cybersecurity-skills-zh

GoPhish 是一个开源钓鱼模拟框架，供安全团队开展授权的钓鱼意识培训活动，提供活动管理、邮件模板创建、着陆页克隆和综合报告功能。

本技能涵盖使用 Snyk 实施软件成分分析（SCA, Software Composition Analysis），在 CI/CD 流水线中检测存在漏洞的开源依赖项。内容包括扫描包清单和锁文件、自动修复拉取请求生成、许可证合规检查、已部署应用程序的持续监控，以及与 GitHub、GitLab 和 Jenkins 流水线的集成。

对 SCADA 人机界面（HMI, Human-Machine Interface）系统进行安全评估，识别基于 Web 的 HMI、瘦客户端配置、认证机制以及 HMI 与 PLC 之间通信信道中的漏洞，符合 IEC 62443 和 NIST SP 800-82 指南要求。

检测并利用二阶 SQL 注入漏洞，其中恶意输入存储在数据库中，并在不同应用程序操作期间在不安全的 SQL 查询中执行。

审计 HTTP 安全头，包括 CSP、HSTS、X-Frame-Options 和 Cookie 属性，以识别缺失或配置错误的浏览器级防护。

对 AWS Lambda、Azure Functions 和 GCP Cloud Functions 中的无服务器函数（Serverless Function）执行安全审查，识别过度宽松的执行角色（Execution Role）、不安全的环境变量、注入漏洞和缺失的运行时保护措施。

使用 AFL++（American Fuzzy Lop Plus Plus）对编译后的二进制文件执行覆盖率引导模糊测试（Coverage-Guided Fuzzing）， 以发现内存损坏、崩溃和安全漏洞。测试人员使用 afl-cc/afl-clang-fast 对目标二进制文件进行插桩， 使用 afl-cmin 和 afl-tmin 管理输入语料库，运行并行模糊测试活动，并使用 CASR 或 GDB 脚本对崩溃进行分类。 适用于涉及二进制模糊测试、崩溃发现、覆盖率引导测试或 AFL++ 模糊测试活动的请求。

使用 GCPBucketBrute 执行 GCP 安全测试，进行存储桶（Storage Bucket）枚举、gcloud IAM 权限提升路径分析和服务账号权限审计。

使用 Forseti Security、Security Command Center（安全指挥中心）和 gcloud CLI 对 Google Cloud Platform 环境进行全面安全评估，审计 IAM 策略、防火墙规则、存储权限，并对照 CIS GCP Foundations Benchmark 进行合规检查。

使用深度嵌套递归查询执行和测试 GraphQL 深度限制攻击，以识别 GraphQL API 中的拒绝服务（DoS）漏洞。

执行 GraphQL 自省（Introspection）攻击，从 GraphQL 端点提取完整的 API Schema， 包括类型、查询（Query）、变更（Mutation）、订阅（Subscription）和字段定义。 测试人员使用自省查询绘制攻击面，识别敏感字段和变更操作，测试查询深度和复杂度限制， 并利用 GraphQL 特有漏洞，包括批量攻击、基于别名的暴力破解和嵌套查询 DoS。 适用于涉及 GraphQL 安全测试、自省攻击、GraphQL 枚举或 GraphQL API 渗透测试的请求。

在授权安全测试期间，评估 GraphQL API 端点的内省泄漏、注入攻击、授权缺陷和拒绝服务漏洞。

使用 PKCS#11 接口集成硬件安全模块（HSM），通过 python-pkcs11、AWS CloudHSM 和 YubiHSM2 实现密码学密钥管理、签名操作和安全密钥存储。

哈希破解（Hash Cracking）是渗透测试人员和安全审计员评估密码强度的重要技能。Hashcat 是全球最快的密码恢复工具，支持 GPU 加速下的超过 300 种哈希类型。本技能涵盖在授权许可下使用 Hashcat 进行密码审计、理解攻击模式、创建有效规则集以及生成哈希分析报告。

执行 HTTP 参数污染（HPP）攻击，通过注入由前端和后端系统以不同方式处理的重复参数，绕过输入验证、WAF 规则和安全控制。

使用Claroty xDome平台执行全面的ICS/OT资产发现，利用被动监控、Claroty Edge主动查询和集成生态系统，在Purdue模型各级别获得对工业控制系统资产（包括PLC、RTU、HMI和网络基础设施）的完整可见性。

通过操纵 JSON Web Token 中的 alg 头部字段，执行并测试 JWT None 算法攻击，以绕过签名验证。

Kerberoasting 是一种后渗透技术，通过为设置了服务主体名称（SPN）的账户请求 Kerberos TGS 票据来针对活动目录中的服务账户。这些票据用服务账户的 NTLM 哈希加密，允许在不产生登录失败事件的情况下进行离线暴力破解。

使用 kube-bench 对照 CIS Benchmark 审计 Kubernetes 集群安全态势，对控制平面、工作节点和 RBAC 执行自动化检查。

通过评估静态加密、TLS 配置、访问控制、备份加密和网络隔离，评估 Kubernetes etcd 集群的安全态势。

使用 VirusTotal API 富化恶意软件文件哈希，获取检测率、行为分析、YARA 匹配和上下文威胁情报，用于事件分类和 IOC 验证。

开源情报（OSINT）收集是红队演练的第一个主动阶段，操作员收集关于目标组织的公开可用信息，以识别攻击面、社会工程学目标、技术栈和凭据泄露情况。

使用 SpiderFoot REST API 和 CLI 自动化 OSINT 收集，用于目标画像、基于模块的侦察，以及跨 200+ 数据源的结构化结果分析

本技能涵盖对运营技术（OT）网络（包括SCADA系统、DCS架构和工业控制系统通信路径）进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则，以及映射工业协议流量（Modbus、DNP3、OPC UA、EtherNet/IP），以检测关键基础设施中的错误配置、未授权连接和攻击面。

本技能涵盖使用Claroty xDome平台在OT环境中执行漏洞评估，实现全面资产发现、风险评分、漏洞关联和修复优先级排序。内容涉及通过流量分析进行被动漏洞识别、OT设备安全主动查询、与CVE数据库和ICS-CERT公告集成，以及考虑运营影响和补偿控制措施的基于风险的优先级排序。

使用被动监控、原生协议查询和经过精心控制的Tenable OT Security主动扫描，在OT/ICS环境中安全执行漏洞扫描，在不破坏工业过程或导致旧版控制器崩溃的情况下识别漏洞。

在授权安全评估中使用 Scapy、hping3 和 Nemesis 构造并注入自定义网络数据包， 测试防火墙规则、IDS 检测、协议处理能力以及网络协议栈对畸形和伪造流量的抵御能力。

使用自动化抓取和关键词匹配技术，监控 Pastebin 和 GitHub Gists 等粘贴站点上的泄露凭证、API 密钥和敏感数据转储，实现早期泄露检测

通过监控 WMI 消费者、过滤器和绑定创建事件，狩猎攻击者利用 Windows Management Instrumentation 事件订阅实现的持久化，这些订阅在系统事件触发时执行恶意代码。

通过 Sysmon 事件 ID 8 和 10 以及 EDR 进程遥测，检测进程注入技术（T1055），包括 CreateRemoteThread、进程空洞化和 DLL 注入。

狩猎 Windows 环境中基于注册表的持久化机制，包括 Run 键、Winlogon 修改、IFEO 注入和 COM 劫持。

审计企业基础设施中的服务账户，识别孤立账户、过度特权账户和不合规账户。本技能涵盖在 Active Directory、云平台中发现服务账户，评估权限级别，识别缺失负责人，以及执行生命周期策略。

通过分析 Sysmon 事件 ID 13 日志和注册表查询，检测 MITRE ATT&CK T1547.001 注册表 Run 键持久化，识别恶意自动启动条目。

通过分析任务创建事件、可疑任务操作和异常调度模式，狩猎攻击者通过 Windows 计划任务实现的持久化。

通过监控 vssadmin、wmic 和 PowerShell 卷影副本命令，狩猎表明勒索软件准备或反取证活动的卷影副本删除行为。

跨电子邮件日志、终端遥测和网络数据狩猎鱼叉式网络钓鱼活动指标，检测定向邮件攻击。

通过监控 Windows 启动目录中的可疑文件创建、分析 autoruns 条目以及使用 Python watchdog 进行实时文件系统监控，检测 T1547.001 启动文件夹持久化。

狩猎供应链入侵指标，包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。

通过分析任务创建事件、可疑任务属性和异常执行模式，狩猎攻击者利用 Windows 计划任务实现持久化和执行的行为（T1053.005）。

通过 Windows 安全事件日志，狩猎 MITRE ATT&CK T1098 账户操纵行为，包括影子管理员创建、SID 历史注入、组成员变更和凭据修改。

通过分析出站流量模式、稀有目标地址、非标准端口和终端异常连接频率，狩猎异常网络连接。

通过解析系统事件日志中的事件 ID 7045、分析服务二进制路径并识别持久化机制指标，检测可疑 Windows 服务安装（MITRE ATT&CK T1543.003）。

通过比较 MFT 中的 $STANDARD_INFORMATION 与 $FILE_NAME 时间戳， 检测 NTFS 时间戳篡改（MITRE T1070.006）。使用 analyzeMFT 和 Python 识别具有异常时序模式的文件， 表明存在反取证时间戳篡改活动。

通过分析 Web 目录中的文件创建行为、Web 服务器异常进程派生以及异常 HTTP 模式，狩猎面向互联网服务器上的 Webshell 部署。

使用被动 DNS 数据库、SecurityTrails API 和 DNS 审计日志分析，狩猎 DNS 劫持、悬空 CNAME 记录、通配符 DNS 滥用和未授权区域修改等 DNS 持久化机制。

通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式（eval、base64_decode、system、passthru）、 Web 根目录中近期修改的文件以及异常文件大小，检测植入 Web 服务器的 Webshell（网页后门）。 使用香农熵（Shannon entropy）计算标记混淆载荷，并通过正则表达式模式匹配已知 Webshell 特征。

检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击（Living Off The Land Binaries，LOLBAS）的滥用， 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。

通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型，检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于：当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具（iodine、dnscat2、DNSExfiltrator）的威胁情报时使用。

通过分析代理日志中的 SNI 与 HTTP Host 头不匹配以及使用 pyOpenSSL 进行证书检查，检测域前置（domain fronting）C2 流量和 TLS 证书差异。

通过分析 Windows 事件 ID 4688 进程创建和 Sysmon 事件 ID 1 中的 WmiPrvSE.exe 子进程模式、远程进程执行以及 WMI 事件订阅持久化，检测基于 WMI 的横向移动。

狩猎攻击者滥用合法云服务（Azure、AWS、GCP 和 SaaS 平台）进行 C2、数据暂存和数据外泄的行为。

主动狩猎攻击者滥用合法系统二进制文件（LOLBin）执行恶意载荷并规避检测的行为。

通过分析终端进程创建日志，识别合法 Windows 系统二进制文件（LOLBin）被用于恶意目的的可疑执行模式，狩猎攻击者的 LOLBin 滥用行为。

通过分析 Windows 事件 4624 中的 NTLMSSP 认证、IP 与主机名不匹配、Responder 流量签名、SMB 签名状态及跨域可疑认证模式，检测 NTLM 中继攻击。

系统性地狩猎 Windows 终端中的攻击者持久化机制，涵盖注册表、服务、启动文件夹和 WMI 事件订阅。

使用 Microsoft Graph API 配置 Azure AD 特权身份管理（PIM），管理符合条件的角色分配、即时激活、访问审查，以及用于零信任特权访问的角色管理策略。

Tenable Nessus 是业界领先的漏洞扫描器，用于识别网络基础设施（包括服务器、工作站、网络设备和操作系统）中的安全弱点。

通过分析登录日志中的不可能旅行、新设备模式、来自异常 IP 的令牌重放， 以及通过 Microsoft Graph 和 Okta API 检测异常范围请求，识别 OAuth 访问令牌盗窃和滥用行为。

通过分析 NTLM 认证模式、识别预期使用 Kerberos 时出现的 NTLM 类型 3 登录，并与凭据转储关联，检测哈希传递（Pass-the-Hash）攻击。

通过在 Splunk 和 Elastic SIEM 中分析 Windows 事件 ID 4768、4769 和 4771 的异常票据使用模式，检测 Kerberos 票据传递（PtT）攻击

使用自定义过滤器和动作配置 Fail2ban，检测端口扫描活动、SSH 暴力破解尝试和网络侦察，自动封禁攻击 IP 并向安全团队告警可疑的网络探测行为。

检测权限提升尝试，包括令牌操控、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 Windows 和 Linux 上的 sudo/doas 滥用。

本技能涵盖加固 GitHub Actions 工作流以防范供应链攻击、凭据盗窃和权限提升。 内容包括将 action 固定到 SHA 摘要、最小化 GITHUB_TOKEN 权限、防止机密泄露、 防止工作流表达式中的脚本注入，以及为工作流变更实施必要的审阅者机制。

通过使用 Falco 和 OPA 策略监控安全上下文、能力和系统调用模式，检测并防止 Kubernetes Pod 中的权限提升。

通过分析内存映射节区、进程镂空指标以及 EDR 遥测中的父子进程异常，检测进程镂空技术（T1055.012）。

检测和分析恶意软件使用的进程注入技术，包括经典 DLL 注入、进程空洞化、APC 注入、线程劫持 和反射式加载。使用内存取证、API 监控和行为分析来识别注入痕迹。适用于进程注入检测、 代码注入分析、空洞化进程调查或内存威胁检测等请求场景。

通过流量分析、代码扫描和API发现平台，发现和清点在已记录规范之外运行的影子API（Shadow API）端点。

通过使用 Python pandas 分析代理日志、DNS 查询日志和网络流数据，进行流量模式分析和域名分类，检测未授权的 SaaS 和云服务使用（影子 IT）。

通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式，检测进程注入技术（T1055），包括经典 DLL 注入、进程镂空和 APC 注入。

通过监控注册表修改、进程提升标志和异常的父子进程关系，检测提升控制机制滥用，包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。

通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建，检测 WMI 事件订阅持久化。

系统性地清除受感染系统中的恶意软件、后门和攻击者持久化机制，确保彻底根除并防止再次感染。

根据组织需求（包括推送集成能力、STIX/TAXII 支持、工作流自动化、分析师界面和总体拥有成本）评估和选择威胁情报平台（TIP）产品。适用于开展 TIP 采购、在 TIP 解决方案之间迁移，或评估当前 TIP 是否满足项目成熟度要求时。适用于涉及 ThreatConnect、MISP、OpenCTI、Anomali、EclecticIQ 或 TIP 采购决策的请求。

对 Active Directory 环境执行授权攻击模拟，识别错误配置、弱凭据、危险特权路径以及可导致域沦陷的可利用信任关系。测试人员使用 BloodHound 进行攻击路径分析，使用 Mimikatz 进行凭据提取，使用 Impacket 进行协议级攻击，包括 Kerberoasting、AS-REP Roasting 和委派滥用。适用于 Active Directory 渗透测试、AD 攻击模拟、域沦陷测试或 Kerberos 攻击评估等请求场景。

将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点（对手、能力、基础设施、受害者），并识别它们之间的关系，以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者，或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。

执行授权的钓鱼模拟活动，评估组织对基于电子邮件的社会工程攻击的脆弱性。测试人员设计真实的钓鱼场景，构建凭据收集基础设施，发送定向钓鱼邮件，并追踪打开率、点击率和凭据提交率，以衡量人员安全意识水平。适用于钓鱼模拟、社会工程评估、电子邮件安全测试或安全意识测量等请求场景。

红队演练规划是在任何攻击测试开始之前，确定范围、目标、交战规则（ROE）、威胁模型选择和操作时间表的基础阶段。

执行全面的红队演练（Red Teaming），模拟真实世界对手针对组织的人员、流程和技术的攻击行动。红队以隐蔽性为主要目标，采用从初始侦察到目标完成的完整攻击生命周期，同时测试组织的检测和响应能力。与渗透测试不同，此技能聚焦于对手模拟而非漏洞识别。适用于红队演练、对手模拟、对手仿真或全范围攻击性安全评估等请求场景。

