登录
下载

Skill UI

浏览并发现 6006+ 精选技能
全部 编程开发 人工智能 设计创意 产品商业 数据科学 市场营销 职场通用 效率工具 硬件工程 语言学习
搜索 Windows事件 ,共找到 29 条记录
默认排序 最新上传 最多下载

EDR 凭证转储检测

detecting-t1003-credential-dumping-with-edr
mukul975/Anthropic-Cybersecurity-Skills
437
通过关联 EDR 遥测、Sysmon 访问事件和 Windows 安全日志,识别对 LSASS、SAM、NTDS 及缓存凭证的可疑访问行为,快速定位 T1003 凭证转储并辅助安全运营进行响应与横向移动追踪。
查看详情

内存转储凭证提取

extracting-credentials-from-memory-dump
mukul975/Anthropic-Cybersecurity-Skills
382
通过 Volatility、Mimikatz 及 pypykatz 等工具从内存转储中提取缓存凭证、密码哈希、Kerberos 凭据,用于事件响应、横向移动调查和安全取证。
查看详情

Windows 事件日志取证指南

extracting-windows-event-logs-artifacts
mukul975/Anthropic-Cybersecurity-Skills
447
利用 Chainsaw、Hayabusa 与 EvtxECmd 分析 EVTX 日志,以识别横向移动、持久化及提权行为,辅助安全事件响应与取证流程。
查看详情

检测 DCSync 攻击

hunting-for-dcsync-attacks
mukul975/Anthropic-Cybersecurity-Skills
374
通过分析 Windows 事件 ID 4662,定位非域控制器发起的 DS-Replication-Get-Changes 请求,结合合法 DC 和工具确认后执行禁用账户、重置 krbtgt 等响应,快速捕捉 DCSync 威胁。
查看详情

WMI横向移动狩猎

hunting-for-lateral-movement-via-wmi
mukul975/Anthropic-Cybersecurity-Skills
324
通过关联 Windows 4688 进程创建和 Sysmon 1 事件,识别 WmiPrvSE.exe 衍生进程、可疑命令行及 WMI 事件订阅持久化,实现 WMI 横向移动的告警与时间线分析。
查看详情

NTLM中继攻击狩猎

hunting-for-ntlm-relay-attacks
mukul975/Anthropic-Cybersecurity-Skills
207
通过4624事件分析NTLMSSP登录、IP主机名不一致、Responder痕迹、SMB签名状态和快速认证模式,识别NTLM中继攻击迹象。
查看详情

WMI 事件订阅持久性狩猎

hunting-for-persistence-via-wmi-subscriptions
mukul975/Anthropic-Cybersecurity-Skills
442
指导通过监控 Sysmon 与 Windows WMI 事件订阅创建、枚举 ActiveScript/CommandLine 消费者与过滤器、分析触发器并关联 WmiPrvSe.exe 异常子进程及 MOF 编译,快速发现文件无痕持久化威胁。
查看详情

计划任务持久化狩猎

hunting-for-scheduled-task-persistence
mukul975/Anthropic-Cybersecurity-Skills
145
通过分析 Windows 计划任务的创建事件、可疑操作以及异常调度模式,结合 EDR 与 SIEM 数据,识别对手的持久化行为并支撑响应与威胁狩猎。
查看详情

可疑计划任务追踪

hunting-for-suspicious-scheduled-tasks
mukul975/Anthropic-Cybersecurity-Skills
463
通过分析 Windows 计划任务的创建事件、可疑属性和执行异常,辨别 T1053.005 相关的持久化行为,为威胁狩猎与事件响应提供线索。
查看详情

异常服务安装追踪

hunting-for-unusual-service-installations
mukul975/Anthropic-Cybersecurity-Skills
489
解析 Windows 系统事件日志中的 7045 服务安装记录,识别临时目录、PowerShell 等可疑路径,结合已知模式生成 MITRE ATT&CK T1543.003 追踪报告,助力安全事件调查与响应。
查看详情

LOLBAS 检测规则

hunting-living-off-the-land-binaries
mukul975/Anthropic-Cybersecurity-Skills
103
通过分析 Windows 进程创建日志(事件 4688/Sysmon 1)并对照 LOLBAS 数据库命令,在 SIEM 或威胁狩猎中识别 certutil、wmic 等零文件攻击工具的滥用行为。
查看详情

SIEM关联规则构建

implementing-siem-correlation-rules-for-apt
mukul975/Anthropic-Cybersecurity-Skills
223
通过Sigma和Splunk,将多事件Windows认证、进程、网络日志关联成APT横向移动检测规则,转换为SPL并通过Splunk ES API部署与审核。
查看详情
上一页123下一页
语言
简体中文
English