Network Monitoring

La skill de détection d’anomalies réseau avec Zeek aide à déployer Zeek pour la surveillance passive du réseau, à examiner des journaux structurés et à créer des détections personnalisées pour le beaconing, le DNS tunneling et les activités de protocoles inhabituelles. Elle convient particulièrement à la chasse aux menaces, à la réponse aux incidents, aux métadonnées réseau prêtes pour un SIEM et aux workflows d’audit de sécurité, mais pas à la prévention en ligne.

detecting-exfiltration-over-dns-with-zeek aide à détecter l’exfiltration de données via DNS à partir de `dns.log` de Zeek, en signalant les sous-domaines à forte entropie, les labels trop longs et les volumes de requêtes inhabituels. Utilisez cette compétence detecting-exfiltration-over-dns-with-zeek pour la chasse aux menaces, le triage et des analyses reproductibles avec des références aux champs Zeek et des scripts.

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

detecting-attacks-on-historian-servers aide à détecter les activités suspectes sur les serveurs historian OT comme OSIsoft PI, Ignition et Wonderware, à la frontière IT/OT. Utilisez ce guide detecting-attacks-on-historian-servers pour la réponse à incident, l’identification de requêtes non autorisées, la détection de manipulation de données, l’abus d’API et le triage des mouvements latéraux.

Le skill configuring-suricata-for-network-monitoring aide à déployer et ajuster Suricata pour la surveillance IDS/IPS, la journalisation EVE JSON, la gestion des règles et un output prêt pour le SIEM. Il convient bien au workflow configuring-suricata-for-network-monitoring pour Security Audit lorsque vous avez besoin d’une configuration pratique, de validations et d’une réduction des faux positifs.