通过验证 Chart 完整性、扫描模板中的错误配置并在 Kubernetes 发布中强制执行安全上下文，保护 Helm Chart 部署安全。

本技能涵盖在OT环境中加固和保护过程历史数据服务器（OSIsoft PI、Honeywell PHD、GE Proficy、AVEVA Historian）。涉及跨Purdue模型各层级的网络部署、历史数据服务器接口的访问控制、通过数据二极管或PI-to-PI连接器在DMZ中进行数据复制、历史数据查询中的SQL注入防护，以及用于安全分析、法规报告和过程优化的过程数据完整性保护。

本技能涵盖通过实施 Pod 安全标准（Pod Security Standards）、网络策略、工作负载身份、RBAC 权限控制、镜像准入控制和运行时安全监控，对 EKS、AKS 和 GKE 上的托管 Kubernetes 集群进行加固。涉及云平台特定安全功能，包括 EKS 的 IRSA、GKE 的工作负载身份（Workload Identity）以及 AKS 的托管身份（Managed Identity）。

本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问，同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制，以及符合IEC 62443和NERC CIP-005远程访问要求。

本技能涵盖 AWS Lambda、Azure Functions 和 Google Cloud Functions 等无服务器计算平台的安全加固，涉及最小权限 IAM 角色、依赖漏洞扫描、密钥管理集成、输入验证、函数 URL 认证以及运行时监控，以防范注入攻击、凭证窃取和供应链攻击。

测试 Android 进程间通信（IPC）中 Intent 的安全漏洞，包括 Intent 注入、未授权组件访问、 广播嗅探、PendingIntent 劫持和 ContentProvider 数据泄露。适用于评估 Android 应用导出组件 攻击面、测试 Intent 数据流或评估 IPC 安全性的场景。适合涉及 Android Intent 安全、IPC 测试、 导出组件分析或 Drozer 评估的相关请求。

在网络安全设备上配置 SSL/TLS 检查，对 HTTPS 流量进行解密、检查和重加密以用于威胁检测，同时管理证书、豁免项和隐私合规要求。

使用 sslyze Python 库评估 SSL/TLS 服务器配置，评估加密套件、证书链、协议版本、HSTS 头部，以及 Heartbleed 和 ROBOT 等已知漏洞。

通过探测云元数据端点、内网服务和协议处理器，检测用户可控 URL 参数中的 服务端请求伪造（SSRF）漏洞。测试 AWS/GCP/Azure 元数据 API（169.254.169.254）、 通过 HTTP 进行内网端口扫描、URL 协议绕过技术以及 DNS 重绑定检测。

使用 PEStudio 对 Windows PE（可移植可执行文件）恶意软件样本进行静态分析， 检查文件头、导入表、字符串、资源和指标，无需执行二进制文件。 识别可疑特征，包括加壳、反分析技术和恶意导入。适用于静态恶意软件分析、 PE 文件检查、Windows 可执行文件分析或执行前恶意软件分级等请求场景。

使用隐写分析（Steganalysis）工具检测和提取嵌入在图像、音频及其他媒体文件中的隐藏数据，揭露隐蔽通信渠道。

通过配置 Kubernetes NetworkPolicy 资源实施 Pod 级别的网络分段，强制执行最小权限通信并限制集群内的横向移动（Lateral Movement）。

本技能涵盖使用VLAN、工业防火墙、数据二极管和软件定义网络在运营技术（OT）环境中实施网络分段。内容包括基于Purdue模型的分段策略、在不中断运营的情况下从扁平网络迁移到分段架构、为工业协议深度包检测配置OT感知防火墙，以及通过流量分析验证分段有效性。

测试API认证机制中的弱点，包括令牌验证失效、端点未强制认证、密码策略薄弱、凭据填充风险、 URL或日志中的令牌泄露，以及会话管理缺陷。评估JWT实现、API密钥处理、OAuth流程和会话令牌熵， 以识别认证绕过漏洞。对应OWASP API2:2023 认证失效（Broken Authentication）。

使用 ProjectDiscovery 的 Subfinder 被动侦察工具枚举目标域名的子域名，在安全评估期间绘制攻击面图谱。

模拟和检测软件供应链攻击，包括通过 Levenshtein 距离检测域名抢注（Typosquatting）、针对私有注册表的依赖混淆（Dependency Confusion）测试、使用 pip 进行包哈希验证，以及使用 pip-audit 扫描已知漏洞。

测试REST和GraphQL API中的越权对象访问（BOLA/IDOR）漏洞，即已认证用户通过操纵API请求中的对象标识符 来访问或修改属于其他用户的资源。测试人员拦截API调用，识别对象ID参数（数字ID、UUID、slug）， 并系统性地替换为其他用户的ID，以确定服务器是否执行了对象级授权。 对应OWASP API安全Top 10 2023 API1（越权对象访问）。

使用 dissect.cobaltstrike 和 pyMalleableC2 解析分析 Cobalt Strike Malleable C2 配置文件，提取 C2 指标、检测规避技术并生成网络检测签名。

分析恶意软件命令与控制（C2）通信协议，以了解 beacon 模式、命令结构、数据编码和基础设施。 涵盖 HTTP、HTTPS、DNS 和自定义协议 C2 分析，用于检测规则开发和威胁情报。 适用于 C2 分析、beacon 检测、C2 协议逆向工程或命令与控制基础设施绘图相关请求。

根据 Lockheed Martin Cyber Kill Chain 框架分析入侵活动，识别对手已完成的阶段、防御成功或失败的位置，以及哪些控制措施本可在更早阶段中断攻击。适用于事后分析、构建以预防为中心的安全控制，或将检测差距映射到杀伤链阶段时使用。

使用 Autopsy 对磁盘镜像进行全面取证分析，恢复文件、检查痕迹并构建调查时间线。

分析 DNS 查询日志，利用熵值分析、查询量异常检测和子域名长度检测，在 SIEM 平台中检测 DNS 隧道数据外泄、DGA 域名通信和隐蔽 C2 信道。适用于 SOC 团队识别绕过传统网络安全控制的 DNS 威胁。

通过分析镜像、层、卷、日志和运行时痕迹，调查受损的 Docker 容器，识别恶意活动和证据。

解析和分析电子邮件头部以追踪钓鱼邮件的来源，通过 SPF、DKIM 和 DMARC 验证来核实发件人真实性并识别伪造行为。

使用 Slither 和 Mythril 对 Solidity 智能合约进行静态分析和符号执行，在部署到以太坊主网之前检测重入攻击、整数溢出、访问控制缺陷和其他漏洞类型。

使用防火墙安全区域、VLAN、ACL 和微分段（Microsegmentation）策略设计并实施网络分段，以限制横向移动（Lateral Movement）并强制执行最小权限网络访问。

部署并查询 Arkime（前身为 Moloch）进行全包捕获（Full Packet Capture）网络流量分析。使用 Arkime API v3 搜索会话、下载 PCAP 文件、分析连接模式、检测信标行为（Beaconing），并识别可疑网络流量。监控捕获流量中的 DNS 查询、HTTP 流量和 TLS 证书异常。

使用 Python pandas 从 NetFlow/IPFIX 数据构建网络流量基线，实现统计分析、Z-Score 异常检测以及按小时/按天的流量模式分析。

使用 Microsoft Entra ID 实施无密码认证，支持 FIDO2 安全密钥、 Windows Hello for Business、Microsoft Authenticator 通行密钥和基于证书的 认证，以消除基于密码的攻击。 适用于无密码部署、FIDO2 通行密钥配置、 抗钓鱼 MFA 或 Microsoft Entra 认证方法策略相关请求。

AES（高级加密标准）是由 NIST（FIPS 197）标准化的对称分组密码，用于保护机密和敏感数据。本技能涵盖在 GCM 模式下实现 AES-256 加密，用于加密静态文件和数据存储，包括正确的密钥派生、IV/nonce 管理和认证加密。

通过调优检测规则、合并重复告警、实施基于风险的告警（Risk-Based Alerting）和衡量告警质量指标， 降低 SOC 告警疲劳，维持分析师效能并防止关键告警被忽视。 适用于 SOC 团队面临告警量过大、误报率过高或分析师绩效下降时。

使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程，包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。

使用 Volatility3 插件在内存转储中检测和分析堆喷射攻击，识别 NOP sled 模式、shellcode 落地区域以及进程虚拟地址空间中的可疑大型分配。

分析失陷指标（IOC），包括 IP 地址、域名、文件哈希、URL 和电子邮件工件，以确定恶意置信度、攻击活动溯源归因和封锁优先级。适用于对来自钓鱼邮件、安全告警或外部威胁情报的 IOC 进行分诊；使用多源情报对原始 IOC 进行富化；或作出封锁/监控/白名单决策时使用。

使用基于 Frida 的工具包 Objection 对 iOS 应用程序进行运行时移动安全探测， 无需越狱即可与应用内部交互。适用于评估 iOS 应用安全态势、绕过客户端防护措施、 转储 Keychain 条目、检查文件系统存储以及评估运行时行为。当请求涉及 iOS 安全测试、 Objection 运行时分析、基于 Frida 的 iOS 评估或移动运行时探测时激活。

分析 Microsoft Outlook PST 和 OST 文件，提取电子邮件取证证据，包括邮件内容、邮件头、附件、已删除邮件及元数据，使用 libpff、pst-utils 和取证电子邮件分析工具，适用于法律调查和事件响应。

识别并解包 UPX 加壳及其他加壳恶意软件样本，以暴露原始可执行代码供静态分析使用。 涵盖标准 UPX 解包及处理阻止自动解压缩的修改版 UPX 头部。 适用于恶意软件解包、UPX 解压缩、去除加壳保护或为分析准备加壳样本等请求。

使用 PDFiD、pdf-parser 和 peepdf 分析恶意 PDF 文件，在不打开文档的情况下 识别嵌入的 JavaScript、shellcode、漏洞利用代码和可疑对象。 确定攻击向量并提取嵌入的载荷以进行进一步分析。 适用于 PDF 恶意软件分析、恶意文档分析、PDF 漏洞利用调查或可疑附件分类等请求。

检测和分析 Linux 持久化机制，包括 crontab 条目、systemd 服务单元、LD_PRELOAD 劫持、bashrc 修改和 authorized_keys 后门，使用 auditd 和文件完整性监控

本技能涵盖在 Kubernetes 和 CI/CD 管道中实施 Open Policy Agent（OPA）和 Gatekeeper 进行策略即代码执行。 内容包括编写 Rego 策略、将 OPA Gatekeeper 部署为 Kubernetes 准入控制器、在开发中测试策略， 以及将策略评估集成到部署管道中。

电子邮件头包含关键元数据，能够揭示邮件的真实来源、路由路径和身份验证状态。分析这些头字段是识别钓鱼（phishing）尝试、验证发件人真实性和收集威胁情报的基础技能。

通过识别 Base64 编码的启动器模式、默认 User-Agent、暂存 URL 结构、stager IOC 以及脚本块日志事件中已知的 Empire 模块签名，检测 Windows 事件日志中的 PowerShell Empire 框架工件。

从 EVTX 文件中解析 Windows PowerShell 脚本块日志（事件 ID 4104），以检测混淆命令、编码载荷和离地攻击技术（living-off-the-land）。使用 python-evtx 提取并重建多块脚本，通过熵分析和模式匹配检测 Base64 编码命令、Invoke-Expression 滥用、下载植入器（download cradles）和 AMSI 绕过尝试。

解析 Windows Prefetch 文件，确定程序执行历史，包括运行次数、时间戳和引用文件，用于取证调查。

分析勒索软件家族使用的加密算法、密钥管理和文件加密例程， 评估解密可行性、识别实现上的弱点并支持恢复工作。 涵盖 AES、RSA、ChaCha20 及混合加密方案。 适用于勒索软件密码分析、加密分析、密钥恢复评估或勒索软件解密可行性等请求。

通过分析威胁行为者定向攻击模式、常见攻击向量和行业特定漏洞，开展行业特定威胁态势评估，为组织风险管理提供决策依据

监控和分析勒索软件组织的数据泄露站点（DLS），追踪受害者发布情况，提取组织战术的威胁情报，并评估特定行业的勒索软件风险以实现主动防御。

通过 Zeek conn.log 和 NetFlow 分析，识别勒索软件网络指标，包括 C2 信标模式、TOR 出口节点连接、数据外泄流量和加密密钥交换

利用 Splunk Enterprise Security 和 SPL（Search Processing Language，搜索处理语言），通过日志关联、时间线重建和异常检测来调查安全事件。涵盖 Windows 事件日志、防火墙日志、代理日志和认证数据分析。适用于 Splunk 调查、SPL 查询、SIEM 日志分析、安全事件关联或基于日志的事件调查相关请求。

检查文件系统松弛空间（slack space）、MFT 条目、USN 日志和备用数据流，以恢复 NTFS 卷上的隐藏数据并重建文件活动。

使用 Kismet 通过被动射频监控进行无线网络安全评估，检测流氓接入点（Rogue AP）、隐藏 SSID、弱加密和未授权客户端。

安全意识培训是网络钓鱼防御的人员层面。有效的反钓鱼培训计划将定期模拟测试、互动学习模块、指标追踪和正向激励相结合，构建具有安全意识的企业文化。

使用 dnSpy 反编译器和调试器对 .NET 恶意软件进行逆向工程，分析 C#/VB.NET 源代码，识别混淆技术，提取配置信息，理解包括信息窃取器、远程访问木马（RAT）和加载器在内的恶意功能。适用于 .NET 恶意软件分析、C# 恶意软件反编译、托管代码逆向工程或 .NET 混淆分析等请求。

使用令牌桶、滑动窗口和自适应速率限制算法实现API滥用检测，防止DDoS、暴力破解和凭据填充攻击。

在API网关层实施安全控制，包括认证强制执行、速率限制、请求验证、IP白名单、TLS终止和威胁防护。 配置API网关（Kong、AWS API Gateway、Azure APIM、Apigee）作为集中式安全执行点， 在流量到达后端服务前对所有API流量进行验证、节流和监控。

实施安全的API密钥生成、存储、轮换和吊销控制，防止API认证凭据泄露、暴力破解和滥用。 设计具有足够熵的API密钥格式，实施安全哈希存储，执行按密钥范围限制和速率限制， 监控公共仓库中的密钥泄露，并构建密钥轮换工作流。

使用令牌桶、滑动窗口和固定窗口算法实施API速率限制和节流控制，防止暴力破解、凭据填充、 资源耗尽和API滥用。使用Redis支持的计数器、API网关插件或应用中间件配置按用户、按IP和按端点的速率限制， 并实施带Retry-After头的正确HTTP 429响应。

调查供应链攻击工件，包括被木马化的软件更新、被攻陷的构建流水线和侧载的依赖项，以识别入侵向量和攻陷范围。

部署 AI 和 NLP 驱动的检测系统，通过分析写作风格、行为模式和上下文异常来识别规避传统基于规则的过滤器的商业邮件欺诈（BEC）攻击。

使用OpenAPI规范和JSON Schema实现API Schema验证，强制执行输入/输出契约，防止注入、数据泄露和批量赋值攻击。

商业邮件欺诈（BEC）是一种复杂的欺诈方案，攻击者冒充高管、供应商或可信合作伙伴，诱骗员工转账、共享敏感数据或更改付款信息。本技能涵盖使用邮件网关规则、行为分析和财务流程控制进行 BEC 检测。

通过分析计算使用异常、到挖矿池的网络流量、GuardDuty 发现以及使用 AWS、Azure 和 GCP 原生安全服务检测容器工作负载行为，检测云环境中的未授权加密货币挖矿活动。

本 skill 教导安全团队如何部署和运营 Amazon GuardDuty，实现对 AWS 账户和工作负载的持续威胁检测。内容涵盖为 S3、EKS、EC2 运行时监控和 Lambda 启用保护计划、解读发现严重级别，以及使用 EventBridge 和 Lambda 构建自动化响应工作流。

通过分析异常 API 活动、不可能旅行模式、未授权资源配置以及凭据滥用指标，使用 GuardDuty、Defender for Identity 和 SCC 事件威胁检测，检测 AWS、Azure 和 GCP 中被盗用的云凭据。

