Network Security

detecting-shadow-it-cloud-usage hilft dabei, nicht autorisierte SaaS- und Cloud-Nutzung anhand von Proxy-Logs, DNS-Queries und Netflow zu erkennen. Es klassifiziert Domains, vergleicht sie mit freigegebenen Listen und unterstützt Security-Audit-Workflows mit strukturierten Belegen aus dem detecting-shadow-it-cloud-usage skill guide.

Die Skill "detecting-network-anomalies-with-zeek" hilft dabei, Zeek für passives Netzwerk-Monitoring bereitzustellen, strukturierte Logs auszuwerten und eigene Erkennungen für Beaconing, DNS-Tunneling und ungewöhnliche Protokollaktivitäten zu entwickeln. Sie eignet sich für Threat Hunting, Incident Response, SIEM-fähige Netzwerkmetadaten und Security-Audit-Workflows – nicht für Inline-Prevention.

detecting-beaconing-patterns-with-zeek hilft dabei, Intervalle in Zeek-`conn.log` zu analysieren, um C2-ähnliches Beaconing zu erkennen. Es nutzt ZAT, gruppiert Verbindungen nach Quelle, Ziel und Port und bewertet Muster mit geringer Jitter-Varianz anhand statistischer Prüfungen. Ideal für SOC, Threat Hunting, Incident Response und die Nutzung von detecting-beaconing-patterns-with-zeek in Security-Audit-Workflows.

Der Skill „configuring-aws-verified-access-for-ztna“ hilft dir dabei, AWS Verified Access für VPN-freien Zero Trust Network Access mit Prüfungen von Identität und Geräte-Posture in Cedar zu entwerfen und zu konfigurieren. Nutze diesen Guide zu configuring-aws-verified-access-for-ztna für die Planung der Zugriffskontrolle, Trust Provider, Gruppenrichtlinien und das Einrichten von Endpunkten.

analyzing-ransomware-network-indicators hilft bei der Analyse von Zeek conn.log und NetFlow, um C2-Beaconing, TOR-Exit-Nodes, Exfiltration und verdächtige DNS-Aktivität für Security Audits und Incident Response zu erkennen.

Das Security-Skill erstellt PlantUML-Sicherheitsarchitekturdiagramme mit AWS-Stencils für Identität, Verschlüsselung, Firewalling, Compliance und Bedrohungserkennung. Es eignet sich für IAM-Flows, Zero-Trust-Designs, Verschlüsselungspipelines, Security-Audit-Diagramme und dokumentationsreife Reviews. Es ist nicht für allgemeine Cloud-Infrastruktur oder generelles UML-Modelling gedacht.

hunting-advanced-persistent-threats ist ein Threat-Hunting-Skill zur Erkennung von APT-typischer Aktivität über Endpoint-, Netzwerk- und Speicher-Telemetrie. Er unterstützt Analysten dabei, hypothesengetriebene Hunts aufzubauen, Funde mit MITRE ATT&CK zu verknüpfen und Threat Intelligence in praxisnahe Queries und Untersuchungsschritte zu übersetzen – statt in ungezielte Ad-hoc-Suchen zu verfallen.

detecting-port-scanning-with-fail2ban hilft dabei, Fail2ban so zu konfigurieren, dass Portscans, SSH-Brute-Force-Versuche und Reconnaissance erkannt werden, verdächtige IPs gesperrt und Security-Teams benachrichtigt werden. Diese Skill passt zum Hardening und zu detecting-port-scanning-with-fail2ban im Rahmen von Security-Audit-Workflows und bietet praxisnahe Hinweise zu Logs, Jails, Filtern und sicherem Tuning.

detecting-arp-poisoning-in-network-traffic hilft dabei, ARP-Spoofing in Live-Traffic oder PCAPs mit ARPWatch, Dynamic ARP Inspection, Wireshark und Python-Prüfungen zu erkennen. Entwickelt für Incident Response, SOC-Triage und wiederholbare Analysen von IP-zu-MAC-Änderungen, gratuitous ARPs und MITM-Indikatoren.

