Network Monitoring

“detecting-network-anomalies-with-zeek” skill 可帮助你部署 Zeek 进行被动网络监控、查看结构化日志，并构建自定义检测来识别 beaconing、DNS 隧道和异常协议活动。它适用于威胁狩猎、事件响应、面向 SIEM 的网络元数据以及安全审计工作流——但不适合做链路内防护。

detecting-exfiltration-over-dns-with-zeek 可帮助从 Zeek dns.log 中检测通过 DNS 进行的数据外传，方法包括标记高熵子域、超长标签和异常查询量。适合将这个 detecting-exfiltration-over-dns-with-zeek 技能用于威胁狩猎、初步研判和可重复分析，并结合 Zeek 字段参考与脚本使用。

analyzing-network-traffic-for-incidents 帮助事件响应人员分析 PCAP、流日志和数据包捕获内容，以确认 C2、横向移动、数据外传和利用尝试。专为 Incident Response 场景下的 analyzing-network-traffic-for-incidents 设计，结合 Wireshark、Zeek 和类 NetFlow 调查方法使用。

detecting-attacks-on-historian-servers 可帮助检测 IT/OT 边界上 OSIsoft PI、Ignition 和 Wonderware 等 OT historian 服务器的可疑活动。可将这份 detecting-attacks-on-historian-servers 指南用于事件响应、未授权查询、数据篡改、API 滥用以及横向移动分流。

configuring-suricata-for-network-monitoring 技能可帮助部署和调优 Suricata，用于 IDS/IPS 监控、EVE JSON 日志记录、规则管理以及面向 SIEM 的输出。它适合用于 Security Audit 流程中的 configuring-suricata-for-network-monitoring 场景，尤其是在你需要可落地的部署、验证和降低误报时。