Traffic Analysis

detecting-lateral-movement-with-zeek は、Zeek を使った脅威ハンティングとインシデント対応向けのサイバーセキュリティスキルです。conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log、kerberos.log といった Zeek ログを使い、SMB の管理共有アクセス、DCE/RPC のサービス作成、NTLM スプレー、Kerberos の異常、内部での不審な転送などを検知するのに役立ちます。

analyzing-network-traffic-for-incidents は、インシデント対応担当者が PCAP、フローログ、パケットキャプチャを分析し、C2、横展開、持ち出し、不正侵入の試みを確認できるようにするスキルです。Wireshark、Zeek、NetFlow 系の調査を使った Incident Response 向けに設計された analyzing-network-traffic-for-incidents です。