通过监控二进制执行偏移、文件系统变更以及与原始容器镜像的配置偏差，检测对运行中容器的未授权修改。

容器逃逸是一种严重攻击技术，攻击者突破容器隔离以访问主机系统或其他容器。检测涉及使用 Falco、Sysdig 和自定义 seccomp/审计规则监控逃逸指标，包括命名空间操纵、能力滥用、内核漏洞利用、敏感路径挂载和异常系统调用模式。

使用 Falco 运行时安全规则实时检测容器逃逸尝试，监控系统调用、文件访问和权限提升。

使用 Sysmon 事件 ID 10、Windows 安全日志和 SIEM 关联规则检测 LSASS 凭据转储、SAM 数据库提取和 NTDS.dit 盗窃

使用 EDR 遥测和 Sysmon 日志检测操作系统凭据转储技术，包括 LSASS 访问、SAM 提取和 DCSync。

本 skill 教导安全团队如何检测和响应云环境中未授权的加密货币挖矿活动。内容涵盖通过计算使用异常、挖矿池网络流量模式、GuardDuty 加密货币发现以及 EC2、ECS、EKS 和 Azure Automation 工作负载上的运行时进程监控来识别挖矿指标。

通过监控非域控制器账户通过 DsGetNCChanges 请求目录复制的行为，检测攻击者滥用 Active Directory 复制权限提取密码哈希的 DCSync 攻击。

检测 DLL 侧加载攻击，攻击者将恶意 DLL 放置在合法应用程序旁以劫持执行流程，实现防御规避。

通过监控未授权控制命令、固件更新尝试、协议违规以及与基线流量模式的偏差，使用深度包检测和机器学习方法检测SCADA系统中使用的DNP3（分布式网络协议3）通信中的异常。

实施API安全态势管理，持续发现、分类并基于风险对API评分，同时在API生命周期中强制执行安全策略。

使用42Crunch平台实施全面的API安全测试，对OpenAPI规范执行静态审计（Static Audit）和动态合规扫描（Conformance Scanning）。

使用Google Apigee策略实施API威胁防护，包括JSON/XML威胁防护、OAuth 2.0、SpikeArrest和高级API安全（Advanced API Security），防御OWASP Top 10攻击。

使用 Frida 动态插桩对 iOS 应用进行逆向工程，在无源代码的情况下理解内部逻辑、 提取加密密钥、绕过安全控制并发现隐藏功能。适用于授权 iOS 渗透测试、分析专有协议、 理解混淆逻辑或从 iOS 二进制文件中提取运行时机密。适合 iOS 逆向工程、Frida iOS Hook、 Objective-C/Swift 方法追踪或 iOS 二进制分析相关请求。

通过分析查询熵值、子域名长度、查询量、TXT 记录滥用及响应载荷大小，使用被动 DNS 监控检测 DNS 隧道数据渗出。

使用 NSA 的 Ghidra 反汇编器和反编译器对恶意软件二进制文件进行逆向工程，在汇编和伪 C 代码层面理解其内部逻辑、密码学例程、C2 协议和规避技术。适用于恶意软件逆向工程、反汇编分析、反编译、二进制分析或理解恶意软件内部机制等请求。

通过分析收件箱规则创建、可疑登录位置、邮件转发规则和异常 API 访问模式，检测受攻陷的 O365 和 Google Workspace 邮件账号。

检测攻击者创建的恶意邮件转发规则，以维持对邮件通信的持久访问，用于情报收集和商业电子邮件入侵（BEC）攻击。

检测端点日志中对手使用的防御规避技术，包括日志篡改、时间戳伪造、进程注入和安全工具禁用。 适用于调查可疑端点行为、为规避战术构建检测规则，或针对隐蔽对手活动进行威胁狩猎的场景。

通过分析 Zeek dns.log 中的高熵值子域名和异常查询模式，检测基于 DNS 的数据渗出

检测完全在内存（RAM）中执行、不向磁盘写入持久文件的无文件恶意软件和内存攻击， 规避传统杀毒软件。适用于为 PowerShell 攻击、反射式 DLL 注入、WMI 持久化和注册表驻留恶意软件 构建检测规则的场景。

检测和分析完全在内存中运行的无文件恶意软件，这类恶意软件利用 PowerShell、 WMI、.NET 反射、注册表存储载荷和离地攻击二进制文件（LOLBins）， 不在磁盘上写入传统可执行文件。适用于无文件威胁检测、内存恶意软件调查、 LOLBin 滥用分析或 WMI 持久化检查等请求。

通过分析 Kerberos TGT 异常（包括加密类型不匹配、不可能的票据生命周期、不存在的账户以及域控制器事件日志中的伪造 PAC 签名），检测 Active Directory 中的黄金票据攻击。

通过分析 Windows 安全事件日志中的异常 TGT 使用模式，检测 Kerberos 黄金票据（Golden Ticket）攻击。从 EVTX 文件中解析事件 ID 4624、4672 和 4768，识别具有异常生命周期的票据、域 SID 不匹配，以及非管理员账户无对应组成员身份变更却获得管理员级别权限的特权提升序列。

通过在 Splunk 和 Elastic SIEM 中分析 Windows 事件 ID 4769，检测 RC4 加密降级（0x17）、异常票据生命周期和 krbtgt 账户异常，从而检测 Kerberos 黄金票据伪造

通过分析 DLP 策略违规、文件访问模式、上传量异常和非工作时间活动，检测内部数据渗出（Insider Data Exfiltration）行为。 使用 pandas 进行行为分析和统计基线建立。适用于内部威胁调查或为数据防丢失构建用户行为分析体系。

检测内部威胁行为指标，包括异常数据访问、非工作时间活动、大量文件下载、权限滥用和离职相关的数据盗取。

使用 Elasticsearch/OpenSearch 实施用户和实体行为分析（UEBA），构建行为基线、计算异常分数、执行对等组分析，并检测内部威胁指标，如数据外泄、权限滥用和未授权访问模式。

通过监控针对具有 SPN 的服务账户的异常 Kerberos TGS 请求，检测用于离线密码破解的 Kerberoasting 攻击。

通过分析身份验证日志、网络流量、SMB 流量和 RDP 会话，使用 Zeek、Velociraptor 和 SIEM 关联规则，识别企业网络中的横向移动技术，检测攻击者在系统间的移动行为。

使用针对 Windows 身份验证日志、SMB 流量和远程服务滥用的 Splunk SPL 查询，检测跨网络的攻击者横向移动。

使用 Windows AppLocker 实施应用程序白名单，限制端点上未授权软件的执行， 减少来自恶意软件、未授权工具和影子 IT 的攻击面。适用于执行应用程序控制策略、 满足软件限制合规要求或防止未签名或不受信任的二进制文件执行的场景。 适用于涉及 AppLocker、应用程序白名单、软件限制或可执行文件控制的请求。

检测滥用合法 Windows 二进制文件（LOLBin）进行的离地攻击。监控进程创建、 命令行参数和父子关系，以识别可疑的 LOLBin 执行模式。

MITRE ATT&CK 是基于真实世界观察的全球可访问的对手战术、技术和过程（TTP）知识库。本技能涵盖系统性地将威胁行为者行为映射到 ATT&CK 框架、使用 ATT&CK Navigator 构建技术覆盖热力图、识别检测差距，以及生成将观察到的 IOC 关联到 Enterprise、Mobile 和 ICS 矩阵中特定对手技术的可执行情报报告。

通过进程遥测、Sigma 规则和父子进程分析，检测离地二进制文件（LOLBin/LOLBAS）滥用，包括 certutil、regsvr32、mshta 和 rundll32

使用 ATT&CK Navigator 和 attackcti Python 库将高级持续性威胁（APT）组织的战术、技术和过程（TTP）映射到 MITRE ATT&CK 框架。分析人员查询 STIX/TAXII 数据以获取组织-技术关联，生成 Navigator 层文件进行可视化，并将防御覆盖与对手画像进行对比。

分析结构化和非结构化威胁情报（CTI）推送，提取可操作的指标、对手战术和攻击活动上下文。适用于导入商业或开源 CTI 情报、评估情报质量、将数据规范化为 STIX 2.1 格式，或使用攻击活动溯源归因富化现有 IOC 时使用。

使用 MISP（恶意软件信息共享平台）通过查询事件统计、属性分布、威胁行为者 galaxy 集群和标签趋势来分析威胁态势。使用 PyMISP 拉取事件数据、计算 IOC 类型分布、识别顶级威胁行为者和恶意软件家族，并生成含时序趋势的威胁态势报告。

构建自动化系统，利用被动 DNS、证书透明度、WHOIS 数据和 IP 富化来映射和监控威胁行为者的命令与控制（C2）网络，追踪对手基础设施。

使用 Sysmon 事件 ID 1（schtasks.exe 进程创建）、11（任务 XML 文件创建）以及 Windows 安全事件 4698/4702 检测恶意计划任务的创建和修改。分析人员将任务创建与可疑父进程、公共目录路径和编码命令参数相关联， 以识别通过计划任务进行的持久化和横向移动。适用于计划任务检测、Sysmon 持久化狩猎或 T1053.005 计划任务/作业分析。

从网络威胁情报报告中提取和归类攻击模式，构建基于 STIX 的结构化库，映射到 MITRE ATT&CK，用于检测工程和以威胁为导向的防御。

构建自动化恶意软件提交和分析流水线，从终端和邮件网关收集可疑文件， 将其提交至沙箱环境和多引擎扫描器，并生成带有失陷指标（IOC）的研判结论以集成到 SIEM。 适用于 SOC 团队需要将恶意软件分析扩展到高容量告警分诊的场景，超越手动沙箱提交的限制。

通过命令行模式、LSASS 访问签名、二进制指标和已知模块的内存检测，检测 Mimikatz 的执行。

使用 Azure CLI、PowerShell 和 Microsoft Defender for Storage，检测 Azure 存储账户错误配置，包括可公开访问的 blob 容器、缺失的加密设置、过于宽泛的 SAS 令牌、禁用的日志记录以及网络访问违规。

通过行为分析、权限滥用检测、网络流量监控和动态插桩，检测并分析移动应用中的恶意行为。 适用于分析可疑移动应用的数据泄露、C2 通信、凭据窃取、SMS 拦截或其他恶意软件指标。 适合移动恶意软件分析、应用行为监控、木马检测或可疑应用调查相关请求。

通过使用ICS感知IDS和协议深度包检测，监控未授权写入操作、异常功能码、格式错误的帧以及与已建立通信基线的偏差，检测ICS环境中针对Modbus TCP/RTU协议的命令注入攻击。

本技能涵盖检测工业控制系统中Modbus/TCP和Modbus RTU通信中的异常。内容涉及功能码监控、寄存器范围验证、时序分析、未授权客户端检测以及针对格式错误Modbus帧的深度包检测。该技能利用带Modbus协议分析器的Zeek、带OT规则的Suricata IDS以及使用马尔可夫链模型分析正常Modbus事务序列的自定义Python检测。

部署和配置 Zeek（原名 Bro）网络安全监控器，被动分析网络流量、生成结构化日志、检测异常行为，并为威胁狩猎和事件响应创建自定义检测脚本。

部署 CyberArk 特权访问管理，对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略，以及与 NIST 800-53 访问控制要求的集成。

使用 Suricata 和 Snort IDS 签名、基于阈值的检测规则和流量异常分析，检测网络侦察和端口扫描，识别 Nmap、Masscan 及自定义扫描活动。

设计并实施特权访问工作站（PAW，Privileged Access Workstation），包括设备加固、即时访问（JIT）以及与 CyberArk 或 BeyondTrust 的集成，以保障安全的管理操作。

OpenCTI 是一个以 STIX 2.1 为原生数据模型的开源网络威胁情报知识管理平台。本技能涵盖使用 OpenCTI 连接器生态系统构建自动化 IOC 富化流水线，通过 VirusTotal、Shodan、AbuseIPDB、GreyNoise 等来源对指标进行富化。

构建恶意软件事件的结构化通信模板，包括利益相关者通知、高管简报、技术通告和监管披露，以及基于严重性的升级程序。

监控和审计特权用户会话，包括 SSH、RDP 和数据库访问。 跟踪会话元数据、记录命令执行、检测异常活动， 并为 PAM 合规性执行会话策略。

本技能涵盖在云环境中部署 HashiCorp Vault 进行集中式密钥管理，包括为数据库和云提供商生成动态密钥、传输加密（Transit Encryption）、PKI 证书管理以及 Kubernetes 集成。通过实现短生命周期、自动轮换的密钥，解决应用代码和 CI/CD 流水线中硬编码凭据的问题。

将 gitleaks 和 trufflehog 集成到 CI/CD 管道中，在部署前检测泄露的机密信息

实施安全混沌工程实验，故意禁用或降级安全控制措施，以验证检测和响应能力。 使用 boto3 和 subprocess 测试 WAF 绕过、防火墙规则删除、日志管道中断和 EDR 禁用等场景。 适用于验证 SOC 检测覆盖率和韧性的场景。

建立结构化的运营流程，以基于风险的修复 SLA 对 Microsoft 补丁星期二（Patch Tuesday）安全更新进行分类、测试和部署。

利用活动目录中的 Kerberos 约束委派（Constrained Delegation）错误配置，通过 S4U2self 和 S4U2proxy 扩展模拟特权用户，实现横向移动和权限提升。

在电子邮件客户端中实现网络钓鱼（Phishing）举报按钮，配合自动化分类工作流，对用户举报的可疑电子邮件进行分析并向举报人反馈结果。

部署和配置 Havoc C2 框架，包括团队服务器、HTTPS 监听器、重定向器和 Demon 代理，适用于授权红队（Red Team）行动。

测试和利用 Android 和 iOS 移动应用程序中的深度链接（URL Scheme 和 App Link）漏洞，识别未授权访问、数据注入、Intent 劫持和重定向操纵。适用于通过自定义 URI Scheme、Android App Links、iOS Universal Links 或基于 Intent 的导航评估移动应用攻击面。适用于深度链接安全测试、URL Scheme 利用、移动端 Intent 滥用或链接劫持等请求场景。

运用自底向上和自顶向下的角色挖掘技术，从现有用户-权限分配中发现最优 RBAC 角色，减少角色爆炸并强制执行最小权限原则。

测试 API 是否存在过度数据暴露，即端点返回的数据超出客户端应用程序实际需要的量，依赖前端过滤敏感字段。测试人员拦截 API 响应并分析其中泄露的 PII、内部标识符、调试信息或 UI 不显示但 API 传输的敏感业务数据。对应 OWASP API3:2023 对象属性级授权破坏。适用于 API 数据泄露测试、过度数据暴露、响应过滤绕过或 API 过度获取等请求场景。

检测并利用由前端和后端服务器之间 Content-Length 与 Transfer-Encoding 解析差异引起的 HTTP 请求走私漏洞。

通过操纵 API 请求和 URL 中的对象标识符，识别并利用不安全的直接对象引用（IDOR）漏洞以访问未授权资源。

构建结构化的 SOC 升级矩阵，定义严重性分级、响应 SLA、升级路径和安全事件通知流程。

构建 SOC 绩效指标和 KPI 跟踪仪表盘，使用 SIEM 数据衡量平均检测时间（MTTD）、 平均响应时间（MTTR）、告警质量比率、分析师生产力和检测覆盖率。适用于 SOC 领导层 需要运营可视化、持续改进跟踪或高管级安全运营效能报告的场景。

构建结构化的 SOC 勒索软件攻击事件响应手册，涵盖检测、遏制、根除和恢复阶段， 包含特定的 SIEM 查询、隔离流程和决策树。适用于 SOC 团队需要符合 NIST SP 800-61 和 MITRE ATT&CK 勒索软件技术的规范化响应流程时。

使用开源情报（OSINT）技术构建全面的威胁行为者档案，记录对手的动机、能力、基础设施和 TTP，用于主动防御。

部署 MISP（恶意软件信息共享平台）来聚合、关联和分发来自多个来源的威胁情报推送，用于集中式 IOC 管理和自动化 SIEM 集成。

构建系统化的威胁狩猎假设框架，将威胁情报、攻击模式和环境数据转化为可测试的狩猎假设。

识别并利用 Android 和 iOS 移动应用程序中的本地数据不安全存储漏洞，包括未加密数据库、全局可读文件、不安全的 SharedPreferences、明文凭据存储以及 Keychain/Keystore 使用不当。适用于针对 OWASP M9（不安全数据存储）开展移动渗透测试，或评估 MASVS-STORAGE 合规性。适用于移动数据存储安全、本地存储利用、SharedPreferences 分析或移动数据泄露评估等请求场景。

