Zeek

detecting-network-anomalies-with-zeek skill 可協助部署 Zeek 進行被動式網路監控、檢視結構化日誌，並建立自訂偵測規則來找出 beaconing、DNS tunneling 與異常協定活動。這個 skill 很適合威脅狩獵、事件回應、可直接供 SIEM 使用的網路中繼資料，以及 Security Audit 工作流程，但不適用於 inline prevention。

detecting-modbus-protocol-anomalies 可協助偵測 OT 與 ICS 網路中的可疑 Modbus/TCP 與 Modbus RTU 行為，包括無效的功能碼、超出範圍的暫存器存取、異常輪詢時序、未授權寫入，以及格式異常的封包。適合用於資安稽核與以證據為基礎的初步判讀。

detecting-beaconing-patterns-with-zeek 可協助分析 Zeek `conn.log` 的時間間隔，用來偵測 C2 風格的 beaconing。它使用 ZAT，依來源、目的地與埠號分組流量，並透過統計檢查評分低抖動模式。很適合 SOC、威脅狩獵、事件應變，以及在 Security Audit 工作流程中使用 detecting-beaconing-patterns-with-zeek。

analyzing-ransomware-network-indicators 可協助分析 Zeek conn.log 與 NetFlow，找出 C2 beaconing、TOR 出口、資料外傳，以及可疑 DNS，適用於安全稽核與事件應變。

hunting-advanced-persistent-threats 是一個威脅狩獵技能，用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程，將發現對應到 MITRE ATT&CK，並把威脅情資轉化為可執行的查詢與調查步驟，而不是零散的搜尋。

detecting-exfiltration-over-dns-with-zeek 可透過 Zeek 的 dns.log 偵測 DNS 資料外傳，方法包括標記高熵子網域、過長標籤與異常查詢量。這個 detecting-exfiltration-over-dns-with-zeek 技能適合威脅狩獵、初步分流與可重複分析，並附有 Zeek 欄位參考與腳本。

analyzing-network-traffic-for-incidents 可協助事件應變人員分析 PCAP、流量日誌與封包擷取結果，以確認 C2、橫向移動、資料外傳與利用嘗試。此內容專為 Incident Response 的 analyzing-network-traffic-for-incidents 場景設計，搭配 Wireshark、Zeek 與 NetFlow 類型的調查流程。

detecting-lateral-movement-in-network 可協助企業網路在遭入侵後偵測橫向移動，結合 Windows 事件記錄、Zeek 遙測、SMB、RDP 與 SIEM 關聯分析。它特別適合威脅狩獵、事件回應，以及用於 Security Audit 檢視的 detecting-lateral-movement-in-network，並提供實用的偵測工作流程。

detecting-dnp3-protocol-anomalies 可協助分析 SCADA 環境中的 DNP3 流量，找出未經授權的控制命令、協定違規、重新啟動嘗試，以及偏離基準行為的異常。若你要進行資安稽核、IDS 調校，或檢視 Zeek 日誌與封包擷取，這個 detecting-dnp3-protocol-anomalies 技能會很實用。

detecting-command-and-control-over-dns 是一項資安技能，用來辨識透過 DNS 進行的 C2（指揮與控制），涵蓋隧道傳輸、beaconing、DGA 網域，以及 TXT/CNAME 濫用。它透過熵值檢查、被動 DNS 關聯分析，以及類似 Zeek 或 Suricata 的偵測流程，支援 SOC 分析師、威脅獵捕人員與安全稽核。