Network Security

detecting-shadow-it-cloud-usage 可協助從 proxy logs、DNS queries 與 netflow 中辨識未經授權的 SaaS 與 cloud 使用情況。它會對網域進行分類、與核准清單比對，並以 detecting-shadow-it-cloud-usage skill guide 中的結構化證據支援資安稽核工作流程。

detecting-network-anomalies-with-zeek skill 可協助部署 Zeek 進行被動式網路監控、檢視結構化日誌，並建立自訂偵測規則來找出 beaconing、DNS tunneling 與異常協定活動。這個 skill 很適合威脅狩獵、事件回應、可直接供 SIEM 使用的網路中繼資料，以及 Security Audit 工作流程，但不適用於 inline prevention。

detecting-beaconing-patterns-with-zeek 可協助分析 Zeek `conn.log` 的時間間隔，用來偵測 C2 風格的 beaconing。它使用 ZAT，依來源、目的地與埠號分組流量，並透過統計檢查評分低抖動模式。很適合 SOC、威脅狩獵、事件應變，以及在 Security Audit 工作流程中使用 detecting-beaconing-patterns-with-zeek。

configuring-aws-verified-access-for-ztna 技能可協助你設計與設定 AWS Verified Access，透過 Cedar 進行身分與裝置狀態檢查，實現免 VPN 的零信任網路存取。這份 configuring-aws-verified-access-for-ztna 指南適用於存取控管規劃、信任提供者、群組原則與端點設定。

analyzing-ransomware-network-indicators 可協助分析 Zeek conn.log 與 NetFlow，找出 C2 beaconing、TOR 出口、資料外傳，以及可疑 DNS，適用於安全稽核與事件應變。

這個 security 技能可用 AWS 樣板建立 PlantUML 安全架構圖，涵蓋身分驗證、加密、防火牆、合規與威脅偵測。適合用在 IAM 流程、零信任設計、加密管線、Security Audit 圖，以及可直接送審的文件。不適合一般雲端基礎架構或通用 UML 建模。

hunting-advanced-persistent-threats 是一個威脅狩獵技能，用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程，將發現對應到 MITRE ATT&CK，並把威脅情資轉化為可執行的查詢與調查步驟，而不是零散的搜尋。

detecting-port-scanning-with-fail2ban 可協助你設定 Fail2ban 偵測埠掃描、SSH 暴力破解嘗試與偵察行為，接著封鎖可疑 IP，並通知資安團隊。這項技能適合用於 Security Audit 工作流程中的加固與 detecting-port-scanning-with-fail2ban 情境，提供日誌、jail、filter 與安全調校的實用指引。

detecting-arp-poisoning-in-network-traffic 可使用 ARPWatch、Dynamic ARP Inspection、Wireshark 與 Python 檢查，協助在即時流量或 PCAP 中偵測 ARP 欺騙。適合事件應變、SOC 初步分流，以及針對 IP 對 MAC 變更、gratuitous ARPs 與 MITM 指標進行可重複分析。

detecting-lateral-movement-in-network 可協助企業網路在遭入侵後偵測橫向移動，結合 Windows 事件記錄、Zeek 遙測、SMB、RDP 與 SIEM 關聯分析。它特別適合威脅狩獵、事件回應，以及用於 Security Audit 檢視的 detecting-lateral-movement-in-network，並提供實用的偵測工作流程。

detecting-cryptomining-in-cloud 可協助資安團隊透過關聯雲端工作負載中的成本暴增、挖礦連接埠流量、GuardDuty 加密貨幣偵測結果與執行階段程序證據，偵測未經授權的雲端挖礦。可用於分流判斷、偵測工程，以及 Security Audit 工作流程中的 detecting-cryptomining-in-cloud。

detecting-command-and-control-over-dns 是一項資安技能，用來辨識透過 DNS 進行的 C2（指揮與控制），涵蓋隧道傳輸、beaconing、DGA 網域，以及 TXT/CNAME 濫用。它透過熵值檢查、被動 DNS 關聯分析，以及類似 Zeek 或 Suricata 的偵測流程，支援 SOC 分析師、威脅獵捕人員與安全稽核。

detecting-attacks-on-scada-systems 是一項資安技能，專門用來偵測 SCADA 與 OT/ICS 環境中的攻擊。它可協助分析工業通訊協定濫用、未授權的 PLC 指令、HMI 遭入侵、歷史資料伺服器竄改，以及阻斷服務攻擊，並提供事件應變與偵測驗證的實務指引。

configuring-suricata-for-network-monitoring 技能可協助部署與調校 Suricata，用於 IDS/IPS 監控、EVE JSON 記錄、規則管理，以及可直接供 SIEM 使用的輸出。當你在 Security Audit 工作流程中需要實作設定、驗證與降低誤判時，configuring-suricata-for-network-monitoring 特別合適。

configuring-ldap-security-hardening 可協助資安工程師與稽核人員評估 LDAP 風險，包括匿名 bind、弱簽章、缺少 LDAPS，以及 channel binding 的缺口。使用這份 configuring-ldap-security-hardening 指南，先檢視參考文件、執行 Python 稽核輔助工具，並為 Security Audit 產出可落地的修補建議。

building-c2-infrastructure-with-sliver-framework 協助經授權的紅隊與資安稽核工作規劃、安裝並使用以 Sliver 為基礎的 C2 基礎架構，涵蓋 redirectors、HTTPS listeners、operator 存取與韌性檢查。內容包含實用操作指南、workflow 檔案，以及用於部署與驗證的 repo scripts。

analyzing-network-traffic-of-malware 可協助檢視來自沙箱執行或事件應變的 PCAP 與遙測資料，找出 C2、資料外傳、payload 下載、DNS 隧道與偵測靈感。這是一份實用的 analyzing-network-traffic-of-malware 指南，適合 Security Audit 與惡意程式初步分流。

analyzing-command-and-control-communication 可協助分析惡意軟體 C2 流量，辨識 beacon 行為、解碼指令、繪製基礎架構關聯，並以 PCAP 證據與實用工作流程指引，支援 Security Audit、威脅狩獵與惡意軟體初步分流。