Zeek

detecting-lateral-movement-with-zeek es una habilidad de ciberseguridad basada en Zeek para threat hunting y respuesta a incidentes. Ayuda a detectar acceso a recursos compartidos de administración SMB, creación de servicios DCE/RPC, spray de NTLM, anomalías de Kerberos y transferencias internas sospechosas usando logs de Zeek como conn.log, smb_mapping.log, smb_files.log, dce_rpc.log, ntlm.log y kerberos.log.

La skill de detectar anomalías de red con Zeek ayuda a desplegar Zeek para la monitorización pasiva de redes, revisar logs estructurados y crear detecciones personalizadas para beaconing, DNS tunneling y actividad inusual de protocolos. Está pensada para threat hunting, respuesta a incidentes, metadatos de red listos para SIEM y flujos de trabajo de auditoría de seguridad; no para prevención en línea.

detecting-modbus-protocol-anomalies ayuda a detectar comportamientos sospechosos de Modbus/TCP y Modbus RTU en redes OT e ICS, incluidos códigos de función no válidos, accesos fuera de rango a registros, temporización anómala de sondeo, escrituras no autorizadas y tramas malformadas. Es útil para una auditoría de seguridad y para la priorización basada en evidencias.

detecting-beaconing-patterns-with-zeek ayuda a analizar intervalos de `conn.log` de Zeek para detectar beaconing de estilo C2. Usa ZAT, agrupa flujos por origen, destino y puerto, y puntúa patrones de baja variación con comprobaciones estadísticas. Es ideal para SOC, threat hunting, respuesta a incidentes y flujos de trabajo de auditoría de seguridad con detecting-beaconing-patterns-with-zeek.

analyzing-ransomware-network-indicators ayuda a analizar `conn.log` de Zeek y NetFlow para detectar beaconing de C2, salidas TOR, exfiltración y DNS sospechoso en auditorías de seguridad y respuesta a incidentes.

hunting-advanced-persistent-threats es una skill de threat hunting para detectar actividad de estilo APT en telemetría de endpoint, red y memoria. Ayuda a los analistas a construir búsquedas guiadas por hipótesis, mapear hallazgos a MITRE ATT&CK y convertir la inteligencia de amenazas en consultas prácticas y pasos de investigación, en lugar de búsquedas improvisadas.

detecting-exfiltration-over-dns-with-zeek ayuda a detectar exfiltración de datos por DNS a partir de `dns.log` de Zeek, señalando subdominios con alta entropía, etiquetas largas y volúmenes de consultas inusuales. Usa esta skill de detecting-exfiltration-over-dns-with-zeek para threat hunting, triaje y análisis repetible con referencias de campos de Zeek y scripts.

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

detecting-lateral-movement-in-network ayuda a detectar movimientos laterales posteriores a una intrusión en redes empresariales usando registros de eventos de Windows, telemetría de Zeek, SMB, RDP y correlación en SIEM. Es útil para threat hunting, respuesta a incidentes y revisiones de Security Audit con flujos de detección prácticos.

detecting-dnp3-protocol-anomalies ayuda a analizar tráfico DNP3 en entornos SCADA para detectar comandos de control no autorizados, violaciones del protocolo, intentos de reinicio y desviaciones del comportamiento de referencia. Usa esta skill detecting-dnp3-protocol-anomalies para auditorías de seguridad, ajuste de IDS y revisión de logs de Zeek o capturas de paquetes.

detecting-command-and-control-over-dns es una skill de ciberseguridad para detectar C2 sobre DNS, incluidos tunneling, beaconing, dominios DGA y abuso de TXT/CNAME. Ayuda a analistas SOC, threat hunters y auditorías de seguridad con comprobaciones de entropía, correlación con passive DNS y flujos de detección al estilo Zeek o Suricata.