在授权渗透测试中识别并利用 Java、PHP、Python 和 .NET 应用程序中的不安全反序列化漏洞以实现远程代码执行。

识别并利用 IPv6 特有漏洞，包括 SLAAC 欺骗、路由器通告泛洪和 IPv6 隧道， 在授权评估中测试双栈安全控制和 IPv6 感知网络防御。

利用 JWT 算法混淆漏洞，该漏洞存在于服务器令牌验证库接受 JWT 头中指定的算法而非强制使用固定算法的场景。测试人员通过操纵 alg 头将 RS256 切换为 HS256（以 RSA 公钥作为 HMAC 密钥），将 alg 设置为 none 以绕过签名验证，或利用 kid/jku/x5u 头注入来提供攻击者控制的密钥。适用于 JWT 算法混淆、alg none 攻击、密钥混淆攻击或 JWT 签名绕过等请求场景。

使用 Impacket 的 GetUserSPNs 执行 Kerberoasting 攻击，提取并破解活动目录服务账户的 Kerberos TGS 票据。

发现并利用 REST API 中的批量赋值漏洞，通过在 API 请求中注入意外参数来提升权限、修改受限字段并绕过授权控制。

MS17-010（EternalBlue）是微软 SMBv1 实现中的一个严重漏洞，允许远程代码执行。最初由 NSA 发现，2017 年被 Shadow Brokers 泄露，曾被用于 WannaCry 和 NotPetya 勒索软件攻击活动。

使用 stix2 Python 库创建、验证和共享 STIX 2.1 威胁情报对象。涵盖指标、恶意软件、活动、关系、Bundle 和 TAXII 2.1 发布。

测试 API 是否存在批量赋值（mass assignment，自动绑定）漏洞——攻击者可在 API 请求中附加额外参数，从而修改本不应被访问的对象属性。测试人员识别可写端点，向请求体注入未公开字段（role、isAdmin、price、balance），验证服务器是否在未过滤的情况下将这些字段绑定到数据模型。属于 OWASP API3:2023 Broken Object Property Level Authorization 范畴。适用于批量赋值测试、参数绑定滥用、自动绑定漏洞或 API 过度发布（over-posting）相关请求。

使用自动化和手工测试技术，针对 OWASP API 安全 Top 10 风险对 REST 和 GraphQL API 端点进行系统性评估。

在安全评估期间，识别和利用跨源资源共享（CORS）错误配置，这些配置允许未经授权的跨域数据访问和凭证窃取。

系统性测试 Web 应用程序中的访问控制缺陷，包括权限提升、缺失的功能级检查以及不安全的直接对象引用。

识别应用程序业务逻辑中的缺陷，这些缺陷允许价格操控、工作流绕过和权限提升，超出技术漏洞扫描器的检测范围。

使用查询表、模块化输入和威胁情报框架，在 Splunk Enterprise Security 中构建自动化威胁情报富化流水线

测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞，这些漏洞允许攻击者注入额外的邮件头部、修改收件人，并通过联系表单实施垃圾邮件中继。

构建自动化威胁情报（Threat Intelligence）源集成管道，将 STIX/TAXII 源、 开源威胁情报和商业 TI 平台接入 SIEM 和安全工具，实现实时 IOC 匹配和告警。 适用于 SOC 团队需要通过自动化源接入、标准化、评分和分发到检测系统来 将威胁情报付诸实践的场景。

测试 Web 应用程序的 HTTP Host 头部注入漏洞，以识别密码重置中毒、Web 缓存投毒、SSRF 以及虚拟主机路由操控风险。

构建威胁情报平台（TIP）涉及将多个 CTI 工具部署和集成到统一系统中，用于收集、分析、富化和分发威胁情报，包括 MISP、OpenCTI、TheHive 和 Cortex 的开源工具集成。

测试 JWT 实现中的关键漏洞，包括算法混淆、none 算法绕过、kid 参数注入和弱密钥利用，以实现认证绕过和权限提升。

通过分析 URL 重定向参数、绕过技术和利用链，识别并测试 Web 应用程序中的开放重定向漏洞，用于网络钓鱼和 Token 窃取。

在安全评估中识别敏感数据暴露漏洞，包括 API 密钥泄露、响应中的 PII、不安全存储以及未受保护的数据传输。

测试 Web 应用程序中的 XML 注入漏洞，包括 XXE（XML 外部实体注入）、XPath 注入和 XML 实体攻击，以识别数据泄露和服务器端请求伪造（SSRF）风险。

在授权的安全评估过程中，使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本（XSS）漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS，验证自动化扫描器报告的 XSS 发现，以及评估 CSP 和 XSS 过滤器的有效性时使用。

通过向反射型、存储型和 DOM 型上下文注入 JavaScript 载荷，测试 Web 应用程序的跨站脚本（XSS）漏洞， 演示客户端代码执行、会话劫持和用户冒充。测试人员识别所有注入点和输出上下文，构造适合上下文的载荷， 并绕过净化和 CSP 保护。适用于 XSS 测试、跨站脚本评估、客户端注入测试或 JavaScript 注入漏洞测试等请求场景。

在授权的渗透测试中发现和利用 XML 外部实体（XXE）注入漏洞，以读取服务器文件、执行 SSRF 并外泄数据。

在安全测试活动中，评估 JSON Web Token（JWT）实现中的密码学弱点、算法混淆攻击和授权绕过漏洞。

测试移动应用 API 的认证与授权机制，识别认证失效、不安全的令牌管理、会话固定、 权限提升和 IDOR 漏洞。适用于对移动应用后端进行 API 安全评估、测试 JWT 实现、 评估 OAuth 流程或评估会话管理的场景。适合涉及移动 API 认证测试、令牌安全评估、 OAuth 移动端流程测试或 API 授权绕过的相关请求。

测试 OAuth 2.0 和 OpenID Connect 实现中的安全缺陷，包括授权码拦截、重定向 URI 操控、OAuth 流程中的 CSRF、令牌泄露、权限范围（scope）提升以及 PKCE 绕过。测试人员对授权服务器、客户端应用及令牌处理进行评估，发现可导致账户接管或未授权访问的常见错误配置。适用于 OAuth 安全测试、OIDC 漏洞评估、OAuth2 重定向绕过或授权码流程测试相关请求。

实施漏洞老化仪表盘和 SLA 跟踪系统，根据基于严重性的时间线衡量修复绩效，并推动问责制落地。

测试 WebSocket API 实现中的安全漏洞，包括 WebSocket 升级时缺少身份认证、跨站 WebSocket 劫持（Cross-Site WebSocket Hijacking，CSWSH）、通过 WebSocket 消息进行的注入攻击、输入校验不足、通过消息泛洪实施拒绝服务，以及通过 WebSocket 帧造成的信息泄露。测试人员使用 Burp Suite 拦截 WebSocket 握手和消息，构造恶意 payload，并测试 WebSocket 通道上的授权绕过。适用于 WebSocket 安全测试、WS 渗透测试、CSWSH 攻击或实时 API 安全评估相关请求。

部署 DefectDojo 作为集中式漏洞管理仪表盘，支持扫描器集成、去重、指标跟踪和 Jira 工单工作流。

构建具有审批工作流、补偿控制文档和到期管理功能的漏洞例外与风险接受跟踪系统。

使用 Nessus、Qualys 和 OpenVAS 等工具构建结构化的漏洞扫描工作流， 对基础设施中的安全漏洞进行发现、优先级排序和修复跟踪。适用于 SOC 团队 需要建立定期漏洞评估流程、将扫描结果与 SIEM 告警集成，以及构建 修复跟踪仪表盘的场景。

在授权安全评估中，通过枚举 URL 并绕过身份验证控制，发现和访问未受保护的页面、API 及管理界面。

在安全事件期间和之后，系统性地收集、分类和分发失陷指标（Indicators of Compromise，IOC），以支持检测、阻断和威胁情报共享。涵盖网络、主机、邮件和行为指标，使用 STIX/TAXII 格式和威胁情报平台。适用于 IOC 收集、指标提取、威胁指标共享、失陷指标、STIX 导出或 IOC 情报丰富化相关请求。

使用公开可用的数据源、被动侦察工具和暗网监控，收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报（OSINT）。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察，或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。

MISP（恶意软件信息共享平台）是一个开源威胁情报平台，用于收集、共享、存储和关联定向攻击的失陷指标（IOC）、威胁情报、金融欺诈信息、漏洞信息或反恐信息。

按照易失性顺序从受攻陷系统收集易失性取证证据，在数据丢失前保全内存、网络连接、进程和系统状态。

对 REST、GraphQL 和 gRPC API 进行安全测试，识别认证、授权、速率限制、输入验证和业务逻辑中的漏洞。测试人员以 OWASP API 安全 Top 10 作为测试框架，结合 Burp Suite 拦截、Postman 集合和自定义脚本，在每个权限级别测试端点安全性。

响应云环境（AWS、Azure、GCP）中的安全事件，执行基于身份的遏制、云原生日志分析、资源隔离和针对临时云基础设施的取证证据采集。适用于云事件响应、AWS 安全事件、Azure 受攻陷、GCP 泄露、云取证或云身份受攻陷相关请求。

针对 AWS、Azure 和 GCP 执行云基础设施渗透测试，使用 Pacu、ScoutSuite 和 Prowler 识别 IAM 错误配置、暴露的存储桶、不安全的无服务器函数和云原生攻击路径。

本 skill 概述了对 AWS、Azure 和 GCP 云环境进行授权渗透测试的方法论。 涵盖理解测试范围的共享责任模型、利用 Pacu 和 ScoutSuite 等云专用攻击工具、 利用 IAM 错误配置、测试针对云元数据服务的 SSRF， 以及按照 MITRE ATT&CK 云矩阵对发现进行报告。

对 Android 和 iOS 应用执行移动应用渗透测试，使用 Frida、Objection 和 MobSF 识别不安全的数据存储、证书固定绕过、API 漏洞、二进制保护缺陷和运行时操控问题。

对授权目标环境执行全面网络渗透测试，通过主机发现、端口扫描、服务枚举、漏洞识别和受控漏洞利用，评估网络基础设施的安全态势。测试人员遵循 PTES 方法论，从侦察到后渗透和报告全流程执行。

票据传递（Pass-the-Ticket，PtT）是一种横向移动技术，使用窃取的 Kerberos 票据（TGT 或 TGS）在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据，攻击者可以将这些票据注入自己的会话以模拟票据所有者。

通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。

主持结构化的事件后审查，以识别根本原因、记录有效和无效的措施，并提出可操作的改进建议以提升未来的事件响应能力。

设计并执行社会工程学渗透测试，包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动，以衡量人员安全韧性并识别培训差距。

使用 BishopFox 的 Sliver C2 框架构建和配置具备韧性的命令与控制（Command-and-Control）基础设施，包含重定向器（redirector）、HTTPS 监听器和多操作员支持，适用于授权红队（Red Team）演练。

本 skill 指导安全架构师设计和实施云安全态势管理（CSPM）计划，持续监控 AWS、Azure 和 GCP 的基础设施配置。涵盖选择 Wiz、Prisma Cloud 或原生服务等 CSPM 工具、定义策略基线、 自动化漂移检测，以及将态势发现集成到 SOC 工作流。

本 skill 涵盖将 Microsoft Sentinel 部署为云原生 SIEM 和 SOAR 平台以实现集中安全运营。 详细介绍为多云日志摄入配置数据连接器、编写 KQL 检测查询、使用 Logic Apps 构建自动化响应手册， 以及利用 Sentinel 数据湖对 AWS、Azure 和 GCP 安全遥测进行 PB 级威胁狩猎。

使用 Splunk 搜索处理语言（SPL）关联搜索构建有效的检测规则，在 SOC 环境中识别安全威胁。

使用 Sigma 规则格式构建与供应商无关的检测规则，用于跨 SIEM 平台（包括 Splunk、Elastic 和 Microsoft Sentinel）的威胁检测。适用于从威胁情报创建可移植检测逻辑、将规则映射到 MITRE ATT&CK 技术，或使用 sigmac 或 pySigma 后端将社区 Sigma 规则转换为平台特定查询。

在 GitLab CI/CD 中设计并实现全面的 DevSecOps 流水线，集成 SAST、DAST、容器扫描、依赖扫描和密钥检测。

在本地部署的 Active Directory 与 Azure AD（Microsoft Entra ID）之间建立 SAML 2.0 身份联合（Identity Federation），实现无缝跨域认证和云应用 SSO。

构建全面的身份治理（Identity Governance）与生命周期管理流程，包括入职-调岗-离职（Joiner-Mover-Leaver）自动化、角色挖掘、访问申请工作流、定期重新认证以及孤立账户修复，使用 IGA 平台实现。 适用于身份生命周期管理、JML 流程、基于角色的访问配置或身份治理程序设计等相关请求。

在 Splunk、Elastic 或 Grafana 中构建实时事件响应（Incident Response）仪表盘，为安全运营中心（SOC）分析师和领导层提供主动事件处理过程中的态势感知（Situational Awareness），追踪受影响系统、遏制状态、失陷指标（IOC）扩散和响应时间线。适用于 IR 团队在事件协调和事后报告期间需要统一可见性的场景。

设计并记录结构化的事件响应手册（Incident Response Playbook），定义与 NIST SP 800-61r3 和 SANS PICERL 框架对齐的特定事件类型逐步处理程序。涵盖手册结构、决策树、升级标准、RACI 矩阵和与 SOAR 平台的集成。适用于 IR 手册创建、事件响应程序文档、响应运行手册（Runbook）开发或 SOAR 手册设计等请求。

Metasploit Framework 是全球最广泛使用的渗透测试平台，由 Rapid7 维护，包含超过 2300 个漏洞利用模块、1200 个辅助模块和 400 个后渗透模块

在授权安全评估中测试 WebSocket 实现的身份验证绕过、跨站劫持、注入攻击和不安全消息处理。

使用 Timesketch 构建协作式取证事件时间线，对多源事件数据进行摄入、规范化和分析，用于攻击链重建和调查文档化。

构建自动化流水线，对失陷指标（URL、IP、域名、邮件）进行去危化处理以便安全共享，并通过 TAXII 推送和威胁情报平台以 STIX 格式分发。

规划并执行授权的语音钓鱼（vishing）借口电话，以评估员工对社会工程学（Social Engineering）的易感性，并评估安全意识控制措施的有效性。

鱼叉式钓鱼（Spearphishing）模拟是红队用于获取初始访问权限的定向社会工程学攻击向量。与广泛的钓鱼活动不同，鱼叉式钓鱼使用 OSINT 情报精心制作高度个性化的消息，针对特定个人。

执行授权的无线网络渗透测试，通过测试弱加密协议、强制门户绕过、邪恶双胞胎攻击、WPA2/WPA3 握手捕获、流氓接入点检测和客户端攻击，评估 WiFi 基础设施的安全性。

实施 Microsoft 增强安全管理环境（Enhanced Security Admin Environment，ESAE）Active Directory 分层管理模型，涵盖 Tier 0/1/2 分隔、特权访问工作站（PAW）、管理林设计、认证策略孤岛和凭据盗窃缓解措施。

使用 EventBridge 和 Lambda 自动化处理 AWS GuardDuty 威胁检测发现，实现实时事件响应、自动隔离受损资源和安全通知工作流。

使用 boto3 和 Cloudsplaining 策略分析检测 AWS IAM 权限提升路径，识别过度宽松的策略、危险权限组合和最小权限违规。

使用 Microsoft Graph API 审计日志、Azure Sentinel KQL 狩猎查询和登录异常关联，检测 Azure AD/Entra ID 环境中的横向移动，以识别权限提升、令牌窃取和跨租户转移。

执行针对性的 Active Directory 渗透测试，涵盖域对象枚举、使用 BloodHound 发现攻击路径、利用 Kerberos 弱点、通过 ADCS/DCSync 提升权限，并演示域沦陷全过程。

