detecting-lateral-movement-with-zeek

por mukul975

detecting-lateral-movement-with-zeek é uma skill de cibersegurança baseada em Zeek para threat hunting e resposta a incidentes. Ela ajuda a detectar acesso a admin shares via SMB, criação de serviços por DCE/RPC, spray de NTLM, anomalias de Kerberos e transferências internas suspeitas usando logs do Zeek como `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` e `kerberos.log`.

Estrelas6.2k

Favoritos0

Comentários0

Adicionado12 de mai. de 2026

CategoriaThreat Hunting

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-lateral-movement-with-zeek

Pontuação editorial

Esta skill recebe 84/100, o que a coloca como uma boa opção no diretório para quem precisa de detecção de movimento lateral com Zeek. O repositório traz um fluxo real de investigação, tipos de logs bem definidos e scripts Python executáveis, reduzindo bastante a adivinhação em comparação com um prompt genérico. Ainda assim, espere algum trabalho de configuração, porque o caminho de instalação não vem empacotado como uma instalação em um comando e a skill pressupõe que os logs do Zeek já estejam disponíveis.

84/100

Pontos fortes

Fluxo concreto e específico de Zeek: ele cita os logs exatos usados (`conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log`, `kerberos.log`) e os relaciona às técnicas de movimento lateral.
Boa alavancagem para agentes: o repositório inclui scripts executáveis e referências de API/fluxo de trabalho, dando passos acionáveis em vez de apenas texto descritivo.
Bom valor para decisão de instalação: a skill deixa claro quando usá-la e avisa explicitamente que não é um mecanismo de detecção isolado, o que ajuda o usuário a avaliar se ela se encaixa no cenário.

Pontos de atenção

Não há comando de instalação no `SKILL.md`, então os usuários precisam integrar ou executar os scripts manualmente, em vez de contar com um fluxo de instalação empacotado.
Ela depende de dados do Zeek já disponíveis e de visibilidade de rede; a skill, sozinha, não consegue detectar atividade em hosts sem esses logs.

Zeek Network Security Lateral Movement Intrusion Detection Threat Detection Blue Team Network Forensics Traffic Analysis

Visão geral

Visão geral do skill detecting-lateral-movement-with-zeek

detecting-lateral-movement-with-zeek é um skill de cibersegurança baseado em Zeek para identificar movimento lateral interno depois de uma compromissão. Ele ajuda analistas a transformar logs do Zeek em evidências de abuso de SMB, execução remota de serviços, padrões de NTLM spray, anomalias de Kerberos e transferências suspeitas entre hosts. O foco principal não é monitoramento genérico de rede; é detecting-lateral-movement-with-zeek for Threat Hunting quando você já suspeita que um invasor possa estar se movendo dentro do ambiente.

Para que este skill é mais indicado

Use este detecting-lateral-movement-with-zeek skill quando você tiver telemetria do Zeek e precisar de um caminho mais rápido dos logs brutos até achados prontos para triagem. Ele é uma boa escolha para analistas de resposta a incidentes, threat hunters e engenheiros de detecção que querem investigar movimento lateral no Windows pela rede antes de partir para dados de endpoint.

O que ele procura

O fluxo de trabalho gira em torno de evidências do Zeek em conn.log, smb_mapping.log, smb_files.log, dce_rpc.log, ntlm.log e kerberos.log. Isso o torna útil para identificar acesso a shares administrativos, criação de serviços no estilo PsExec, pivôs via RDP e grandes transferências internas que podem indicar staging ou movimentação de ferramentas.

Por que ele é diferente

Este skill é mais operacional do que um prompt comum porque já vem com scripts, fluxos de referência e mapeamentos de campos de log. Isso reduz a incerteza quando você precisa descobrir qual arquivo do Zeek importa, quais campos inspecionar e quais comportamentos valem escalonamento.

Como usar o skill detecting-lateral-movement-with-zeek

Instale e se localize

Para detecting-lateral-movement-with-zeek install, adicione o skill com o comando de instalação específico do repositório mostrado na fonte e, em seguida, abra primeiro SKILL.md. Depois disso, leia references/workflows.md para entender a sequência de detecção, references/api-reference.md para os campos de log do Zeek e exemplos de CLI, e assets/template.md para a estrutura de triagem. Se quiser a lógica executável, inspecione scripts/agent.py e scripts/process.py.

Passe os insumos certos para o skill

O melhor detecting-lateral-movement-with-zeek usage começa com um recorte de incidente bem definido: host suspeito, janela de tempo, ranges da rede interna e qualquer alerta inicial ou indício de comprometimento. Prompts fortes mencionam o conjunto de logs que você realmente tem, como conn.log junto com smb_mapping.log, e o comportamento que você quer confirmar, como “identificar acesso a share administrativo SMB de uma estação para vários pares entre 13:00 e 14:00”.

Transforme um objetivo vago em um prompt útil

Fraco: “Ache movimento lateral nos logs do Zeek.”

Mais forte: “Usando detecting-lateral-movement-with-zeek, revise conn.log, smb_mapping.log e dce_rpc.log para um host interno de origem que acessou shares ADMIN$, criou um serviço remoto e fez conexões incomuns em 445/135 nas últimas 2 horas. Retorne táticas prováveis, campos do Zeek que sustentam a análise e prioridades de triagem.”

Esse formato funciona melhor porque entrega ao skill o escopo dos logs, a janela de tempo e o comportamento do adversário que ele deve testar.

