Zeek

A skill de detectar anomalias de rede com Zeek ajuda a implantar o Zeek para monitoramento passivo de rede, revisar logs estruturados e criar detecções personalizadas para beaconing, DNS tunneling e atividades incomuns de protocolos. É indicada para threat hunting, resposta a incidentes, metadados de rede prontos para SIEM e fluxos de trabalho de Security Audit — não para prevenção inline.

detecting-modbus-protocol-anomalies ajuda a detectar comportamentos suspeitos em Modbus/TCP e Modbus RTU em redes OT e ICS, incluindo códigos de função inválidos, acesso a registradores fora do intervalo, timing de polling anormal, gravações não autorizadas e frames malformados. É útil para auditoria de segurança e triagem baseada em evidências.

detecting-beaconing-patterns-with-zeek ajuda a analisar intervalos do `conn.log` do Zeek para detectar beaconing no estilo C2. Usa ZAT, agrupa fluxos por origem, destino e porta, e pontua padrões de baixo jitter com verificações estatísticas. É ideal para SOC, threat hunting, resposta a incidentes e fluxos de Security Audit com detecting-beaconing-patterns-with-zeek.

analyzing-ransomware-network-indicators ajuda a analisar `Zeek conn.log` e `NetFlow` para identificar beaconing de C2, saídas TOR, exfiltração e DNS suspeito em auditorias de segurança e resposta a incidentes.

hunting-advanced-persistent-threats é uma skill de caça a ameaças para detectar atividades no estilo APT em telemetria de endpoint, rede e memória. Ela ajuda analistas a criar hunts guiados por hipóteses, mapear descobertas para o MITRE ATT&CK e transformar inteligência de ameaças em consultas práticas e passos de investigação, em vez de buscas ad hoc.

detecting-exfiltration-over-dns-with-zeek ajuda a detectar exfiltração de dados via DNS a partir do `dns.log` do Zeek, identificando subdomínios com alta entropia, labels longos e volume incomum de consultas. Use esta skill de detecting-exfiltration-over-dns-with-zeek para threat hunting, triagem e análise repetível com referências de campos do Zeek e scripts.

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

detecting-lateral-movement-in-network ajuda a detectar movimentação lateral pós-comprometimento em redes corporativas usando logs de eventos do Windows, telemetria do Zeek, SMB, RDP e correlação com SIEM. É útil para threat hunting, resposta a incidentes e revisões de Security Audit com fluxos práticos de detecção.

detecting-dnp3-protocol-anomalies ajuda a analisar tráfego DNP3 em ambientes SCADA para identificar comandos de controle não autorizados, violações de protocolo, tentativas de reinicialização e desvios do comportamento de base. Use esta skill detecting-dnp3-protocol-anomalies para auditoria de segurança, ajuste de IDS e revisão de logs do Zeek ou capturas de pacotes.

detecting-command-and-control-over-dns é uma skill de cibersegurança para identificar C2 sobre DNS, incluindo tunneling, beaconing, domínios DGA e abuso de TXT/CNAME. Ela apoia analistas de SOC, threat hunters e auditorias de segurança com checagem de entropia, correlação com passive DNS e fluxos de detecção no estilo Zeek ou Suricata.