Docker Bench for Security 是一个开源脚本，用于检查生产环境中部署 Docker 容器的数十项常见最佳实践。基于 CIS Docker Benchmark，审计宿主机配置，生成包含通过/失败/警告结果的合规报告。

使用 Frida、Objection 和 Android Debug Bridge 对 Android 应用进行运行时动态分析， 在执行过程中观察应用行为、拦截函数调用、修改运行时值，并识别静态分析遗漏的漏洞。 适用于测试 Android 应用的运行时安全缺陷、Hook 敏感方法、绕过客户端保护措施 或分析混淆应用。适合 Android 动态分析、运行时 Hook、Frida Android 插桩或实时应用行为分析相关请求。

使用 ANY.RUN 云沙箱进行交互式动态恶意软件分析，实时观察执行行为、与恶意软件提示进行交互， 并捕获进程树、网络流量和系统变化。适用于交互式沙箱分析、基于云的恶意软件引爆、 实时行为观察或 ANY.RUN 使用等请求场景。

对受损端点执行数字取证调查，包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。

通过基于风险评分对 CVE 进行优先级排序、部署补丁、应用配置变更和验证修复 来执行端点漏洞修复。适用于修复漏洞扫描发现的问题、响应严重 CVE 公告 或维护端点合规性与补丁管理 SLA 的场景。适用于涉及漏洞修复、CVE 补丁、 端点漏洞管理或安全修复部署的请求。

使用 SailPoint IdentityIQ 执行权限审查和访问认证活动， 包括经理认证、定向权限审查、基于角色的访问验证、 SoD 违规整改和自动化撤销工作流。 适用于访问审查、权限认证、SailPoint IIQ 治理或定期用户访问重认证相关请求。

在 Microsoft Entra ID 环境中检测和调查 Azure 服务主体滥用，包括权限提升、凭据入侵、管理员同意绕过和未授权枚举。

使用 azure-mgmt-storage Python SDK 审计 Azure Blob 和 ADLS 存储账户的公开访问暴露、弱或长期 SAS 令牌、缺失的静态加密、禁用的仅 HTTPS 流量以及过时的 TLS 版本。

对 Zeek conn.log 连接间隔进行统计分析，检测 C2 信标（Beaconing）模式。使用 ZAT 库将 Zeek 日志加载到 Pandas DataFrame，计算到达时间间隔标准差，标记具有低抖动（Low Jitter）的周期性连接。适用于在网络数据中狩猎命令与控制（C2）回调行为。

检测和测试OWASP API3:2023对象属性级授权失效（BOPLA）漏洞，包括过度数据暴露和批量赋值攻击。

使用 PingCastle、BloodHound 和 Purple Knight 评估 Active Directory 安全态势，识别错误配置、权限提升路径和攻击向量。

利用 Netlogon 远程协议中的 Zerologon 漏洞（CVE-2020-1472），通过将机器账户密码重置为空来实现域控制器入侵。

从 Chrome、Firefox 和 Edge 中提取并分析浏览器历史记录、Cookie、缓存、下载记录和书签，以获取用户网络活动的取证证据。

通过操纵请求头、IP 地址、HTTP 方法、API 版本和编码方案，测试 API 限速（Rate Limiting） 实现中的绕过漏洞，以规避请求节流控制。测试人员识别限速响应头，确定执行机制， 并尝试包括 X-Forwarded-For 欺骗、参数污染、大小写变换和端点路径操纵在内的绕过手段。 映射至 OWASP API4:2023 无限制资源消耗。当请求涉及限速绕过、API 节流规避、 暴力破解防护测试或 API 滥用防御评估时触发。

对生产环境 Docker 容器进行安全加固，涵盖符合 CIS Docker Benchmark v1.8.0 的安全最佳实践，旨在最小化攻击面、防止权限提升，并在 Docker daemon、镜像、容器和运行时配置中强制执行最小权限原则

通过配置 daemon.json 实现用户命名空间重映射、TLS 认证、无根模式（rootless mode）和 CIS Benchmark 控制措施，对 Docker daemon 进行安全加固。

使用 CIS Benchmark 建议对 Ubuntu、RHEL 和 CentOS 的 Linux 端点进行加固， 以减少攻击面、执行安全基线并满足合规要求。适用于部署新 Linux 服务器、修复审计发现 或为 Linux 基础设施建立安全基线的场景。

使用 Postman 构建测试集合，执行结构化 API 安全测试，覆盖 OWASP API 安全 Top 10 漏洞， 包括认证绕过、授权缺陷、注入和数据暴露。测试人员创建包含多个用户角色的环境， 编写自动化安全验证测试脚本，并将 Postman 与 OWASP ZAP 和 Newman 集成以进行 CI/CD 安全测试。 当请求涉及 Postman 安全测试、API 安全集合、自动化 API 测试或使用 Postman 进行 OWASP API 测试时触发。

在授权的实验室或渗透测试环境中，使用 arpspoof、Ettercap 和 Scapy 模拟 ARP 欺骗攻击， 以演示中间人攻击风险、测试网络检测能力并验证 ARP 检测对策。

使用 CIS（互联网安全中心）Benchmark 建议对 Windows 端点进行加固， 以减少攻击面、执行安全基线并满足合规要求。适用于部署新 Windows 工作站或服务器、 修复审计发现或为组织建立全面安全基线的场景。适用于涉及 Windows 加固、 CIS Benchmark、GPO 安全基线或端点配置合规的请求。

在企业环境中使用基于假设的搜索，跨终端遥测、网络日志和内存产物，主动猎捕高级持续性威胁（APT）活动。适用于开展定期威胁猎捕周期、调查 UEBA 标记的异常行为，或验证已知 APT TTP 在环境中不存在时。适用于涉及 MITRE ATT&CK、Velociraptor、osquery、Zeek 或威胁猎捕剧本的请求。

通过分析认证日志中的登录速率异常、ASN 多样性、密码喷洒（password spray）模式和失败登录的地理分布，检测凭据填充（credential stuffing）攻击。对 Splunk 或原始日志数据进行统计分析。适用于调查账户接管活动或为认证滥用构建检测规则。

通过分析脚本块日志（事件 4104）、模块日志（事件 4103）和进程创建事件，狩猎恶意 PowerShell 活动。 分析员解析 Windows 事件日志 EVTX 文件，检测混淆命令、AMSI 绕过尝试、编码 payload、 凭据转储关键词和可疑下载器（download cradles）。适用于涉及 PowerShell 威胁狩猎、脚本块分析、 编码命令检测或 AMSI 绕过识别的场景。

通过对网络流量应用统计频率分析、抖动计算和变异系数评分，识别命令与控制（C2）信标模式，检测被攻陷终端的周期性回调行为。

使用默认 TLS 证书签名（序列号 8BB00EE）、JA3/JA3S/JARM 指纹、HTTP C2 配置文件模式匹配、信标抖动分析和命名管道检测，通过 Zeek、Suricata 和 Python PCAP 分析检测 Cobalt Strike 信标网络活动。

通过频率分析、抖动检测和域名信誉评估，检测网络流量中的 C2 信标（Beaconing）模式，识别与攻击者基础设施通信的失陷终端。

通过网络流量分析狩猎数据外泄行为，检测异常数据流、DNS 隧道、云存储上传以及加密通道滥用。

通过监控 7-Zip/RAR 压缩文件创建、异常临时目录访问、大文件合并以及暂存目录模式，借助 EDR 和进程遥测检测数据外泄前的暂存活动。

通过分析 Windows 事件 ID 4662，检测非域控制器账户发起的未授权 DS-Replication-Get-Changes 请求，从而发现 DCSync 攻击。

使用 Aqua Security Trivy 扫描容器镜像、文件系统和 Kubernetes 清单，检测漏洞（Vulnerability）、错误配置、暴露的密钥和许可证合规问题，并生成 SBOM（Software Bill of Materials，软件物料清单）及集成到 CI/CD 流水线。

Pod 安全标准（PSS）定义了三个安全策略级别——特权级、基线级和受限级——由 Kubernetes 1.25+ 内置的 Pod 安全准入（PSA）控制器强制执行。

配置 Fluentd 和 Fluent Bit，实现分布式基础设施中的集中式日志聚合、路由、过滤和丰富化

使用 SHA-256 哈希链构建仅追加式日志完整性链以实现篡改检测。每条日志条目与前一条条目的哈希值 一起进行哈希运算，形成类似区块链的结构，修改任一条目将使后续所有哈希值失效。 实现日志摄取、链完整性验证、精确定位的篡改检测，以及定期向外部时间戳服务锚定检查点。

通过利用错误配置、JSONP 端点、不安全指令和策略注入技术，分析并绕过内容安全策略（CSP）实现，以实现跨站脚本攻击。

依照 PTES 方法论，通过侦察、扫描、漏洞利用和报告等阶段，对面向互联网的基础设施执行全面的外部网络渗透测试，识别可利用漏洞。

配置 AWS Verified Access，使用 Cedar 策略语言通过身份和设备态势验证，为内部应用程序提供无 VPN 的零信任网络访问（ZTNA）。

证书颁发机构（CA）是 PKI 层次结构中的信任锚，负责颁发、签署和吊销数字证书。本技能涵盖使用 OpenSSL 构建两层 CA 层次结构（根 CA + 中间 CA）。

配置基于主机的入侵检测系统（HIDS）以监控端点文件完整性、系统调用和配置变更， 用于检测安全违规行为。适用于部署 OSSEC、Wazuh 或 AIDE 进行端点监控、构建文件完整性监控（FIM） 策略，或满足变更检测合规要求的场景。

硬件安全模块（HSM）是防篡改的物理设备，在加固环境中保护密钥并执行加密操作。存储在 HSM 中的密钥永远不会离开设备边界，提供最高级别的密钥保护。

配置 Google Cloud Identity-Aware Proxy（IAP），使用访问级别、上下文感知策略 和服务账号的程序化访问，为 Compute Engine、App Engine、Cloud Run 和 GKE 服务 强制执行每请求身份验证。

实施内存保护机制，包括 DEP（数据执行防护）、ASLR（地址空间布局随机化）、 CFG（控制流防护）和其他漏洞利用缓解措施，以防御内存损坏攻击。适用于加固端点 以抵御缓冲区溢出利用、ROP 链和代码注入的场景。适用于涉及内存保护、漏洞利用缓解、 DEP、ASLR 或 CFG 配置的请求。

使用 Akamai Guardicore Segmentation 实施微分段，映射应用程序依赖关系，创建细粒度网络策略， 可视化东西向流量，并在数据中心和云环境中的工作负载之间强制执行最小权限通信。

使用自定义规则、Emerging Threats 规则集和内联流量检测部署和配置 Suricata 作为网络入侵防御系统，实现实时威胁阻断。

TLS 1.3（RFC 8446）是传输层安全协议的最新版本，在安全性和性能方面相比 TLS 1.2 有显著改进，将握手延迟降低至 1-RTT，移除了过时的密码套件并强制要求完美前向保密。

配置 Microsoft Defender for Endpoint（MDE）高级防护设置，包括攻击面缩减规则、受控文件夹访问、 网络保护和漏洞利用防护。适用于在默认 Defender 设置基础上加固 Windows 端点、部署企业级端点防护 或满足高级恶意软件防御合规要求的场景。

配置 Windows 事件日志与高级审计策略，以生成高质量安全事件用于威胁检测和取证调查。 适用于为登录事件、进程创建、权限使用和对象访问启用审计策略，以支撑 SIEM 检测规则的场景。

配置 Zscaler Private Access（ZPA），通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成，以零信任网络访问取代传统 VPN。

执行遏制策略以阻止活跃对手的操作，并在已确认的安全攻陷期间防止横向移动。使用网络分段、端点隔离、凭据撤销和访问控制修改来实施短期和长期遏制。适用于攻陷遏制、横向移动防御、网络隔离、活跃威胁遏制或实时事件响应相关请求。

通过隔离受攻陷系统、阻断攻击者通信并保全证据，同时最大程度减少业务中断，快速遏制活跃安全攻陷。

使用 AQL（Ariel Query Language）、自定义规则、构建块和告警管理， 在 IBM QRadar SIEM 中关联安全事件，检测跨网络、端点和应用日志源的多阶段攻击。 适用于 SOC 分析师需要调查 QRadar 告警、构建关联规则或调优检测逻辑以减少误报时。

关联不同时间和组织的安全事件、IOC 和对手行为，识别统一的威胁活动，将其归因于共同的威胁行为者，并提取共享指标以改善检测效果。适用于多起事件出现重叠指标、需要跨组织分析行业范围内攻击活动，或构建活动级别情报产品时。适用于涉及活动分析、事件聚类、跨组织 IOC 关联或 MISP 关联引擎的请求。

通过逆向编码层、eval 调用链、字符串操作和控制流混淆， 对 Web 攻击、钓鱼页面和投放器脚本中使用的恶意 JavaScript 代码进行去混淆， 以还原原始恶意逻辑。适用于 JavaScript 恶意软件分析、脚本去混淆、 Web 嗅探器分析或混淆投放器调查等请求。

在 Cortex XSOAR 中实施自动化事件响应剧本，跨 SOC 工具编排安全工作流并缩短手动响应时间。

STIX（结构化威胁信息表达式）和 TAXII（可信自动化情报信息交换）是 OASIS 开放标准，用于表示和传输网络威胁情报。

使用 AWS Security Hub、Azure Defender for Cloud 以及 Prowler、ScoutSuite 等开源工具实施云安全态势管理（CSPM），实现多云漏洞检测。

部署和调优 AWS WAF、Azure WAF 和 Cloudflare 上的 Web 应用防火墙规则，保护云托管应用免受 OWASP Top 10 攻击。详细介绍配置托管规则集、创建业务逻辑保护自定义规则、实施速率限制、部署机器人管理，以及通过规则调优和日志分析减少误报。

实施 USB 设备控制策略，限制端点上未授权的可移动媒体访问，防止通过 USB 设备 进行数据泄露和引入恶意软件。适用于通过组策略、Intune 或 EDR 平台部署设备控制 以执行 USB 限制的场景。适用于涉及 USB 控制、可移动媒体策略、设备控制或 通过 USB 进行数据丢失防护的请求。

使用身份感知代理（IAP，Identity-Aware Proxy）、上下文感知访问策略、设备信任验证和 Access Context Manager，部署 Google BeyondCorp Enterprise 零信任访问控制，对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

将观察到的对手行为、安全告警和检测规则映射到 MITRE ATT&CK 技术和子技术，以量化检测覆盖率并指导控制优先级。当构建基于 ATT&CK 的覆盖热图、为 SIEM 告警标记技术 ID、将安全控制与对手攻击手册对齐，或向高层报告威胁暴露时使用。适用于涉及 ATT&CK Navigator、Sigma 规则、MITRE D3FEND 或覆盖缺口分析的请求。

配置 GitHub Advanced Security 与 CodeQL，在企业级别对仓库执行自动化静态分析和漏洞检测。

实施全面的 Google Workspace 安全加固，包括管理控制台 配置、抗钓鱼 MFA 强制执行、DLP 策略、电子邮件认证 （SPF/DKIM/DMARC）、OAuth 应用控制和外部共享限制。 适用于 Google Workspace 加固、G Suite 安全配置 或云办公安全管理相关请求。

监控暗网论坛、市场、粘贴站点和勒索软件泄露站点，寻找组织资产提及、泄露凭据、威胁攻击和威胁行为者通信，提供早期预警情报。当建立暗网监控覆盖、调查特定数据泄露声明，或用暗网背景丰富事件调查时使用。适用于涉及暗网 OSINT、泄露站点监控、凭据暴露、Recorded Future 暗网或 Tor 隐藏服务情报的请求。

ISO/IEC 27001:2022 是建立、实施、维护和持续改进信息安全管理体系（ISMS）的国际标准。本技能涵盖从范围界定到认证的完整生命周期。

实施即时访问（JIT）配置以消除常设权限，仅在需要时授予临时、时限访问。本技能涵盖 JIT 架构设计、审批工作流、自动过期、与 PAM 和 IGA 平台的集成，以及与零信任原则的对齐。

