Traffic Analysis

detecting-lateral-movement-with-zeek 是一個以 Zeek 為基礎的資安技能，適用於威脅狩獵與事件回應。它可透過 Zeek 日誌（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log、kerberos.log）偵測 SMB 管理員共享存取、DCE/RPC 服務建立、NTLM spray、Kerberos 異常，以及可疑的內網傳輸。

analyzing-network-traffic-for-incidents 可協助事件應變人員分析 PCAP、流量日誌與封包擷取結果，以確認 C2、橫向移動、資料外傳與利用嘗試。此內容專為 Incident Response 的 analyzing-network-traffic-for-incidents 場景設計，搭配 Wireshark、Zeek 與 NetFlow 類型的調查流程。