作者 mukul975
detecting-exfiltration-over-dns-with-zeek 可透過 Zeek 的 dns.log 偵測 DNS 資料外傳,方法包括標記高熵子網域、過長標籤與異常查詢量。這個 detecting-exfiltration-over-dns-with-zeek 技能適合威脅狩獵、初步分流與可重複分析,並附有 Zeek 欄位參考與腳本。
作者 mukul975
detecting-command-and-control-over-dns 是一項資安技能,用來辨識透過 DNS 進行的 C2(指揮與控制),涵蓋隧道傳輸、beaconing、DGA 網域,以及 TXT/CNAME 濫用。它透過熵值檢查、被動 DNS 關聯分析,以及類似 Zeek 或 Suricata 的偵測流程,支援 SOC 分析師、威脅獵捕人員與安全稽核。
作者 mukul975
analyzing-dns-logs-for-exfiltration 可協助 SOC 分析師從 SIEM 或 Zeek 日誌中偵測 DNS 隧道、類 DGA 網域、TXT 濫用與隱蔽的 C2 模式。當你在 Security Audit 流程中需要雜湊/熵分析、查詢量異常偵測與實用的初步排查指引時,這個技能特別適合使用。
