文件名称:FalconFriday:每两周一次的狩猎查询
文件大小:70KB
文件格式:ZIP
更新时间:2024-05-02 22:29:53
splunk sentinel hunting blueteam purpleteam
猎鹰星期五 TL; DR:我们认为没有足够的内容来检测高级对手技术。 这就是为什么在“猎鹰星期五”上每两周发布一次(DATP)狩猎查询以检测攻击性技术的原因。 为了让您有个主意,我们将发布一些攻击搜寻,例如: DLL注入 Craft.io注入 COM劫持 .NET到JScript MFA请求中止 滥用LOLBins 行为不当的Office应用程序 Craft.io空洞 运行托管代码的非托管二进制文件 LDAP流量异常 使用WMI执行命令 SMB NULL会话尝试 等等 请继续关注,让我们知道您是否要检测任何特定的攻击技术。 背景 我们当前的计划是每两周发布1或2个DATP查询。 这些查询将在GitHub上发布,并附有一篇简短的博客文章,内容包括中等详细背景,查询的工作,我们期望的准确性,任何可能的变化或改进,任何捕获以及我们认为相关的其他任何内容。 最初,我们将基于@spothep
【文件预览】:
FalconFriday-master
----Initial Access()
--------T1566-WIN-001.md(3KB)
--------T1566-WIN-002.md(6KB)
----Privilege Escalation()
--------T1134.002-WIN-001.md(4KB)
--------T1055.002-WIN-002.md(3KB)
--------T1055.002-WIN-001.md(3KB)
--------T1055-WIN-001.md(4KB)
--------T1574-WIN-001.md(3KB)
----Execution()
--------T1204-WIN-001.md(8KB)
--------T1059.001-WIN-001.md(5KB)
----Persistence()
--------T1176-WIN-001.md(5KB)
--------T1053.005-WIN-001.md(3KB)
--------T1546.015-WIN-001.md(3KB)
--------T1543.003-WIN-001.md(3KB)
----LICENSE(1KB)
----Command and Control()
--------T1071.001.md(6KB)
--------T1105-WIN-001.md(4KB)
----README.md(2KB)
----Uncategorized()
--------Teams_RCE.md(3KB)
--------FireEye_red_team_tool_countermeasures.md(39KB)
----Lateral Movement()
--------T1021-WIN-001.md(9KB)
--------T1021.001-WIN-001.md(3KB)
--------T1021-WIN-002.md(7KB)
----Defense Evasion()
--------T1036.005-WIN-001.md(3KB)
--------T1036-WIN-001.md(4KB)
--------T1036.003-WIN-001.md(7KB)
--------T1218-WIN-001.md(4KB)
--------T1127-WIN-001.md(3KB)
--------T1562-WIN-001.md(3KB)
--------T1036-WIN-003.md(7KB)
--------T1036-WIN-002.md(5KB)