作者 mukul975
detecting-network-anomalies-with-zeek skill 可協助部署 Zeek 進行被動式網路監控、檢視結構化日誌,並建立自訂偵測規則來找出 beaconing、DNS tunneling 與異常協定活動。這個 skill 很適合威脅狩獵、事件回應、可直接供 SIEM 使用的網路中繼資料,以及 Security Audit 工作流程,但不適用於 inline prevention。
作者 mukul975
detecting-exfiltration-over-dns-with-zeek 可透過 Zeek 的 dns.log 偵測 DNS 資料外傳,方法包括標記高熵子網域、過長標籤與異常查詢量。這個 detecting-exfiltration-over-dns-with-zeek 技能適合威脅狩獵、初步分流與可重複分析,並附有 Zeek 欄位參考與腳本。
作者 mukul975
analyzing-network-traffic-for-incidents 可協助事件應變人員分析 PCAP、流量日誌與封包擷取結果,以確認 C2、橫向移動、資料外傳與利用嘗試。此內容專為 Incident Response 的 analyzing-network-traffic-for-incidents 場景設計,搭配 Wireshark、Zeek 與 NetFlow 類型的調查流程。
作者 mukul975
detecting-attacks-on-historian-servers 可協助偵測 IT/OT 邊界上 OT historian 伺服器的可疑活動,例如 OSIsoft PI、Ignition 與 Wonderware。這份 detecting-attacks-on-historian-servers 指南適合用於 Incident Response、未授權查詢、資料竄改、API 濫用,以及橫向移動的初步分流判斷。
作者 mukul975
configuring-suricata-for-network-monitoring 技能可協助部署與調校 Suricata,用於 IDS/IPS 監控、EVE JSON 記錄、規則管理,以及可直接供 SIEM 使用的輸出。當你在 Security Audit 工作流程中需要實作設定、驗證與降低誤判時,configuring-suricata-for-network-monitoring 特別合適。
