul975/Anthropic-Cybersecurity-Skills
70
本技能用于通过分析NTFS主文件表(MFT)条目来检测反取证时间戳篡改(Timestomping)。其核心原理是比较$STANDARD_INFORMATION和$FILE_NAME两个属性的时间戳差异。当两个时间戳出现不一致时,强烈暗示文件已被恶意篡改,是进行高级威胁狩猎和数字取证分析的关键技术。
查看详情

搜索DNS持久化机制

hunting-for-dns-based-persistence
mukul975/Anthropic-Cybersecurity-Skills
103
本技能指导安全分析师进行高级威胁搜寻,重点检测基于DNS的持久化机制。它通过分析被动DNS历史、区域文件审计和API数据(如SecurityTrails),识别未经授权的记录修改、子域劫持和DNS劫持企图。适用于SOC分析师和威胁搜寻人员。
查看详情

检测域前置C2流量

hunting-for-domain-fronting-c2-traffic
mukul975/Anthropic-Cybersecurity-Skills
459
本技能用于检测域前置(Domain Fronting)攻击,这是一种攻击者用于伪装C2流量的高级技术。它通过分析代理/网关日志中TLS SNI字段和HTTP Host头部的差异,并结合pyOpenSSL进行深度证书检查,帮助安全团队发现复杂的网络威胁。
查看详情

WMI横向移动威胁狩猎

hunting-for-lateral-movement-via-wmi
mukul975/Anthropic-Cybersecurity-Skills
476
本技能专用于检测基于WMI(Windows Management Instrumentation)的横向移动攻击。通过分析Windows事件日志(如4688)和Sysmon日志,识别由WmiPrvSE.exe进程触发的异常子进程、可疑命令列以及WMI事件订阅的持久化痕迹,帮助安全分析师进行深度威胁狩猎和安全事件调查。
查看详情

搜索系统内置恶意利用(LOLBins)

hunting-for-living-off-the-land-binaries
mukul975/Anthropic-Cybersecurity-Skills
360
提供一套系统化的进阶威胁狩猎流程,用于主动发现攻击者滥用操作系统内置工具(LOLBins)的行为。该方法适用于调查文件型恶意软件、规避传统安全检测,并结合EDR/SIEM日志分析,以识别隐蔽的攻击链和异常行为。
查看详情

端点日志LOLBins滥用行为检测

hunting-for-lolbins-execution-in-endpoint-logs
mukul975/Anthropic-Cybersecurity-Skills
128
这是一项威胁狩猎技能,用于检测攻击者利用“生活在土地上”的二进制程序(LOLBins)。通过分析详细的端点进程创建日志,可以识别出使用合法Windows系统二进制文件(如certutil, mshta等)进行文件less攻击或防御规避的异常执行模式,对提升对抗高级威胁(APT)的检测能力至关重要。
查看详情

NTLM重放攻击狩猎检测

hunting-for-ntlm-relay-attacks
mukul975/Anthropic-Cybersecurity-Skills
389
该技能提供高级威胁狩猎能力,用于检测活动目录中的NTLM重放攻击。它通过分析Windows安全事件4624日志,重点关注使用NTLMSSP认证的类型3登录事件。检测逻辑能识别IP到主机名不匹配、快速多主机认证以及缺失SMB签名等可疑模式,帮助安全分析师定位未授权的凭证访问尝试。
查看详情

检测WMI事件订阅持久化

hunting-for-persistence-via-wmi-subscriptions
mukul975/Anthropic-Cybersecurity-Skills
115
这是一个关于威胁狩猎的指南,用于检测利用Windows管理工具(WMI)事件订阅建立的持久化后门。它通过监控WMI事件的创建和触发,帮助安全分析师发现传统方法难以发现的、高级的无文件恶意行为,适用于事件响应和威胁调查。
查看详情

进程注入技术检测与溯源

hunting-for-process-injection-techniques
mukul975/Anthropic-Cybersecurity-Skills
121
本技能提供了一个结构化的安全检测流程,用于检测进程注入技术(MITRE ATT&CK T1055)。它通过分析详细日志,特别是利用Sysmon事件ID 8(CreateRemoteThread)和事件ID 10(ProcessAccess),结合源-目标进程关系图谱,以识别恶意越权的行为,帮助安全分析师进行安全事件调查和威胁狩猎。
查看详情

查找Windows注册表持久化机制

hunting-for-registry-persistence-mechanisms
mukul975/Anthropic-Cybersecurity-Skills
460
这是一套针对Windows系统深层持久化机制的威胁狩猎方法论。文章详细介绍了如何主动查找系统中的恶意驻留点,包括但不限于Run键监控、Winlogon修改分析、IFEO注入和COM劫持。它适用于事件响应、红蓝对抗和安全基线评估,用于防御高级持续性威胁(APT)。
查看详情
上一页123...789101112131415下一页
语言
简体中文
English