RFC 7519 定义的 JSON Web Token（JWT）是用于 Web 应用程序认证和授权的紧凑、URL 安全的令牌。本技能涵盖使用 HMAC-SHA256、RSA-PSS 和 EdDSA 算法实现安全的 JWT 签名，以及验证、令牌过期、声明验证和防御常见 JWT 攻击（算法混淆、none 算法、密钥注入）。

使用 Calico NetworkPolicy 和 GlobalNetworkPolicy 实施 Kubernetes 网络分段，实现 Pod 间零信任通信。

使用 AST 分析、动态追踪以及 PSDecode 和 PowerDecode 等工具，系统地对多层 PowerShell 恶意软件进行去混淆，以揭示隐藏的载荷和 C2 基础设施。

部署 Cloudflare Access 和 Cloudflare Tunnel，为自托管和私有应用程序提供零信任访问， 配置身份感知访问策略、设备态势检查，以及用于 VPN 替代的 WARP 客户端注册。

在企业端点上部署和配置 CrowdStrike Falcon EDR 代理，实现实时威胁检测、行为分析和自动化响应。 适用于将端点接入 EDR 覆盖范围、配置检测策略，或将 Falcon 遥测数据与 SIEM 平台集成的场景。

部署和配置 osquery，使用基于 SQL 的查询对运行进程、开放端口、已安装软件和系统配置进行实时端点监控。 适用于构建端点状态可见性、跨部署范围进行威胁狩猎或实施合规监控的场景。

部署 Palo Alto Networks Prisma Access，通过 GlobalProtect Agent、ZTNA Connector、 安全策略执行以及与 Strata Cloud Manager 集成，实现基于 SASE 的零信任网络访问统一安全管理。

使用 Python watchdog 库在关键目录中部署并监控勒索软件诱饵文件（Canary File），实现实时文件系统事件检测。 将策略性命名的诱饵文件（模拟高价值目标，如财务记录、凭据、数据库导出）放置在勒索软件通常优先枚举的 目录中，监控对诱饵文件的任何读取、修改、重命名或删除操作，并在检测到交互时通过 Email、Slack Webhook 或 Syslog 触发即时告警，在完整加密开始前提供早期预警。

部署软件定义边界（Software-Defined Perimeter，SDP），围绕各个资源创建动态配置的、以身份为中心的边界，通过"暗云"方法实现零信任访问控制。

使用 boto3、统计基线和行为分析检测 AWS CloudTrail 日志中的异常 API 调用模式，以识别凭据入侵、权限提升和未授权资源访问。

使用 TruffleHog、git-secrets 和 AWS 原生检测机制，检测源代码仓库、CI/CD 流水线和 配置文件中暴露的 AWS 凭据，以防止凭据窃取和未授权账户访问。

通过规则调优、阈值调整、关联细化和威胁情报丰富化，系统性地减少 SIEM 中的误报，以应对告警疲劳。

使用 Foremost 的文件头/文件尾签名雕刻技术，从磁盘镜像和未分配空间中恢复文件，无论文件系统状态如何均可提取证据。

分析固件镜像中嵌入的恶意软件、后门和未授权修改，目标包括路由器、IoT 设备、UEFI/BIOS 和嵌入式系统。涵盖固件提取、文件系统分析、二进制逆向工程和 Bootkit 检测。适用于固件安全 分析、IoT 恶意软件调查、UEFI Rootkit 检测或嵌入式设备入侵评估等请求场景。

使用 OpenCanary、T-Pot 或 Cowrie 部署和管理网络蜜罐（Honeypot），以检测未授权访问、横向移动和攻击者侦察活动。

响应企业端点的恶意软件感染，识别恶意软件家族、确定感染向量、评估传播范围，并执行根除程序。涵盖从检测到遏制、分析、清除和恢复的完整生命周期。适用于恶意软件响应、恶意软件根除、木马清除、蠕虫遏制、恶意软件分类或受感染端点修复相关请求。

在授权环境中使用 Ettercap、mitmproxy 和 Bettercap 模拟中间人攻击（man-in-the-middle attacks）， 拦截、分析和修改网络流量，以测试加密执行、证书验证和检测能力。

使用 Volatility 3 执行内存取证分析，从事件响应期间采集的 RAM 转储中提取恶意软件执行、进程注入、网络连接和凭据窃取的证据。涵盖内存采集、进程分析、DLL 检查和恶意软件检测。适用于内存取证、RAM 分析、Volatility 框架、内存转储调查、易失性证据分析或实时内存采集相关请求。

在 AWS 环境中执行已授权的权限提升（Privilege Escalation）评估，使用 Pacu、CloudFox、Principal Mapper 和手动 IAM 策略分析技术，识别允许用户或角色提升权限的 IAM 配置错误。

在授权环境中使用 tc、iperf3 和 Scapy 模拟带宽限速（Bandwidth Throttling）和网络降级攻击， 测试服务质量（QoS）控制、应用程序弹性以及网络监控对流量操纵攻击的检测能力。

通过操控文件路径参数，测试 Web 应用程序中允许读取或写入服务器任意文件的路径遍历漏洞。

使用取证镜像、文件系统分析、产物恢复和时间线重建进行磁盘取证调查，以支持事件响应案例。 使用 FTK Imager、Autopsy 和 The Sleuth Kit 等工具进行证据采集、已删除文件恢复和产物检查。 适用于磁盘取证、硬盘分析、取证镜像、文件恢复、证据采集或数字取证调查等请求场景。

执行从 p=none 监控到 p=quarantine 再到 p=reject 执行的分阶段 DMARC 推进，确保所有合法邮件来源在封锁未授权发件人之前完成认证。

在授权侦察期间枚举 DNS 记录、尝试区域传输（Zone Transfer）、暴力枚举子域名， 并绘制 DNS 基础架构图，以识别目标域名中的攻击面、错误配置和信息泄露。

在授权环境中使用 sslstrip、Bettercap 和 mitmproxy 模拟 SSL 剥离（SSL Stripping）攻击， 测试 HSTS 强制执行、证书验证以及保护用户免受加密连接降级攻击的 HTTPS 升级机制。

分析感染主引导记录（MBR）、卷引导记录（VBR）或 UEFI 固件以在操作系统底层获取持久化的 bootkit 和高级 rootkit 恶意软件。 涵盖引导扇区分析、UEFI 模块检查和反 rootkit 检测技术。 适用于 bootkit 分析、MBR 恶意软件调查、UEFI 持久化分析或 OS 前恶意软件检测相关请求。

通过计算 DNS 查询名称的香农熵（Shannon Entropy）、分析查询长度分布、检测 TXT 记录载荷以及 识别高子域名基数，检测 DNS 隧道（DNS Tunneling）攻击。使用 scapy 进行数据包捕获分析， 结合统计方法区分合法 DNS 流量和隐蔽信道。适用于数据泄露猎威场景。

使用 pyMalleableC2 解析 Cobalt Strike 可延展 C2 配置文件，提取 Beacon 配置、HTTP 通信模式以及休眠/抖动设置。结合 JARM TLS 指纹识别在网络上检测 C2 服务器。适用于调查疑似 Cobalt Strike 基础设施或为 C2 流量构建检测签名。

分析嵌入在 Microsoft Office 文档（Word、Excel、PowerPoint）中的恶意 VBA 宏， 识别下载摇篮、载荷执行、持久化机制和反分析技术。 使用 olevba、oledump 和 VBA 去混淆提取攻击链。 适用于 Office 宏分析、VBA 恶意软件调查、恶意文档分析或基于文档的威胁检查相关请求。

使用 peepdf、pdfid 和 pdf-parser 对恶意 PDF 文档进行静态分析， 提取嵌入的 JavaScript、shellcode 和可疑对象。

URLScan.io 是一项用于扫描和分析可疑 URL 的免费服务，可在隔离环境中捕获网页的截图、DOM 内容、HTTP 事务、JavaScript 行为和网络连接。

在 Cuckoo Sandbox 中执行恶意软件样本以观察运行时行为，包括进程创建、文件系统修改、 注册表更改、网络通信和 API 调用。生成全面的行为报告，用于恶意软件分类和 IOC 提取。 适用于动态恶意软件分析、沙箱引爆、行为分析或自动化恶意软件执行相关请求。

使用 Malpedia 平台和 API 研究恶意软件家族关系、追踪变体演化、将家族关联到威胁行为者，并整合 YARA 规则用于跨恶意软件谱系的检测。

使用 Sysinternals Autoruns 系统化识别和分析 Windows 系统上注册表键、计划任务、服务、驱动程序和启动位置中的恶意软件持久化机制。

通过分析 Cuckoo/AnyRun 行为报告中的时序检查、虚拟机工件查询、用户交互检测和睡眠膨胀模式，检测恶意软件样本中的沙箱逃避技术

使用 Volatility 框架分析被攻陷系统的 RAM 内存转储，以识别恶意进程、注入代码、 网络连接、加载模块和提取凭据。支持 Windows、Linux 和 macOS 内存取证。 适用于内存取证、RAM 分析、易失性数据检查、进程注入检测或内存驻留恶意软件调查相关请求。

使用 Wireshark 和 tshark 捕获并分析网络流量，重建网络事件、提取制品并识别恶意通信。

对西门子SIMATIC S7 PLC使用的S7comm和S7CommPlus协议进行安全分析，识别漏洞，包括重放攻击、完整性绕过、未授权的CPU停止命令以及针对S7-300、S7-400、S7-1200和S7-1500控制器弱点的程序下载操控。

遵循 OWASP 移动应用安全测试指南（MASTG）对 iOS 和 Android 移动应用执行渗透测试，识别数据存储、网络通信、认证、密码学和平台专属安全控制中的漏洞。测试人员对应用二进制文件进行静态分析、运行时动态分析和 API 安全测试，以评估完整的移动攻击面。

分析网络流量捕获和流量数据，以识别安全事件期间的攻击者活动，包括命令与控制（C2）通信、横向移动（lateral movement）、数据外泄（exfiltration）和漏洞利用尝试。使用 Wireshark、Zeek 和 NetFlow 分析技术。适用于网络流量分析、数据包捕获调查、PCAP 分析、网络取证、C2 流量检测或数据外泄检测等场景。

分析恶意软件在沙箱执行或实时事件响应期间生成的网络流量， 使用 Wireshark、Zeek 和 Suricata 识别 C2 协议、数据泄露信道、 载荷下载和横向移动模式。适用于恶意软件网络分析、C2 流量解码、 恶意软件 PCAP 分析或基于网络的恶意软件检测相关请求。

使用 Wireshark 和 tshark 捕获并分析网络数据包，识别恶意流量模式、诊断协议问题、提取工件， 并支持对授权网络分段进行事件响应调查。

通过 Microsoft Graph API 解析 Office 365 统一审计日志，检测邮件转发规则创建、收件箱委托、可疑 OAuth 应用授权以及其他账户失陷指标。

安装、配置和调优 Snort 3 入侵检测系统（intrusion detection system），使用自定义和社区规则集、 预处理器和告警输出插件，在授权网络分段上监控网络流量中的恶意活动。

部署和配置 Suricata IDS/IPS，使用 Emerging Threats 规则集、EVE JSON 日志记录和自定义规则， 进行实时网络流量检测（intrusion detection）、威胁检测，并与 SIEM 平台集成实现集中化安全监控。

在授权渗透测试中使用 sqlmap 检测并利用 SQL 注入漏洞以提取数据库内容。

使用 windowsprefetch Python 库解析 Windows Prefetch 文件，重建应用程序执行历史，检测重命名或伪装的二进制文件，并识别可疑的程序执行模式。

提取并分析 Windows 注册表配置单元，以发现用户活动、已安装软件、自启动条目及系统入侵证据。

使用 Checkov、tfsec、Terrascan 和 OPA/Rego 策略，审计 Terraform 基础设施即代码中的安全错误配置， 在云部署前检测过度宽松的 IAM 策略、公开资源暴露、缺失加密和不安全的默认设置。

使用 SOAR 平台、Python 流水线或 TIP Playbook 自动化对原始失陷指标（IOC）进行多源威胁情报上下文富化，以减少分析师分诊时间并标准化富化输出。适用于构建与 SIEM 告警、邮件提交流水线或威胁情报批量 IOC 处理集成的自动化富化工作流时使用。

使用 dd 和 dcfldd 创建取证级逐位磁盘镜像，通过哈希验证保持证据完整性。

使用 ldap3 检测 Active Directory 中危险的 ACL 配置错误，识别 GenericAll、WriteDACL 和 WriteOwner 等滥用路径

使用 apktool 进行反编译、jadx 恢复 Java 源码、androguard 进行权限分析，对 Android APK 恶意软件样本执行静态分析，包括清单检查和可疑 API 调用检测。

解析 API 网关访问日志（AWS API Gateway、Kong、Nginx），检测 BOLA/IDOR 攻击、速率限制绕过、凭据扫描和注入尝试。使用 pandas 进行请求模式的统计分析和异常检测。适用于调查 API 滥用或构建 API 专项威胁检测规则。

使用 MITRE ATT&CK Navigator 分析高级持续性威胁（APT）组织的技术手法，创建对手 TTP 的分层热力图，用于检测差距分析和威胁导向防御。

通过 azure-monitor-query 查询 Azure Monitor 活动日志和登录日志，检测可疑管理操作、不可能的地理旅行（Impossible Travel）、权限提升和资源修改。为 Azure 环境的威胁狩猎构建 KQL 查询。适用于调查可疑的 Azure 租户活动或构建云 SIEM 检测规则。

使用 Hindsight 分析基于 Chromium 的浏览器痕迹，从 Chrome、Edge、Brave 和 Opera 中提取浏览历史、下载记录、Cookie、缓存内容、自动填充数据、已保存密码和浏览器扩展，用于取证调查。

攻击活动溯源归因分析涉及系统性地评估证据，以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH（竞争假设分析）收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹，以构建置信度加权的溯源归因评估。

使用 crt.sh 和 Certstream 监控证书透明度日志，检测钓鱼域名、仿冒证书以及针对您所在组织的未经授权的证书签发行为。

通过分析 CloudTrail Data Events、GCS 审计日志和 Azure Storage Analytics，检测 AWS S3、GCS 和 Azure Blob Storage 中的异常访问模式。识别非工作时间的批量下载、来自新 IP 地址的访问、异常 API 调用（GetObject 峰值）以及使用统计基线和时间序列异常检测的潜在数据外泄行为。

从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置，以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。

检测并利用 Jinja2、Twig、Freemarker 等模板引擎中的服务器端模板注入（SSTI）漏洞，实现远程代码执行。

解析 Kubernetes API server 审计日志（JSON lines 格式），检测 exec 进入 Pod、 Secret 访问、RBAC 修改、特权 Pod 创建以及匿名 API 访问行为。 从审计事件模式构建威胁检测规则。适用于调查 Kubernetes 集群入侵 或构建 k8s 专用 SIEM 检测规则。

解析和分析 Linux auditd 日志，使用 ausearch 和 Python 检测入侵指标， 包括未授权文件访问、权限提升、系统调用异常和可疑进程执行。

分析恶意 Linux ELF（可执行和可链接格式）二进制文件，包括针对 Linux 服务器、容器和云基础设施的僵尸网络、 挖矿程序、勒索软件和 rootkit。涵盖 x86_64 和 ARM ELF 样本的静态分析、动态追踪和逆向工程。 适用于 Linux 恶意软件分析、ELF 二进制文件调查、Linux 服务器被攻陷评估或容器恶意软件分析相关请求。

使用 Volatility3 Linux 插件（check_syscall、lsmod、hidden_modules）分析 Linux 内存转储，结合 rkhunter 系统扫描和 /proc 与 /sys 差异分析，检测 hooked syscall、隐藏内核模块和被篡改的系统结构，以识别内核级 rootkit。

检查 Linux 系统痕迹，包括身份验证日志、定时任务、Shell 历史和系统配置，以发现入侵或未授权活动的证据。

分析 Windows LNK 快捷方式文件和 Jump List 制品，使用 LECmd、JLECmd 以及对 Shell Link 二进制格式的手动解析，以建立文件访问、程序执行和用户活动的证据。

使用 LiME（Linux Memory Extractor）内核模块进行 Linux 内存采集， 并使用 Volatility 3 框架进行分析。从 Linux 内存镜像中提取进程列表、 网络连接、bash 历史、已加载内核模块和注入代码。 适用于对被入侵 Linux 系统执行事件响应（incident response）。

