detection-sigma

Этот навык позволяет проводить масштабную форензику конечных точек и реагирование на инциденты с использованием языка запросов Velociraptor (VQL). Он предназначен для сбора доказательств, охоты на угрозы и выполнения оперативного реагирования на множестве систем. Разработчики могут использовать его для сбора телеметрии, мониторинга событий безопасности и создания пользовательских форензик-артефактов для расследований.

Этот навык позволяет создавать и управлять универсальными, независимыми от вендора правилами обнаружения SIEM с использованием формата Sigma. Он позволяет разработчикам писать правила один раз и конвертировать их для таких платформ, как Splunk, Elastic, QRadar и Sentinel, упрощая процессы охоты за угрозами и обнаружения как кода. Ключевые функции включают сопоставление обнаружений с MITRE ATT&CK и внедрение мониторинга соответствия требованиям.

Этот навык позволяет проводить судебные расследования и охоту на угрозы на основе SQL, запрашивая операционные системы конечных точек как реляционные базы данных через osquery. Он предназначен для быстрого сбора доказательств, реагирования на инциденты и анализа артефактов системы, таких как процессы, сетевые подключения и хэши файлов в Linux, macOS и Windows. Используйте его для оперативной криминалистики, создания детектирующих запросов и поиска индикаторов компрометации во время инцидентов безопасности.

Навык layout-analyzer использует библиотеку surya для обнаружения структурных элементов документа, таких как текстовые блоки, таблицы и порядок чтения, из изображений или PDF-файлов. Разработчикам следует применять его, когда требуется программный анализ сложной компоновки документов для задач обработки или извлечения данных. Он поддерживает обнаружение различных областей, включая заголовки и рисунки, а также определяет правильную последовательность чтения.