MITRE ATT&CK T1557.001 : Empoisonnement de la résolution de noms et relais SMB

Ce qu'elle fait

Cette compétence package les directives de MITRE ATT&CK T1557.001 dans une capacité prête pour l'agent : elle aide les analystes et les ingénieurs de détection à mapper les preuves à la technique d'empoisonnement de la résolution de noms et de relais SMB, à produire une logique de détection, à créer des plans de hunting et à générer des briefings défensifs. La compétence inclut des métadonnées structurées, des notes de détection et d'atténuation, des modèles pour les rapports et les plans de hunting, ainsi que des scripts d'aide pour générer des briefings.

Quand l'utiliser

Utilisez cette compétence lorsque vous devez : trier une activité potentielle T1557.001 à partir de logs ou d'alertes ; concevoir de la télémétrie et des règles de détection ; planifier une émulation défensive ou une validation en laboratoire autorisée ; ou produire un plan d'atténuation et de réponse aux incidents clair axé sur les préoccupations de relais d'identifiants liées à LLMNR/NBT-NS/mDNS et SMB. Elle est explicitement défensive et évite de fournir des étapes d'exploitation offensive.

Ce qui est inclus

• Scripts : scripts/render_brief.py pour générer un briefing défensif en Markdown. (has_scripts=true)
• Références : references/technique-profile.json, references/detection-and-mitigation.md, references/known-threat-context.md (has_references=true)
• Instructions : le fichier SKILL.md contient un flux de travail pour agent (clarification du périmètre, mapping vers ATT&CK, sorties structurées) ainsi que des modèles pour les briefings de détection, les plans de hunting et les notes d'incidents.

Agents compatibles

Idéalement utilisée avec des agents capables d'exécuter des scripts locaux et de rendre des sorties Markdown (par exemple, Copilot/assistants de code, agents avec accès CLI, ou tout agent avec capacité d'exécution de fichiers/scripts).