Zeek

Kỹ năng detecting-network-anomalies-with-zeek giúp triển khai Zeek để giám sát mạng ở chế độ thụ động, xem lại các log có cấu trúc và xây dựng các phát hiện tùy chỉnh cho beaconing, DNS tunneling và hoạt động giao thức bất thường. Kỹ năng này phù hợp cho threat hunting, ứng phó sự cố, metadata mạng sẵn sàng cho SIEM và quy trình Security Audit — không phải để ngăn chặn inline.

detecting-modbus-protocol-anomalies giúp phát hiện hành vi đáng ngờ của Modbus/TCP và Modbus RTU trong mạng OT và ICS, bao gồm function code không hợp lệ, truy cập register ngoài phạm vi, thời gian polling bất thường, ghi trái phép và frame bị lỗi định dạng. Hữu ích cho Security Audit và triage dựa trên bằng chứng.

detecting-beaconing-patterns-with-zeek giúp phân tích các khoảng thời gian trong Zeek `conn.log` để phát hiện beaconing kiểu C2. Kỹ năng này dùng ZAT, nhóm các luồng theo nguồn, đích và cổng, rồi chấm điểm các mẫu có độ dao động thấp bằng các kiểm tra thống kê. Phù hợp cho SOC, threat hunting, ứng phó sự cố, và các quy trình Security Audit cần detecting-beaconing-patterns-with-zeek.

analyzing-ransomware-network-indicators giúp phân tích `Zeek conn.log` và `NetFlow` để phát hiện beaconing C2, TOR exit, exfiltration và DNS đáng ngờ cho kiểm toán bảo mật và ứng phó sự cố.

hunting-advanced-persistent-threats là một kỹ năng săn tìm mối đe dọa để phát hiện hoạt động kiểu APT trên telemetry từ endpoint, mạng và bộ nhớ. Kỹ năng này giúp nhà phân tích xây dựng các lượt săn dựa trên giả thuyết, ánh xạ phát hiện với MITRE ATT&CK, và biến threat intel thành các truy vấn cùng bước điều tra thực tế thay vì chỉ tìm kiếm rời rạc, tùy hứng.

detecting-exfiltration-over-dns-with-zeek giúp phát hiện rò rỉ dữ liệu qua DNS từ `dns.log` của Zeek bằng cách gắn cờ các subdomain có entropy cao, nhãn dài và lưu lượng truy vấn bất thường. Hãy dùng skill detecting-exfiltration-over-dns-with-zeek này cho threat hunting, triage và phân tích lặp lại với tham chiếu trường Zeek cùng các script.

analyzing-network-traffic-for-incidents giúp người xử lý sự cố phân tích PCAP, flow log và bản bắt gói để xác nhận C2, di chuyển ngang, exfiltration và các nỗ lực khai thác lỗ hổng. Skill này được xây dựng cho phân tích lưu lượng mạng khi Incident Response, với Wireshark, Zeek và điều tra theo kiểu NetFlow.

detecting-lateral-movement-in-network giúp phát hiện lateral movement sau khi bị xâm nhập trong mạng doanh nghiệp bằng cách sử dụng Windows event logs, Zeek telemetry, SMB, RDP và tương quan SIEM. Skill này hữu ích cho threat hunting, incident response và các đợt Security Audit liên quan đến detecting-lateral-movement-in-network, với quy trình phát hiện thực tiễn, dễ áp dụng.

detecting-dnp3-protocol-anomalies giúp phân tích lưu lượng DNP3 trong môi trường SCADA để phát hiện các lệnh điều khiển trái phép, vi phạm giao thức, nỗ lực khởi động lại và các sai lệch so với hành vi nền. Hãy dùng skill detecting-dnp3-protocol-anomalies cho đánh giá bảo mật, tinh chỉnh IDS, và rà soát log Zeek hoặc gói bắt mạng.

detecting-command-and-control-over-dns là một skill an ninh mạng để phát hiện C2 qua DNS, bao gồm tunneling, beaconing, domain DGA và lạm dụng TXT/CNAME. Skill này hỗ trợ nhà phân tích SOC, threat hunter và kiểm tra an ninh với các kiểm tra entropy, tương quan passive DNS, cùng quy trình phát hiện kiểu Zeek hoặc Suricata.