Exfiltration

exploiting-excessive-data-exposure-in-api 帮助安全审计团队检查 API 响应中是否存在过度共享字段，包括 PII、secret、内部 ID 和调试数据。它提供了聚焦的工作流、参考模式，以及用于将返回数据与预期 schema 和角色进行对比的分析逻辑。

detecting-exfiltration-over-dns-with-zeek 可帮助从 Zeek dns.log 中检测通过 DNS 进行的数据外传，方法包括标记高熵子域、超长标签和异常查询量。适合将这个 detecting-exfiltration-over-dns-with-zeek 技能用于威胁狩猎、初步研判和可重复分析，并结合 Zeek 字段参考与脚本使用。

analyzing-dns-logs-for-exfiltration 可帮助 SOC 分析师从 SIEM 或 Zeek 日志中发现 DNS 隧道、DGA 类域名、TXT 滥用和隐蔽 C2 模式。适用于 Security Audit 流程，尤其是在需要熵分析、查询量异常识别和实用分流建议时。