Network Forensics

detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能，适用于威胁狩猎和事件响应。它可借助 Zeek 日志（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log）来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。

analyzing-network-traffic-for-incidents 帮助事件响应人员分析 PCAP、流日志和数据包捕获内容，以确认 C2、横向移动、数据外传和利用尝试。专为 Incident Response 场景下的 analyzing-network-traffic-for-incidents 设计，结合 Wireshark、Zeek 和类 NetFlow 调查方法使用。