Leia os arquivos nesta ordem

Comece com SKILL.md para entender a intenção, depois references/workflows.md para a sequência de detecção, references/standards.md para o mapeamento com ATT&CK e references/api-reference.md para nomes de campos e portas suportadas. Se for adaptar a lógica, verifique scripts/process.py antes de mexer em qualquer outra coisa, porque ele mostra como o skill separa shares administrativos, anomalias de conn, checagens de NTLM e análise de DCE/RPC.

FAQ do skill detecting-lateral-movement-with-zeek

Isso é só para quem usa Zeek?

Sim, o detecting-lateral-movement-with-zeek guide pressupõe que os logs do Zeek estejam disponíveis. Se você não tiver Zeek em um caminho de span, tap ou sensor que enxergue o tráfego interno east-west, este skill será muito menos útil.

Posso usar sem dados de endpoint?

Pode, mas com limites. O skill é mais forte para suspeita em nível de rede e pivôs de hunting; não deve ser tratado como prova de comprometimento por si só. Se você tiver EDR, logs do Windows ou dados de firewall, combine tudo para confirmar o contexto do host e do usuário.

Ele é amigável para iniciantes?

É amigável para analistas que conseguem reconhecer padrões básicos de tráfego Windows, mas não para quem espera que o skill explique todos os conceitos do zero. A configuração mais útil é uma pergunta de hunting pequena e concreta, com um pacote de logs conhecido.

Quando não devo usá-lo?

Não use detecting-lateral-movement-with-zeek para lacunas de visibilidade apenas em tráfego criptografado, movimento lateral fora de Windows ou casos em que você só precisa de detecção genérica no estilo IDS de perímetro. Ele também não é ideal se você precisa de hunting genérico pontual sem evidência de campo do Zeek.

Como melhorar o skill detecting-lateral-movement-with-zeek

Faça perguntas de hunting mais estreitas

Os melhores resultados vêm de uma única tática ou de uma cadeia curta, e não de “analisar tudo”. Peça uma de cada vez: shares administrativos SMB, criação de serviço via DCE/RPC, NTLM spray, anomalias de Kerberos ou transferências internas suspeitas. Isso mantém a saída ligada a uma hipótese defensável, em vez de uma narrativa ampla.

Inclua os campos que importam

Quando tiver os logs brutos, informe timestamps, IPs de origem e destino, portas, usernames, caminhos de share, endpoints e códigos de erro. Esses detalhes ajudam o skill a distinguir atividade administrativa rotineira de movimento lateral e evitam falsos positivos causados por descrições vagas como “vimos muito SMB”.

Valide contra o seu ambiente

A maior falha do detecting-lateral-movement-with-zeek é tratar comportamento administrativo normal como malicioso. Melhore a qualidade da saída dizendo ao skill quais são as sub-redes de administração conhecidas, sistemas de backup, jump hosts e janelas de manutenção. Esse contexto muda se um acesso a C$ ou uma chamada de serviço remoto é suspeito.

Itere da suspeita para a evidência

Use a primeira passada para identificar hosts de origem prováveis e hipóteses de técnica, depois rode novamente com um recorte mais apertado de logs e uma janela menor. Se a primeira saída apontar NTLM spraying, o próximo prompt deve pedir os usernames exatos, a diversidade de origens e o padrão temporal, para que você consiga decidir se a atividade é brute force, falha de configuração ou tráfego de ataque.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-t1003-credential-dumping-with-edr

por mukul975

Skill detecting-t1003-credential-dumping-with-edr para threat hunting com EDR, Sysmon e correlação de eventos do Windows para detectar despejo de credenciais em LSASS, SAM, NTDS.dit, segredos do LSA e credenciais em cache. Use para validar alertas, delimitar incidentes e reduzir falsos positivos com orientação prática de fluxo de trabalho.

Threat Hunting

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ajuda a caçar process hollowing (T1055.012) em telemetria do Windows correlacionando execuções suspensas, adulteração de memória, anomalias entre processo pai e filho e evidências de API. Feita para threat hunters, detection engineers e responders que precisam de um detecting-process-hollowing-technique prático para o fluxo de trabalho de Threat Hunting.

Threat Hunting

Favoritos 0GitHub 0

analyzing-cobaltstrike-malleable-c2-profiles

por mukul975

analyzing-cobaltstrike-malleable-c2-profiles ajuda a analisar perfis Malleable C2 do Cobalt Strike, convertendo-os em indicadores de C2, traços de evasão e ideias de detecção para fluxos de análise de malware, threat hunting e auditoria de segurança. Usa `dissect.cobaltstrike` e `pyMalleableC2` para análise de perfis e da configuração do beacon.

Security Audit

Favoritos 0GitHub 6.2k

detecting-rdp-brute-force-attacks

por mukul975

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

O exploitng-kerberoasting-with-impacket ajuda testadores autorizados a planejar Kerberoasting com o `GetUserSPNs.py` do Impacket, desde a enumeração de SPNs até a extração de tickets TGS, crack offline e relatórios com foco em detecção. Use este guia de exploiting-kerberoasting-with-impacket para fluxos de teste de intrusão com contexto claro de instalação e uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

A skill detecting-shadow-it-cloud-usage ajuda a identificar uso não autorizado de SaaS e serviços de cloud a partir de logs de proxy, consultas DNS e netflow. Ela classifica domínios, compara com listas aprovadas e dá suporte a fluxos de auditoria de segurança com evidências estruturadas, conforme o guia da skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k