detecting-lateral-movement-with-zeek
作者 mukul975detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能,适用于威胁狩猎和事件响应。它可借助 Zeek 日志(如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log)来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。
该技能得分 84/100,说明它是一个适合需要基于 Zeek 进行横向移动检测的用户的可靠目录条目。仓库提供了真实的调查流程、明确的日志类型以及可运行的 Python 脚本,因此代理执行时比通用提示更少猜测。不过,用户仍需做好一定的部署准备,因为它不是一键式安装包,而且默认假设 Zeek 日志已经可用。
- 流程具体且贴合 Zeek:明确列出了使用的日志(conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log、kerberos.log),并将它们对应到横向移动技术。
- 对代理很友好:仓库包含可执行脚本以及 API/工作流引用,能给代理提供可操作的步骤,而不只是说明性文字。
- 安装决策价值高:该技能说明了适用场景,并明确提示它不是独立的检测机制,有助于用户判断是否匹配需求。
- SKILL.md 中没有安装命令,因此用户需要手动集成或运行这些脚本,不能依赖现成的安装流程。
- 它依赖已经存在的 Zeek 数据以及网络可见性;如果没有这些日志,技能本身无法直接检测主机侧活动。
detecting-lateral-movement-with-zeek 技能概览
detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能,用于在入侵后发现内部横向移动迹象。它可以帮助分析师把 Zeek 日志转化为可用于证据判断的线索,识别 SMB 滥用、远程服务执行、NTLM 扫描式尝试、Kerberos 异常以及可疑的主机间传输。它的核心用途不是泛泛的网络监控;而是在你已经怀疑攻击者正在环境内部横向移动时,使用 detecting-lateral-movement-with-zeek for Threat Hunting 来做威胁狩猎。
这个技能最适合什么场景
当你已经有 Zeek 遥测数据,并且需要更快地从原始日志走到可供分诊的发现时,使用这个 detecting-lateral-movement-with-zeek skill。它非常适合事件响应人员、威胁猎手和检测工程师,尤其是在跳到终端数据之前,先从网络侧调查 Windows 横向移动行为的场景。
它会重点看什么
这套工作流围绕 Zeek 证据展开,主要查看 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log。因此,它很适合发现管理共享访问、类似 PsExec 的服务创建、RDP 跳转,以及大量内部传输——这些行为都可能意味着落地、暂存或工具分发。
它为什么不一样
这个技能比普通提示词更偏操作化,因为它附带脚本、参考工作流和日志字段映射。这样一来,当你需要判断该看哪一个 Zeek 文件、应该检查哪些字段、哪些行为值得升级处理时,就能少走很多弯路。
如何使用 detecting-lateral-movement-with-zeek 技能
安装并先熟悉结构
执行 detecting-lateral-movement-with-zeek install 时,先使用源文档中给出的、针对该 repo 的安装命令添加技能,然后第一时间打开 SKILL.md。接着阅读 references/workflows.md,理解检测路径;查看 references/api-reference.md,掌握 Zeek 日志字段和 CLI 示例;再看 assets/template.md,了解分诊结构。如果你想看可执行逻辑,重点检查 scripts/agent.py 和 scripts/process.py。
给技能提供正确输入
最有效的 detecting-lateral-movement-with-zeek usage 通常从一个边界清晰的事件框架开始:可疑主机、时间窗口、内部网段,以及任何初始告警或入侵线索。高质量提示词应明确写出你手头实际拥有的日志集合,例如 conn.log 加 smb_mapping.log,以及你想确认的行为,比如“识别 13:00 到 14:00 之间,一台工作站向多台同网段主机访问 SMB 管理共享的行为”。
把模糊目标改写成可用提示词
弱提示:“Find lateral movement in Zeek logs.”
更强提示:“Using detecting-lateral-movement-with-zeek, review conn.log, smb_mapping.log, and dce_rpc.log for one internal source host that accessed ADMIN$ shares, created a remote service, and made unusual 445/135 connections in the last 2 hours. Return likely tactics, supporting Zeek fields, and triage priorities.”
这种写法更有效,因为它把日志范围、时间范围和对手行为都交代清楚了,技能才能据此去验证。
按这个顺序阅读文件
先看 SKILL.md 理解目标,再看 references/workflows.md 了解检测顺序,接着看 references/standards.md 了解 ATT&CK 映射,最后看 references/api-reference.md 获取字段名和支持的端口。如果你要改动逻辑,先检查 scripts/process.py,再进行其他修改,因为它展示了这个技能如何区分管理共享、conn 异常、NTLM 检查和 DCE/RPC 分析。
detecting-lateral-movement-with-zeek 技能 FAQ
这只适用于 Zeek 用户吗?
是的,detecting-lateral-movement-with-zeek guide 默认假设你已经有 Zeek 日志。如果你的网络中没有经过 span、tap 或传感器路径、无法看到内部东西向流量的数据,这个技能的价值会大打折扣。
没有终端数据也能用吗?
可以,但有局限。这个技能最擅长的是网络层面的可疑行为分析和狩猎切入点;不能把它本身当作已被攻陷的证明。如果你有 EDR、Windows 事件日志或防火墙数据,最好结合起来确认主机和用户上下文。
对新手友好吗?
对能识别基础 Windows 流量模式的分析师来说比较友好,但不适合指望它从头解释每个概念的人。最理想的使用方式,是带着一个小而明确的狩猎问题和一组已知日志来用它。
什么情况下不该用它?
如果你面对的是仅能看到加密流量的盲区、非 Windows 的横向移动,或者你只是想做边界 IDS 式检测,就不要用 detecting-lateral-movement-with-zeek。如果你需要的是一次性的通用威胁狩猎、并不依赖 Zeek 字段级证据,它也不是最佳选择。
如何改进 detecting-lateral-movement-with-zeek 技能
把问题收窄到具体狩猎点
最好的结果来自单一战术或短链路,而不是“把所有内容都分析一遍”。一次只问一种:SMB 管理共享、DCE/RPC 服务创建、NTLM 扫描式尝试、Kerberos 异常,或可疑的内部传输。这样输出才能围绕一个可 دفاع的假设,而不是泛泛叙述。
提供真正关键的字段
当你手上有原始日志时,把时间戳、源/目的 IP、端口、用户名、共享路径、目标端点和错误码都给出来。这些细节能帮助技能区分正常管理操作和横向移动,也能避免像“我们看到很多 SMB”这种模糊描述带来的误报。
用你的环境来校准
detecting-lateral-movement-with-zeek 最容易出问题的地方,是把正常管理行为误判为恶意。要提升输出质量,记得告诉技能哪些子网是已知管理员网段、备份系统、跳板机和维护窗口。这样的上下文会直接影响 C$ 访问或远程服务调用到底算不算可疑。
从怀疑走向证据
第一轮先找出可能的源主机和技术假设,然后再用更窄的日志切片和更小的时间范围重新提问。如果第一次输出提示 NTLM 扫描式尝试,下一轮就应该追问具体用户名、来源多样性和时间模式,这样你才能判断它到底是爆破、配置异常,还是攻击流量。