通过检查 MFT 记录条目、$LogFile、$UsnJrnl 和 MFT 松弛空间，使用 MFTECmd、analyzeMFT 和 X-Ways Forensics 分析 NTFS 主文件表（$MFT）以恢复已删除文件的元数据和内容。

检测和分析恶意软件使用的隐蔽通信信道，包括 DNS 隧道、ICMP 数据泄露、HTTP 隐写术和协议滥用，用于 C2 通信和数据泄露。

解析 NetFlow v9 和 IPFIX 记录，检测容量异常（volumetric anomalies）、端口扫描（port scanning）、数据外泄（data exfiltration）和 C2 信标模式（C2 beaconing patterns）。使用 Python netflow 库解码流记录， 构建流量基线，并应用统计分析识别字节数异常、连接时长异常和周期性定时模式的流量。

使用 Scapy 构造、发送、嗅探和解析网络数据包，用于协议分析（protocol analysis）、网络侦察（network reconnaissance）以及在授权安全测试中进行流量异常检测

利用 PHP 宽松比较运算符导致的类型转换漏洞，通过类型强制攻击绕过身份验证、规避哈希验证并操纵应用程序逻辑。

通过 crt.sh 和 pycrtsh 查询证书透明度（Certificate Transparency）日志，检测钓鱼域名、未授权证书签发和影子 IT。使用 Levenshtein 距离监控新签发证书中的仿域名和品牌仿冒行为。适用于主动检测钓鱼域名和证书监控。

使用 dnstwist 生成域名置换变体并识别针对您所在组织已注册的仿冒域名，从而检测域名抢注（Typosquatting）、同形字符钓鱼和品牌冒充域名。

从 Windows 注册表、事件日志和 setupapi 日志调查 USB 设备连接历史，以追踪可移动存储设备的使用情况和潜在的数据外泄行为。

解析 Apache 和 Nginx 访问日志，检测 SQL 注入（SQL Injection）尝试、本地文件包含（Local File Inclusion）、 目录遍历（Directory Traversal）、Web 扫描器指纹及暴力破解（Brute Force）模式。 使用基于正则表达式的模式匹配对照 OWASP 攻击签名、GeoIP 富化进行来源溯源， 以及针对请求频率和响应大小异常值的统计异常检测。

解析并分析 Windows Amcache.hve 注册表配置单元（Registry Hive），提取程序执行证据、文件元数据、 SHA-1 哈希及设备连接历史，用于数字取证（Digital Forensics）和事件响应（Incident Response）调查。

在 Splunk 中分析 Windows Security、System 和 Sysmon 事件日志，使用映射到 MITRE ATT&CK 技术的 SPL 查询检测身份验证攻击、权限提升（Privilege Escalation）、持久化（Persistence）机制和横向移动 （Lateral Movement）。适用于 SOC 分析师调查基于 Windows 的威胁、构建检测查询，或对 Windows 终端和域控制器执行取证时间线分析。

解析 Windows LNK 快捷方式文件，提取目标路径、时间戳、卷信息和机器标识符，用于取证时间线重建。

分析 Windows ShellBag 注册表取证痕迹，使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动，检测对可移动介质和网络共享的访问，并在删除后仍能确认用户与目录的交互行为。

使用 AWS CLI、S3audit 和 Prowler，系统性审计 AWS S3 存储桶权限，识别可公开访问的存储桶、 过度宽松的 ACL、错误配置的存储桶策略和缺失的加密设置，以强制执行最小权限数据访问控制。

审计 Microsoft Entra ID（Azure Active Directory）配置，使用 AzureAD PowerShell、Microsoft Graph API 和 ScoutSuite 识别高风险身份验证策略、过度宽松的角色分配、过期账户、条件访问缺口和来宾用户风险。

本 skill 详细介绍如何使用互联网安全中心（Center for Internet Security）基准对 AWS、Azure 和 GCP 进行云安全审计。 涵盖解读 CIS Foundations Benchmark 控制项、使用 Prowler 和 ScoutSuite 等工具运行自动化评估、 修复未通过的控制项，以及针对 CIS AWS v5、Azure v4 和 GCP v4 维持持续合规监控。

使用 gcloud CLI、Policy Analyzer 和 IAM Recommender，审计 Google Cloud Platform IAM 权限， 识别过度宽松的绑定、原始角色使用、服务账户密钥泛滥和跨项目访问风险。

使用 kubectl、rbac-tool、KubiScan 和 Kubeaudit，审计 Kubernetes 集群 RBAC 配置， 识别过度宽松的角色、通配符权限、危险的 ClusterRoleBindings、服务账户滥用和权限提升路径。

Kubernetes 基于角色的访问控制（RBAC）审计，系统性地审查角色、集群角色、绑定关系及服务账户权限，以识别过度宽松的访问配置、权限提升路径及违反最小权限原则的情况。

执行 DCSync 攻击以复制活动目录（Active Directory）凭据，通过提取 KRBTGT、域管理员和服务账户哈希来建立域持久化，并用于创建黄金票据（Golden Ticket）。

使用开源情报（OSINT）技术执行外部侦察，在不直接与目标系统交互的情况下映射组织的外部攻击面。测试人员从 DNS 记录、证书透明度日志、搜索引擎、社交媒体、代码仓库和数据泄露数据库等公开来源收集信息，以构建全面的目标画像。

规划并执行全范围红队演练，覆盖从侦察到后渗透的完整攻击链，使用符合 MITRE ATT&CK 的战术技术和程序（TTP），以评估组织的检测和响应能力。

执行内部网络渗透测试，模拟内部威胁或后渗透攻击者，以识别企业网络内的横向移动路径、权限提升向量和敏感数据暴露情况。

使用 BloodHound 社区版（Community Edition）进行内部活动目录（Active Directory）侦察，绘制攻击路径图，识别权限提升链，并发现域环境中的错误配置。

加固 LDAP 目录服务以防御常见攻击，包括凭据收集、LDAP 注入、匿名绑定和通道绑定绕过。涵盖 LDAPS 强制执行、通道绑定、LDAP 签名、访问控制列表及 LDAP 攻击监控。

为零信任架构配置微隔离（Microsegmentation），在应用层对工作负载之间实施最小权限访问，防止横向移动，替代传统 VLAN 分段方式。

在企业应用程序、VPN、RDP 和 SSH 访问点部署 Cisco Duo 多因素认证（MFA）。本技能涵盖 Duo 集成方法、自适应认证策略、设备信任评估以及符合 NIST 800-63B AAL2/AAL3 要求的抗钓鱼 MFA 部署。

在托管交换机上设计和实施基于 VLAN（Virtual LAN，虚拟局域网）的网络分段（network segmentation）， 以隔离网络区域、强制执行分段间访问控制，并通过限制企业网络环境中的横向移动（lateral movement）路径 来缩减攻击面（attack surface）。

配置安全的 OAuth 2.0 授权流程，包括带 PKCE 的授权码流、客户端凭据和设备授权授予。本技能涵盖流程选择、PKCE 实施、令牌生命周期管理、范围设计以及符合 OAuth 2.1 安全要求。

配置 pfSense 防火墙规则、NAT 策略、VPN 隧道和流量整形，以强制实施网络分段（network segmentation）、 控制流量，并保护企业及中小型企业环境中的内部网络区域。

部署并配置 Tailscale 作为基于 WireGuard 的零信任网状 VPN，具备身份感知访问控制、ACL 和出口节点，实现安全的点对点连接。

本技能涵盖使用机器学习模型（基于OT网络基线训练）、基于物理过程模型以及工业协议通信行为分析，在工业控制环境中部署异常检测（anomaly detection）系统。内容涉及为SCADA轮询模式构建正常行为基线、检测Modbus/DNP3/OPC UA流量中的偏差、识别未授权设备，以及将网络异常与历史数据服务器的物理过程数据进行关联。

使用用户和实体行为分析（UEBA）分析、统计基线和机器学习模型检测异常认证模式，识别不可能旅行、撞库攻击、暴力破解、密码喷洒和账户被攻陷行为，覆盖所有认证日志来源。 适用于认证异常检测、登录行为分析、UEBA 实施或可疑登录调查等相关请求。

通过监控顺序标识符访问模式和授权失败，检测和防止API枚举攻击，包括BOLA（越权对象访问）和IDOR（不安全的直接对象引用）利用。

使用 ARPWatch、动态 ARP 检测（Dynamic ARP Inspection）、Wireshark 分析和自定义监控脚本检测和防止 ARP 欺骗（ARP spoofing）攻击，防御中间人（man-in-the-middle）拦截。

检测针对OT历史数据服务器（OSIsoft PI、Ignition、Wonderware）的网络攻击，这些服务器位于IT/OT边界，是攻击者在企业网络和控制网络之间进行横向移动的跳板，包括数据篡改、未授权查询以及利用历史数据服务器特定漏洞的攻击。

本技能涵盖检测针对数据采集与监控（SCADA）系统的网络攻击，包括工业协议的中间人攻击、向PLC注入未授权命令、HMI入侵、历史数据操纵以及对控制系统通信的拒绝服务攻击。它利用OT专用入侵检测系统、工业协议异常检测和过程数据分析来识别传统IT安全工具无法发现的攻击。

检测并防止二维码网络钓鱼（Quishing）攻击，该攻击通过在邮件图片中嵌入恶意 URL 来绕过传统邮件安全防护。

在加密开始前检测网络流量中的勒索软件早期指标，包括初始访问经纪人（IAB）活动、 命令与控制（C2）信标、凭据收集、侦察扫描和暂存行为。使用网络检测工具（Zeek、Suricata、Arkime）、 SIEM 关联规则和威胁情报订阅，识别 Cobalt Strike 信标、Mimikatz 网络特征和 RDP 暴力破解等 勒索软件前驱模式。适合涉及勒索软件前驱检测、基于网络的勒索软件指标或早期预警监控的相关请求。

通过分析 Windows 安全事件日志中的失败认证模式（事件 ID 4625）、失败后的成功登录（事件 ID 4624）、NLA 失败以及源 IP 频率分析，检测 RDP 暴力破解攻击。

通过识别隐藏进程、被钩挂的系统调用、被修改的内核结构、隐藏文件和隐蔽网络连接， 检测受攻陷系统上的 Rootkit 存在情况，使用内存取证、交叉视图检测和完整性校验技术。 适用于 Rootkit 检测、隐藏进程发现、内核完整性校验或系统调用钩挂分析等请求场景。

通过分析 CloudTrail S3 数据事件、VPC Flow Logs、GuardDuty 发现、Amazon Macie 告警和 S3 访问模式，检测 AWS S3 存储桶的数据泄露企图，识别未授权的批量下载和跨账户数据传输。

通过检测异常交互式登录、权限提升、横向移动和未授权访问模式，发现服务账户滥用行为。

部署 AWS Security Hub 作为集中式云安全态势管理平台，聚合来自 GuardDuty、Inspector、Macie 和第三方工具的发现结果，启用 CIS AWS Foundations Benchmark 等安全标准，配置自动修复，并构建跨多账户 AWS 组织的合规跟踪执行仪表盘。

鱼叉式网络钓鱼（Spearphishing）使用个性化、经过研究的内容针对特定个人，可绕过通用垃圾邮件过滤器。邮件安全网关（SEG）如 Microsoft Defender for Office 365、Proofpoint、Mimecast 和 Barracuda 提供高级检测能力，包括行为分析、URL 引爆、附件沙箱和冒充检测。本技能涵盖配置这些网关以检测和拦截定向钓鱼攻击。

分析 WAF（Web 应用防火墙，ModSecurity/AWS WAF/Cloudflare）日志，检测 SQL 注入（SQL Injection）攻击活动。 解析 ModSecurity 审计日志和 JSON WAF 事件日志，识别 SQLi 模式（UNION SELECT、OR 1=1、SLEEP()、BENCHMARK()）， 追踪攻击源，关联多阶段注入尝试，并生成带 OWASP 分类的事件报告。

本技能涵盖检测遵循Stuxnet攻击模式的复杂网络物理攻击——在修改PLC逻辑的同时欺骗传感器读数以向操作员隐藏操控行为。内容涉及PLC逻辑完整性监控、基于物理的过程异常检测、工程师工作站入侵指标、USB传播攻击向量，以及从IT到OT横向移动直至过程操控的多阶段攻击链检测。

扫描 GitHub Actions 工作流和 CI/CD 流水线配置，检测供应链攻击（Supply Chain Attack）向量， 包括未固定的 Action 版本、通过表达式的脚本注入、依赖混淆（Dependency Confusion）和密钥泄露。 使用 PyGithub 和 YAML 解析进行自动化审计。适用于加固 CI/CD 流水线或调查被攻击的构建系统。

使用 Microsoft Graph API、审计日志和权限分析，检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意，识别非法同意授权攻击。

检测可疑的 PowerShell 执行模式，包括编码命令、下载器（download cradles）、AMSI 绕过尝试以及受限语言模式规避。

利用 EDR 遥测数据、Sysmon 进程访问监控和 Windows 安全事件关联，检测针对 LSASS 内存、SAM 数据库、NTDS.dit 和缓存凭据的 OS 凭据转储技术。

在授权红队评估中，利用活动目录证书服务（AD CS）的 ESC1 错误配置漏洞，以高权限用户身份申请证书并提升域权限。

BloodHound 是基于图论的活动目录侦察工具，使用图论揭示 AD 环境中隐藏的和意外的关系。红队使用 BloodHound 识别从已控制账户到域管理员等高价值目标的攻击路径。

通过 API 参数、请求头和请求体，测试 API 的注入漏洞，包括 SQL 注入、NoSQL 注入、操作系统命令注入、LDAP 注入和服务端请求伪造（SSRF）。测试人员针对不同的后端技术和注入上下文构造恶意载荷，以提取数据、执行命令或访问内部服务。对应 OWASP API8:2023 安全错误配置和 API7:2023 SSRF。适用于 API 注入测试、API 中的 SQL 注入、NoSQL 注入、SSRF 测试或 API 输入验证评估等请求场景。

在授权实验室环境中分析和模拟 BGP 路由劫持场景，评估路由来源验证、RPKI 部署以及针对互联网路由基础设施前缀劫持和路由泄漏攻击的 BGP 监控防御。

测试 API 的函数级授权破坏（BFLA）漏洞，即普通用户可以通过直接调用来执行管理功能或访问特权 API 端点。测试人员识别管理员和特权端点，然后通过操纵 HTTP 方法、URL 路径和请求参数尝试使用普通用户凭据访问这些端点。对应 OWASP API5:2023 函数级授权破坏。适用于 BFLA 测试、管理员端点绕过、函数级访问控制测试或 API 权限提升等请求场景。

通过识别对过期域名、已停用云资源和失效外部服务的引用，发现并利用断链劫持（Broken Link Hijacking）漏洞，攻击者可申领这些资源。

实施云安全态势管理（CSPM），使用 Prowler、ScoutSuite、AWS Security Hub、Azure Defender 和 GCP Security Command Center 对多云环境中的错误配置、合规违规和安全风险进行持续监控。

利用 noPac 漏洞链（CVE-2021-42278 sAMAccountName 欺骗和 CVE-2021-42287 KDC PAC 混淆），在活动目录环境中从普通域用户提升至域管理员权限。

检测并利用 MongoDB、CouchDB 和其他 NoSQL 数据库中的 NoSQL 注入漏洞，以演示身份验证绕过、数据提取和未授权访问风险。

在安全评估期间识别并利用 OAuth 2.0 和 OpenID Connect 错误配置，包括重定向 URI 操纵、令牌泄漏和授权码窃取。

检测并利用客户端和服务器端应用程序中的 JavaScript 原型链污染漏洞，通过属性注入实现 XSS、RCE 和身份验证绕过。

使用 Turbo Intruder 的单包攻击技术检测并利用 Web 应用程序中的竞态条件漏洞，绕过速率限制、重复交易以及利用检查时间与使用时间（TOCTOU）缺陷。

