作者 mukul975
detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能,适用于威胁狩猎和事件响应。它可借助 Zeek 日志(如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log)来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。
作者 mukul975
detecting-azure-lateral-movement 帮助安全分析师利用 Microsoft Graph 审计日志、登录遥测和 KQL 关联,在 Azure AD/Entra ID 与 Microsoft Sentinel 中狩猎横向移动。适用于事件分诊、检测工程和安全审计流程,覆盖同意滥用、服务主体误用、令牌窃取以及跨租户跳转等场景。
作者 mukul975
exploiting-constrained-delegation-abuse 技能用于指导已授权的 Active Directory 测试,重点是 Kerberos 约束委派滥用。内容涵盖枚举、S4U2self 和 S4U2proxy 票据请求,以及通往横向移动或权限提升的实操路径。如果你需要的是可重复使用的渗透测试指南,而不是泛泛的 Kerberos 概览,这个技能会更合适。
作者 mukul975
detecting-lateral-movement-in-network 可利用 Windows 事件日志、Zeek 遥测、SMB、RDP 和 SIEM 关联,帮助发现企业网络中被入侵后的横向移动。它适用于威胁狩猎、事件响应,以及面向 Security Audit 审查的 detecting-lateral-movement-in-network,提供可落地的检测工作流。
作者 mukul975
detecting-attacks-on-historian-servers 可帮助检测 IT/OT 边界上 OSIsoft PI、Ignition 和 Wonderware 等 OT historian 服务器的可疑活动。可将这份 detecting-attacks-on-historian-servers 指南用于事件响应、未授权查询、数据篡改、API 滥用以及横向移动分流。
作者 mukul975
configuring-microsegmentation-for-zero-trust 技能可帮助你为零信任环境设计并验证最小权限的工作负载间策略。使用本指南来划分应用、减少横向移动,并将观测到的流量转化为可执行的规则,供安全审计和运维使用。
