Zeek

La skill de détection d’anomalies réseau avec Zeek aide à déployer Zeek pour la surveillance passive du réseau, à examiner des journaux structurés et à créer des détections personnalisées pour le beaconing, le DNS tunneling et les activités de protocoles inhabituelles. Elle convient particulièrement à la chasse aux menaces, à la réponse aux incidents, aux métadonnées réseau prêtes pour un SIEM et aux workflows d’audit de sécurité, mais pas à la prévention en ligne.

detecting-modbus-protocol-anomalies aide à détecter les comportements suspects Modbus/TCP et Modbus RTU dans les réseaux OT et ICS, notamment les codes de fonction invalides, les accès aux registres hors plage, les cadences d’interrogation anormales, les écritures non autorisées et les trames malformées. Utile pour un audit de sécurité et un triage fondé sur des preuves.

detecting-beaconing-patterns-with-zeek aide à analyser les intervalles du fichier `conn.log` de Zeek pour détecter un beaconing de type C2. Le skill s’appuie sur ZAT, regroupe les flux par source, destination et port, puis attribue un score aux motifs à faible gigue à l’aide de contrôles statistiques. Il est particulièrement adapté aux équipes SOC, au threat hunting, à la réponse à incident et aux workflows d’audit de sécurité impliquant detecting-beaconing-patterns-with-zeek.

analyzing-ransomware-network-indicators aide à analyser `Zeek conn.log` et `NetFlow` pour repérer le beaconing C2, les sorties TOR, l’exfiltration et les DNS suspects dans le cadre d’un audit de sécurité ou d’une réponse à incident.

hunting-advanced-persistent-threats est une skill de chasse aux menaces conçue pour détecter des activités de type APT sur les télémétries endpoint, réseau et mémoire. Elle aide les analystes à bâtir des chasses fondées sur des hypothèses, à relier les résultats à MITRE ATT&CK, et à transformer la veille sur les menaces en requêtes exploitables et en étapes d’investigation concrètes, plutôt qu’en recherches ponctuelles.

detecting-exfiltration-over-dns-with-zeek aide à détecter l’exfiltration de données via DNS à partir de `dns.log` de Zeek, en signalant les sous-domaines à forte entropie, les labels trop longs et les volumes de requêtes inhabituels. Utilisez cette compétence detecting-exfiltration-over-dns-with-zeek pour la chasse aux menaces, le triage et des analyses reproductibles avec des références aux champs Zeek et des scripts.

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

detecting-lateral-movement-in-network aide à détecter les déplacements latéraux après compromission dans les réseaux d’entreprise, à partir des journaux d’événements Windows, des télémétries Zeek, de SMB, de RDP et de la corrélation SIEM. Il est utile pour la chasse aux menaces, la réponse à incident et les revues d’audit de sécurité, avec des workflows de détection concrets pour detecting-lateral-movement-in-network.

detecting-dnp3-protocol-anomalies aide à analyser le trafic DNP3 dans les environnements SCADA afin de repérer les commandes de contrôle non autorisées, les violations du protocole, les tentatives de redémarrage et les écarts par rapport au comportement de référence. Utilisez ce skill detecting-dnp3-protocol-anomalies pour les audits de sécurité, le réglage d’IDS et la revue de logs Zeek ou de captures de paquets.

detecting-command-and-control-over-dns est un skill de cybersécurité dédié à la détection du command-and-control (C2) via DNS, notamment les tunnels DNS, les beaconing, les domaines DGA et les abus de TXT/CNAME. Il aide les analystes SOC, les threat hunters et les équipes d’audit sécurité grâce à des contrôles d’entropie, à la corrélation avec le DNS passif et à des workflows de détection de type Zeek ou Suricata.