Network Monitoring

La skill de detectar anomalías de red con Zeek ayuda a desplegar Zeek para la monitorización pasiva de redes, revisar logs estructurados y crear detecciones personalizadas para beaconing, DNS tunneling y actividad inusual de protocolos. Está pensada para threat hunting, respuesta a incidentes, metadatos de red listos para SIEM y flujos de trabajo de auditoría de seguridad; no para prevención en línea.

detecting-exfiltration-over-dns-with-zeek ayuda a detectar exfiltración de datos por DNS a partir de `dns.log` de Zeek, señalando subdominios con alta entropía, etiquetas largas y volúmenes de consultas inusuales. Usa esta skill de detecting-exfiltration-over-dns-with-zeek para threat hunting, triaje y análisis repetible con referencias de campos de Zeek y scripts.

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

detecting-attacks-on-historian-servers ayuda a detectar actividad sospechosa en servidores historian de OT como OSIsoft PI, Ignition y Wonderware en el límite IT/OT. Usa esta guía de detecting-attacks-on-historian-servers para respuesta a incidentes, consultas no autorizadas, manipulación de datos, abuso de API y triaje de movimiento lateral.

La skill configuring-suricata-for-network-monitoring ayuda a desplegar y ajustar Suricata para monitoreo IDS/IPS, registro EVE JSON, gestión de reglas y salida lista para SIEM. Encaja bien con el flujo de Security Audit cuando necesitas una configuración práctica, validación y reducción de falsos positivos.