detecting-lateral-movement-in-network hilft dabei, laterale Bewegung nach einer Kompromittierung in Unternehmensnetzwerken zu erkennen – mithilfe von Windows-Ereignisprotokollen, Zeek-Telemetrie, SMB, RDP und SIEM-Korrelation. Das ist nützlich für Threat Hunting, Incident Response und detecting-lateral-movement-in-network im Rahmen von Security-Audit-Prüfungen mit praxisnahen Detection-Workflows.

detecting-cryptomining-in-cloud hilft Security-Teams dabei, unautorisiertes Krypto-Mining in Cloud-Workloads zu erkennen, indem Kostenanstiege, Traffic über Mining-Ports, GuardDuty-Crypto-Funde und Laufzeit-Evidenz aus Prozessen miteinander korreliert werden. Nutzen Sie das Skill für Triage, Detection Engineering und für Workflows im Security Audit rund um detecting-cryptomining-in-cloud.

detecting-command-and-control-over-dns ist eine Cybersecurity-Skill für das Erkennen von C2 über DNS, einschließlich Tunneling, Beaconing, DGA-Domains und Missbrauch von TXT/CNAME. Sie unterstützt SOC-Analysten, Threat Hunter und Security Audits mit Entropieprüfungen, passiver DNS-Korrelation und Erkennungs-Workflows im Stil von Zeek oder Suricata.

detecting-attacks-on-scada-systems ist ein Cybersecurity-Skill zum Erkennen von Angriffen auf SCADA- sowie OT/ICS-Umgebungen. Er unterstützt bei der Analyse von Missbrauch industrieller Protokolle, unautorisierten PLC-Befehlen, HMI-Kompromittierung, Manipulation von Historian-Daten und Denial-of-Service – mit praxisnahen Hinweisen für Incident Response und die Validierung von Detection-Regeln.

Die Skill „configuring-suricata-for-network-monitoring“ unterstützt beim Einrichten und Feinabstimmen von Suricata für IDS/IPS-Monitoring, EVE-JSON-Logging, Regelverwaltung und SIEM-taugliche Ausgaben. Sie eignet sich für den Workflow „configuring-suricata-for-network-monitoring“ im Rahmen eines Security-Audit, wenn praktische Einrichtung, Validierung und die Reduktion von False Positives gefragt sind.

configuring-ldap-security-hardening hilft Security Engineers und Auditoren dabei, LDAP-Risiken zu bewerten – darunter anonyme Bindings, schwache Signierung, fehlendes LDAPS und Lücken beim Channel Binding. Nutze diesen configuring-ldap-security-hardening-Guide, um die Referenzdokumente zu prüfen, den Python-Audit-Helper auszuführen und umsetzbare Maßnahmen für ein Security Audit abzuleiten.

building-c2-infrastructure-with-sliver-framework hilft autorisierten Red-Teaming- und Security-Audit-Teams bei der Planung, Installation und Nutzung von Sliver-basierter C2-Infrastruktur mit Redirectors, HTTPS-Listenern, Operator-Zugriff und Resilienzprüfungen. Enthalten sind ein praktischer Leitfaden, Workflow-Dateien und Repo-Skripte für Deployment und Validierung.

analyzing-network-traffic-of-malware hilft dabei, PCAPs und Telemetrie aus Sandbox-Läufen oder der Incident Response auszuwerten, um C2, Exfiltration, Payload-Downloads, DNS-Tunneling und Ansatzpunkte für Detektionen zu finden. Es ist ein praktischer Leitfaden zu analyzing-network-traffic-of-malware für Security Audits und Malware-Triage.

analyzing-command-and-control-communication hilft dabei, Malware-C2-Traffic zu analysieren, Beaconing zu erkennen, Befehle zu dekodieren, Infrastruktur zuzuordnen und Security Audits, Threat Hunting sowie Malware-Triage mit PCAP-basierten Belegen und praxisnahen Workflow-Hinweisen zu unterstützen.