Dns

detecting-shadow-it-cloud-usage 可帮助你从代理日志、DNS 查询和 netflow 中识别未经授权的 SaaS 和云服务使用情况。它会对域名进行分类，并与已批准清单进行比对，同时借助 detecting-shadow-it-cloud-usage 技能指南中的结构化证据，支持安全审计工作流。

detecting-exfiltration-over-dns-with-zeek 可帮助从 Zeek dns.log 中检测通过 DNS 进行的数据外传，方法包括标记高熵子域、超长标签和异常查询量。适合将这个 detecting-exfiltration-over-dns-with-zeek 技能用于威胁狩猎、初步研判和可重复分析，并结合 Zeek 字段参考与脚本使用。

detecting-command-and-control-over-dns 是一项用于发现通过 DNS 进行 C2 的网络安全技能，涵盖隧道传输、beaconing、DGA 域名以及 TXT/CNAME 滥用等场景。它结合熵值检查、passive DNS 关联分析以及类似 Zeek 或 Suricata 的检测流程，适合 SOC 分析师、威胁猎手和安全审计使用。

conducting-external-reconnaissance-with-osint 技能适用于基于公开来源进行被动外部足迹探查、攻击面梳理和 Security Audit 准备，数据源包括 DNS、crt.sh、Shodan、GitHub 和泄露数据。面向授权侦察，强调清晰的范围控制、来源隔离和可落地的发现结果。

analyzing-network-traffic-of-malware 可帮助你分析来自沙箱运行或事件响应的 PCAP 和遥测数据，定位 C2、数据外传、载荷下载、DNS 隧道和检测思路。它是面向安全审计和恶意软件初筛的实用 analyzing-network-traffic-of-malware 指南。

analyzing-dns-logs-for-exfiltration 可帮助 SOC 分析师从 SIEM 或 Zeek 日志中发现 DNS 隧道、DGA 类域名、TXT 滥用和隐蔽 C2 模式。适用于 Security Audit 流程，尤其是在需要熵分析、查询量异常识别和实用分流建议时。