Dns

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

detecting-exfiltration-over-dns-with-zeek aide à détecter l’exfiltration de données via DNS à partir de `dns.log` de Zeek, en signalant les sous-domaines à forte entropie, les labels trop longs et les volumes de requêtes inhabituels. Utilisez cette compétence detecting-exfiltration-over-dns-with-zeek pour la chasse aux menaces, le triage et des analyses reproductibles avec des références aux champs Zeek et des scripts.

detecting-command-and-control-over-dns est un skill de cybersécurité dédié à la détection du command-and-control (C2) via DNS, notamment les tunnels DNS, les beaconing, les domaines DGA et les abus de TXT/CNAME. Il aide les analystes SOC, les threat hunters et les équipes d’audit sécurité grâce à des contrôles d’entropie, à la corrélation avec le DNS passif et à des workflows de détection de type Zeek ou Suricata.

Skill conducting-external-reconnaissance-with-osint pour le footprinting externe passif, la cartographie de la surface d’attaque et la préparation d’un audit de sécurité à partir de sources publiques comme DNS, crt.sh, Shodan, GitHub et des données de fuite. Conçu pour une reconnaissance autorisée, avec un contrôle clair du périmètre, une séparation des sources et des résultats concrets.

Le skill analyzing-network-traffic-of-malware aide à examiner des PCAP et la télémétrie issus d’exécutions en sandbox ou d’interventions de réponse à incident afin d’identifier le C2, l’exfiltration, les téléchargements de payload, le DNS tunneling et des pistes de détection. C’est un guide pratique d’analyse du trafic réseau de malware pour l’audit de sécurité et le triage malware.

analyzing-dns-logs-for-exfiltration aide les analystes SOC à détecter le DNS tunneling, les domaines de type DGA, l’abus des enregistrements TXT et les schémas C2 furtifs à partir de journaux SIEM ou Zeek. À utiliser pour des workflows d’audit de sécurité lorsque vous avez besoin d’une analyse d’entropie, de détection d’anomalies de volume de requêtes et de conseils pratiques de triage.