在授权渗透测试中识别并利用 SSRF 漏洞，访问内部服务、云元数据及受限网络资源。

在授权渗透测试中，使用 Metasploit Framework 识别并利用 SMB 协议漏洞， 演示企业网络中未打补丁的 Windows 系统、错误配置的共享和弱认证带来的风险。

在授权渗透测试中，使用手动技术和 sqlmap 等自动化工具识别并利用 Web 应用程序中的 SQL 注入漏洞。测试人员通过基于错误、基于联合、布尔盲注和时间盲注技术，在所有主要数据库引擎（MySQL、PostgreSQL、MSSQL、Oracle）中检测注入点，以演示数据提取、认证绕过和潜在的远程代码执行。

从 Agent Tesla RAT 样本中提取嵌入的配置信息，包括 SMTP/FTP/Telegram 数据泄露凭据、键盘记录器设置和 C2 端点，使用 .NET 反编译和内存分析技术。

使用 Volatility 和 Mimikatz 从内存转储中提取缓存的凭据、密码哈希、Kerberos 票据和身份验证令牌，用于取证调查。

从恶意软件样本中提取攻陷指标（IoC），包括文件哈希、网络指标（IP、域名、URL）、 主机痕迹（文件路径、注册表键、互斥锁）以及行为模式，用于威胁情报共享和检测规则创建。 适用于 IoC 提取、威胁指标采集、恶意软件指标收集或从样本构建检测内容等请求场景。

使用 Rekall 内存取证框架分析内存转储，检测进程空洞化（process hollowing）、通过 VAD 异常注入的代码、隐藏进程和 rootkit。应用 pslist、psscan、vadinfo、malfind 和 dlllist 等插件从 Windows 内存镜像中提取取证工件。适用于应急响应内存分析场景。

使用 Chainsaw、Hayabusa 和 EvtxECmd 提取、解析和分析 Windows 事件日志（EVTX），以检测横向移动、持久化和权限提升。

生成战略、操作和战术级别的结构化网络威胁情报报告，针对特定受众（包括高管、安全运营团队和技术分析师）量身定制。适用于从原始收集数据生成完成情报产品、创建行业威胁简报，或提供事后情报评估时。适用于涉及 CTI 报告写作、威胁简报、情报产品、完成情报或高管安全报告的请求。

实施 AWS CloudTrail 日志分析，利用 Athena、CloudWatch Logs Insights 和 SIEM 集成进行安全监控、威胁检测和取证调查，识别未授权访问、权限提升和可疑 API 活动。

部署 Aqua Security 的 Trivy 扫描器，在 CI/CD 管道和镜像仓库中检测容器镜像的漏洞、配置错误、敏感信息和许可证问题。

部署 XM Cyber 持续暴露管理平台，映射攻击路径、识别阻塞点（Choke Points），并对威胁关键资产的 2% 高风险暴露点进行优先排序。

实施 AWS Config 规则，对 AWS 资源进行持续合规监控，部署符合 CIS 和 PCI DSS 框架的托管和自定义规则，使用 SSM Automation 配置自动修复，并在多账户之间聚合合规数据。

在 AWS 中配置 IAM 权限边界，使安全团队能够安全地委托开发者创建角色，同时强制执行最大权限限制。

实施 Amazon Macie，利用机器学习和模式匹配自动发现、分类并保护 S3 存储桶中的敏感数据，包括 PII、金融数据和凭据检测。

实施 AWS Security Hub 跨 AWS 账户聚合安全发现结果，启用 CIS AWS Foundations 和 PCI DSS 等合规标准，通过 EventBridge 和 Lambda 配置自动修复，并为组织风险管理创建自定义安全洞察。

配置 Microsoft Entra 特权身份管理（PIM）以强制执行即时角色激活（Just-in-Time）、审批工作流和 Azure AD 特权角色的访问审查。

实施 Microsoft Defender for Cloud，为虚拟机、容器、数据库和存储启用云安全态势管理和工作负载保护，配置安全建议，并通过自动修复设置自适应安全控制。

实施 Google 的 BeyondCorp 零信任访问模型，通过 IAP、Access Context Manager 和 Chrome Enterprise Premium，消除网络边界的隐式信任，强制执行基于身份的访问控制，实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。

使用路由来源授权（ROA）、RPKI-to-Router 协议和 Cisco、Juniper 路由器上的 ROV 策略，实施 BGP 路由来源验证（RPKI），以防止路由劫持。

在身份、设备、网络、应用程序和数据五大支柱上实施 CISA 零信任成熟度模型 v2.0，逐步提升组织零信任成熟度水平。

使用 Amazon Macie、Azure Information Protection 和 Google Cloud DLP API 实施云数据丢失预防（DLP），对云存储、数据库和数据管道中的敏感数据进行发现、分类和保护。

使用 boto3 和 google-cloud API 实施云工作负载保护，对 EC2/GCE 实例进行运行时安全监控、进程异常检测和文件完整性检查。扫描加密货币挖矿程序、反向 Shell 和未授权二进制文件。适用于为云计算工作负载构建运行时安全控制的场景。

本技能涵盖为构建产物实施代码签名，以确保软件供应链中的完整性和真实性。 内容包括使用 GPG、Sigstore 和平台专用签名工具对二进制文件、软件包和容器进行签名， 建立信任链，以及在部署管道中验证签名。

为零信任访问控制配置 Microsoft Entra ID（Azure AD）条件访问策略，涵盖基于信号的策略设计、设备合规要求、基于风险的认证、命名位置、会话控制以及与 NIST SP 1800-35 零信任架构的集成。

按照IEC 62443区域和管道模型实现OT远程访问的安全管道架构，部署跳板服务器、启用MFA的网关、会话录制和基于审批的工作流，在不直接暴露OT网络的情况下控制供应商和工程师对工业控制系统的访问。

通过在 Google distroless 基础镜像上构建应用镜像来减少容器攻击面，这些镜像仅包含应用运行时，没有 shell、包管理器或不必要的 OS 工具。

使用 Calico CNI 网络策略和全局网络策略实施 Kubernetes 网络分段，控制 Pod 间流量、限制出口流量并实现零信任微分段。

部署违规和攻击模拟（BAS）工具，通过安全模拟整个杀伤链中的真实攻击技术，持续验证安全控制有效性。

配置 Cloudflare DDoS 防护，包括托管规则集、速率限制、WAF 规则、Bot 管理和源站保护，以缓解容量型、协议型和应用层攻击。

通过 Thinkst Canary API 部署和监控金丝雀令牌，使用 Web Bug 令牌、DNS 令牌、文档令牌和 AWS 密钥令牌实现基于欺骗的入侵检测。

为特权访问管理（PAM）实施 Delinea Secret Server，包括 密钥库配置、基于角色的访问策略、自动密码轮换、 会话录制，以及与 Active Directory 和云平台的集成。 适用于 PAM 部署、特权凭据保管、 密钥服务器管理或密码轮换自动化相关请求。

在零信任访问控制中实施设备态势评估，将来自 CrowdStrike ZTA、Microsoft Intune 和 Jamf 的端点健康信号集成到条件访问策略中，在授予资源访问权限前强制执行合规性。

使用 Semgrep、Trivy 和 Gitleaks 等工具将安全扫描集成到 CI/CD 流水线中。 涵盖 SAST、SCA、容器扫描和密钥检测，并通过结构化 JSON 输出设置流水线门禁。

菱形入侵分析模型通过审查四个核心特征（对手、能力、基础设施、受害者）提供结构化框架，用于分析网络入侵事件。本技能涵盖以编程方式实现菱形模型，对入侵事件进行分类和关联，构建链接相关事件的活动线程，创建活动攻击图，并从入侵数据中生成可枢纽的情报。

Ed25519 是一种使用 Edwards 曲线 Curve25519 的高性能数字签名算法。它以 64 字节签名和 32 字节密钥提供 128 位安全性，相比 RSA 和 ECDSA 具有显著优势，包括确定性签名（无需随机 nonce）、抗侧信道攻击以及快速验证。

使用 Microsoft BitLocker 在 Windows 端点上实施全盘加密，保护静态数据免受 设备丢失或被盗时未授权访问的威胁。适用于部署加密以满足合规要求、保护移动工作站 或在企业范围内实施数据保护控制的场景。适用于涉及 BitLocker 加密、磁盘加密、 TPM 配置或静态数据保护的请求。

SPF、DKIM 和 DMARC 是邮件认证的三大支柱，共同防止域名伪造、验证消息完整性并定义处理未认证邮件的策略。正确实施可显著减少冒充组织域名的钓鱼攻击。

为OT网络监控部署和配置Dragos平台，利用其600+工业协议解析器、情报驱动的威胁检测分析和资产可见性能力，保护ICS环境免受VOLTZITE、GRAPHITE和BAUXITE等威胁组织的攻击。

邮件沙箱在隔离环境中引爆可疑附件和 URL，以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护（TAP）是业界领先的解决方案，使用多阶段沙箱、URL 重写和预测分析。

通过检查域名的 SPF、DKIM 和 DMARC DNS 记录，审计并验证电子邮件身份验证配置。 使用 dnspython 查询 TXT 记录，验证 SPF 语法和查询次数，核查 DKIM 选择器记录， 解析 DMARC 策略，识别可能导致电子邮件欺骗的错误配置。并生成修复建议。

端对端加密（E2EE）确保只有通信双方能够读取消息，任何中间方（包括服务器）都无法解密。本技能实现 Signal 协议的双棘轮（Double Ratchet）算法简化版本，使用 X25519 进行密钥交换，HKDF 进行密钥派生，AES-256-GCM 进行消息加密。

部署并配置 Wazuh SIEM/XDR 进行终端检测，包括 Agent 管理、自定义解码器和规则 XML 创建、通过 Wazuh REST API 查询告警，以及自动化响应动作。

实施端点数据丢失防护（DLP）控制，检测并防止敏感数据通过电子邮件、USB、 云存储和打印进行泄露。适用于部署 DLP 代理、创建内容检查策略或防止 端点上未授权数据移动的场景。适用于涉及 DLP、数据泄露防护、内容检查 或端点敏感数据保护的请求。

信封加密（Envelope Encryption）是一种用数据加密密钥（DEK）加密数据，再用 AWS KMS 管理的主密钥（KEK）加密 DEK 的策略。该方法允许在本地加密大量数据，同时将主密钥安全保存在 AWS 管理的硬件安全模块（HSM）中。

《通用数据保护条例》（EU）2016/679（GDPR）是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。

集成 FIRST 的漏洞利用预测评分系统（EPSS）API，基于 30 天内真实世界漏洞利用概率对漏洞修复工作进行优先排序。

配置 AIDE（高级入侵检测环境）进行文件完整性监控，包括基线创建、定期完整性检查、变更检测和告警

将 AFL++ 覆盖率引导的模糊测试集成到 CI/CD 管道中，以发现 C/C++ 和编译型应用中的内存损坏、输入处理和逻辑漏洞。

实施 GCP Binary Authorization，强制执行部署时安全控制，确保只有受信任且经过认证的容器镜像才能部署到 Google Kubernetes Engine 和 Cloud Run。

实施 GCP 组织策略约束，在整个资源层次结构中强制执行安全防护栏，限制危险配置并在组织、文件夹和项目级别确保合规性。

实施和审计 GCP VPC 防火墙规则，强制执行网络分段，限制入站和出站流量，在整个组织范围内应用分层防火墙策略，并使用 VPC 流日志监控防火墙规则有效性。

配置 Google Workspace 高级钓鱼和恶意软件保护设置，包括预投递扫描、附件保护、伪造检测和增强安全浏览（Enhanced Safe Browsing）。

为 Google Workspace 配置基于 SAML 2.0 的单点登录（SSO），与第三方身份提供商集成，实现集中认证并强制执行全组织范围的访问策略。

为数据库凭据、AWS IAM 密钥和 PKI 证书实施 HashiCorp Vault 动态密钥引擎， 支持自动生成、租约管理和凭据轮换， 以消除应用程序配置中的静态密钥。 适用于 Vault 密钥引擎配置、动态数据库凭据、 短暂云凭据或自动密钥轮换相关请求。

部署诱饵文件、蜜罐共享和诱骗系统，在最早阶段检测勒索软件活动。配置嵌入 战略文件位置的金丝雀令牌，在勒索软件尝试加密时触发告警；使用模拟高价值 目标的蜜罐网络共享；部署 Thinkst Canary 设备进行全面的基于欺骗的检测。

部署金丝雀令牌（canary tokens）和蜜标（honeytokens），包括伪造的 AWS 凭据、DNS 金丝雀、 文档信标和数据库记录，当攻击者访问时触发告警。使用 Canarytokens API 和自定义 Webhook 集成 实现入侵检测。适用于构建基于欺骗技术的早期预警入侵检测系统的场景。

部署和配置Belden/Hirschmann的Tofino工业防火墙，利用深度包检测（DPI）保护SCADA系统和PLC，支持包括Modbus、EtherNet/IP、OPC和S7comm在内的OT协议，在ICS安全区域之间强制执行精细化访问控制。

使用 RADIUS 认证、PacketFence NAC 和交换机配置实施 802.1X 基于端口的网络访问控制， 以强制执行基于身份的访问策略、态势评估和授权设备的自动 VLAN 分配。

部署 SailPoint IdentityNow 或 IdentityIQ 进行身份治理和管理。涵盖身份生命周期管理、访问请求工作流、认证活动、角色挖掘、职责分离（SOD）策略执行以及企业 IAM 的合规报告。

为零信任架构实现身份验证控制

本技能涵盖按照IEC 62443-3-2为工业自动化和控制系统（IACS）设计和实施安全区域与管道。内容包括基于风险评估的区域划分、分配安全级别目标（SL-T）、设计管道安全控制、通过工业防火墙实施微分段，以及针对Purdue参考模型通过流量分析和渗透测试验证区域架构。

使用 Sigstore Cosign 进行容器镜像来源签名与验证，支持基于 OIDC 的无密钥签名、证明附件及 Kubernetes 准入强制执行。

使用 restic 与 S3 兼容存储及对象锁定实施不可变备份策略，提供抗勒索软件的 数据保护。自动化备份创建、通过 restic check --read-data 进行完整性验证、 快照保留策略执行和还原测试。与 AWS S3 Object Lock、MinIO 和 Backblaze B2 集成，提供防止勒索软件删除或加密备份的 WORM（一次写入多次读取）存储。

本技能涵盖使用 Checkov、tfsec 和 KICS 等工具为基础设施即代码（IaC）模板实施自动化安全扫描。 内容包括在部署前检测 Terraform、CloudFormation、Kubernetes 清单和 Helm charts 中的配置错误， 建立基于策略的治理，以及将 IaC 扫描集成到 CI/CD 管道中以防止不安全的云资源配置。

部署 Mimecast 定向威胁防护，包括 URL Protect、Attachment Protect、Impersonation Protect 和 Internal Email Protect，防御高级钓鱼和鱼叉式钓鱼攻击。

实施 MITRE ATT&CK 覆盖率映射，以识别检测空白、优先排序规则开发，并衡量 SOC 检测成熟度与对手技术的匹配程度。

实施移动应用管理（MAM）策略，通过应用级控制（包括数据防泄漏、选择性擦除、应用配置和容器化） 在托管和非托管移动设备上保护企业数据。适用于保护 BYOD 设备上的企业应用、实施 Intune 应用保护策略，或强制执行个人与工作应用之间的数据隔离。针对 MAM 部署、应用保护策略、 移动容器化或 BYOD 安全请求激活。

使用 Python cryptography 库进行证书生成，使用 ssl 模块进行 TLS 验证， 配置微服务之间的双向 TLS（mTLS）身份验证。验证证书链、检查过期情况， 并审计 mTLS 部署状态。适用于实现零信任服务间身份验证的场景。

本技能涵盖为大型电力系统（BES）网络系统实施北美电力可靠性公司关键基础设施保护（NERC CIP）合规控制措施。内容包括资产分类（CIP-002）、电子安全边界（CIP-005）、系统安全管理（CIP-007）、配置管理（CIP-010）、供应链风险管理（CIP-013），以及2025年更新内容，包括远程访问强制MFA和扩展的低影响资产要求。

部署 Cisco Identity Services Engine，实现 802.1X 有线和无线认证、MAC 认证旁路、态势评估和动态 VLAN 分配以进行网络访问控制。