登录
下载

Skill UI

浏览并发现 5987+ 精选技能
全部 编程开发 人工智能 设计创意 产品商业 数据科学 市场营销 职场通用 效率工具 硬件工程 语言学习
搜索 Windows事件 ,共找到 29 条记录
默认排序 最新上传 最多下载

Windows Prefetch执行历史分析

analyzing-prefetch-files-for-execution-history
mukul975/Anthropic-Cybersecurity-Skills
467
提供Windows Prefetch文件解析流程,借助PECmd与python脚本提取运行次数、时间戳、关联文件和完整性哈希,支持重建事件时间线并确认恶意程序执行。
查看详情

Splunk 安全日志分析

analyzing-security-logs-with-splunk
mukul975/Anthropic-Cybersecurity-Skills
460
利用 Splunk Enterprise Security 与 SPL 对 Windows、防火墙、代理、DNS 及认证日志进行关联分析,重建事件时间线、检测异常并指导安全事件调查。
查看详情

USB连接历史分析

analyzing-usb-device-connection-history
mukul975/Anthropic-Cybersecurity-Skills
336
通过解析Windows注册表、事件日志和setupapi日志,追踪可移动存储连接、盘符映射及设备使用历史,辅助数据外泄与内部威胁调查。
查看详情

Windows 注册表痕迹分析

analyzing-windows-registry-for-artifacts
mukul975/Anthropic-Cybersecurity-Skills
58
从取证镜像中提取 Windows 注册表 hives,利用 RegRipper 与 python-registry 等工具定位自启动、持久化、已装软件、USB 和用户活动痕迹,辅助事件响应或内部威胁调查。
查看详情

Windows 事件日志检测配置

configuring-windows-event-logging-for-detection
mukul975/Anthropic-Cybersecurity-Skills
248
配置 Windows 高级审计策略、命令行进程日志以及事件转发,确保 SIEM 与取证分析能获得高可信度的端点安全事件。
查看详情

凭证转储行为检测

detecting-credential-dumping-techniques
mukul975/Anthropic-Cybersecurity-Skills
182
通过分析 Sysmon 事件 ID 10、Windows 安全事件和 SIEM 规则,识别使用 reg.exe、ntdsutil、comsvcs 等工具的 LSASS 凭证转储行为,并提供 MITRE T1003 分类与溯源上下文。
查看详情

检测金票攻击

detecting-golden-ticket-attacks
mukul975/Anthropic-Cybersecurity-Skills
335
分析 Windows 安全 EVTX 日志,通过关联 4768、4624、4672 事件,识别超长 TGT、无成员变更的权限提升、域 SID 异常等金票迹象,并按时间线生成检测报告。
查看详情

金票伪造检测

detecting-golden-ticket-forgery
mukul975/Anthropic-Cybersecurity-Skills
229
通过检测 Windows 事件 4768/4769 中的 RC4 降级、异常票据生命周期及 krbtgt 异常,结合 Splunk 或 Elastic SIEM,实现金票伪造识别,并输出带有 MITRE ATT&CK 映射的风险评分报告。
查看详情

LOLBAS 检测实战手册

detecting-living-off-the-land-with-lolbas
mukul975/Anthropic-Cybersecurity-Skills
164
通过采集 Sysmon/Windows 命令行事件、构建 Sigma 规则并分析父子进程链,识别 certutil、regsvr32、mshta、rundll32 等 LOLBAS 的异常执行,打分优先级并生成附带 MITRE ATT&CK 标签的检测报告。
查看详情

Sysmon 恶意计划任务检测

detecting-malicious-scheduled-tasks-with-sysmon
mukul975/Anthropic-Cybersecurity-Skills
349
通过关联 Sysmon 事件 ID 1/11 与 Windows 4698/4702,检测恶意计划任务创建和修改,聚焦可疑父进程、公共目录路径、编码命令与持久化行为,便于追踪 T1053.005 攻击线索。
查看详情

检测传票攻击

detecting-pass-the-ticket-attacks
mukul975/Anthropic-Cybersecurity-Skills
63
通过在 Splunk 或 Elastic SIEM 中分析 Windows 事件 ID 4768/4769/4771,识别异常 Kerberos 凭证复用、RC4 降级和服务票据异常请求,从而提前发现并调查 Pass-the-Ticket 攻击痕迹。
查看详情

特权升级检测流程

detecting-privilege-escalation-attempts
mukul975/Anthropic-Cybersecurity-Skills
417
通过EDR/SIEM事件、Sysmon与威胁情报,围绕令牌操纵、UAC绕过、未引用服务路径与内核漏洞,主动狩猎本地特权提升攻击并跟踪响应。
查看详情
123下一页
语言
简体中文
English