Zeek

detecting-network-anomalies-with-zeek skill은 Zeek를 활용해 수동 네트워크 모니터링을 배포하고, 구조화된 로그를 검토하며, 비콘 통신, DNS 터널링, 비정상적인 프로토콜 활동을 위한 맞춤 탐지를 구축하는 데 도움을 줍니다. 위협 헌팅, 사고 대응, SIEM 연동용 네트워크 메타데이터, Security Audit 워크플로에 적합하며, 인라인 차단용은 아닙니다.

detecting-modbus-protocol-anomalies는 OT 및 ICS 네트워크에서 Modbus/TCP와 Modbus RTU의 의심스러운 동작을 탐지하는 데 도움을 줍니다. 여기에는 잘못된 함수 코드, 범위를 벗어난 레지스터 접근, 비정상적인 폴링 주기, 무단 쓰기, 비정상 프레임이 포함됩니다. 보안 감사와 증거 기반 트리아지에 유용합니다.

detecting-beaconing-patterns-with-zeek은 Zeek `conn.log`의 간격을 분석해 C2형 비컨ing을 탐지하는 데 도움을 줍니다. ZAT를 사용해 흐름을 출발지, 목적지, 포트별로 그룹화하고, 통계적 검증을 통해 지터가 낮은 패턴에 점수를 매깁니다. SOC, 위협 헌팅, 사고 대응, 그리고 Security Audit 워크플로에서 detecting-beaconing-patterns-with-zeek를 활용하려는 경우에 적합합니다.

analyzing-ransomware-network-indicators는 Zeek conn.log와 NetFlow를 분석해 C2 비콘 통신, TOR 종료 노드, 데이터 유출, 수상한 DNS를 찾아 Security Audit와 사고 대응을 지원합니다.

hunting-advanced-persistent-threats는 엔드포인트, 네트워크, 메모리 텔레메트리 전반에서 APT 유형의 활동을 탐지하기 위한 위협 헌팅 기술입니다. 분석가가 가설 기반 헌트를 설계하고, 결과를 MITRE ATT&CK에 매핑하며, 위협 인텔을 즉흥적인 검색이 아닌 실무형 쿼리와 조사 단계로 전환하도록 돕습니다.

detecting-exfiltration-over-dns-with-zeek는 Zeek `dns.log`에서 엔트로피가 높은 서브도메인, 긴 레이블, 비정상적인 쿼리량을 감지해 DNS 데이터 유출을 찾는 데 도움을 줍니다. 이 detecting-exfiltration-over-dns-with-zeek 스킬은 Zeek 필드 참고와 스크립트를 활용해 위협 헌팅, 트리아지, 반복 가능한 분석에 적합합니다.

analyzing-network-traffic-for-incidents는 사고 대응 담당자가 PCAP, 플로우 로그, 패킷 캡처를 분석해 C2, 측면 이동, 유출, 침투 시도를 확인하도록 돕습니다. Wireshark, Zeek, NetFlow 스타일 조사에 맞춰 설계된 analyzing-network-traffic-for-incidents 기반 Incident Response 분석용 도구입니다.

detecting-lateral-movement-in-network는 Windows 이벤트 로그, Zeek 텔레메트리, SMB, RDP, SIEM 상관분석을 활용해 침해 이후 기업 네트워크에서의 측면 이동을 탐지하는 데 도움이 됩니다. 위협 헌팅, 사고 대응, Security Audit 검토를 위한 detecting-lateral-movement-in-network에 유용하며, 실무적인 탐지 워크플로를 제공합니다.

detecting-dnp3-protocol-anomalies는 SCADA 환경의 DNP3 트래픽을 분석해 비인가 제어 명령, 프로토콜 위반, 재시작 시도, 기준 동작과의 편차를 식별하는 데 도움이 됩니다. 보안 감사, IDS 튜닝, Zeek 로그나 패킷 캡처 검토에 이 detecting-dnp3-protocol-anomalies skill을 사용하세요.

detecting-command-and-control-over-dns는 DNS를 통한 C2를 포착하기 위한 사이버 보안 skill로, 터널링, 비콘 통신, DGA 도메인, TXT/CNAME 악용을 포함합니다. 엔트로피 점검, 패시브 DNS 상관분석, Zeek 또는 Suricata 스타일의 탐지 워크플로를 통해 SOC 분석가, 위협 헌터, 보안 감사 업무를 지원합니다.