作者 mukul975
detecting-exfiltration-over-dns-with-zeek 可帮助从 Zeek dns.log 中检测通过 DNS 进行的数据外传,方法包括标记高熵子域、超长标签和异常查询量。适合将这个 detecting-exfiltration-over-dns-with-zeek 技能用于威胁狩猎、初步研判和可重复分析,并结合 Zeek 字段参考与脚本使用。
作者 mukul975
detecting-command-and-control-over-dns 是一项用于发现通过 DNS 进行 C2 的网络安全技能,涵盖隧道传输、beaconing、DGA 域名以及 TXT/CNAME 滥用等场景。它结合熵值检查、passive DNS 关联分析以及类似 Zeek 或 Suricata 的检测流程,适合 SOC 分析师、威胁猎手和安全审计使用。
作者 mukul975
analyzing-dns-logs-for-exfiltration 可帮助 SOC 分析师从 SIEM 或 Zeek 日志中发现 DNS 隧道、DGA 类域名、TXT 滥用和隐蔽 C2 模式。适用于 Security Audit 流程,尤其是在需要熵分析、查询量异常识别和实用分流建议时。
