Network Security

detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能，适用于威胁狩猎和事件响应。它可借助 Zeek 日志（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log）来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。

detecting-shadow-it-cloud-usage 可帮助你从代理日志、DNS 查询和 netflow 中识别未经授权的 SaaS 和云服务使用情况。它会对域名进行分类，并与已批准清单进行比对，同时借助 detecting-shadow-it-cloud-usage 技能指南中的结构化证据，支持安全审计工作流。

“detecting-network-anomalies-with-zeek” skill 可帮助你部署 Zeek 进行被动网络监控、查看结构化日志，并构建自定义检测来识别 beaconing、DNS 隧道和异常协议活动。它适用于威胁狩猎、事件响应、面向 SIEM 的网络元数据以及安全审计工作流——但不适合做链路内防护。

detecting-beaconing-patterns-with-zeek 可帮助分析 Zeek `conn.log` 的时间间隔，以检测 C2 风格的 beaconing。它使用 ZAT，按源、目的和端口对流量分组，并通过统计检查为低抖动模式打分。适合 SOC、威胁狩猎、事件响应，以及 Security Audit 工作流中的 detecting-beaconing-patterns-with-zeek 使用场景。

configuring-aws-verified-access-for-ztna 技能可帮助你设计和配置 AWS Verified Access，实现无需 VPN 的零信任网络访问，并在 Cedar 中加入身份和设备健康状态检查。可使用这份 configuring-aws-verified-access-for-ztna 指南进行访问控制规划、信任提供方、组策略和终端设置。

analyzing-ransomware-network-indicators 可帮助分析 Zeek `conn.log` 和 NetFlow，识别 C2 beaconing、TOR 出口、数据外传以及可疑 DNS，适用于安全审计和事件响应。

security 技能可用 AWS stencil 生成 PlantUML 安全架构图，涵盖身份认证、加密、防火墙、合规和威胁检测等场景。适用于 IAM 流程、零信任设计、加密流水线、Security Audit 图表以及可直接交付审阅的文档。它不适合通用云基础设施图或泛用 UML 建模。

用于在授权网络段上安装、配置、验证和调优 Snort 3 IDS 的 configuring-snort-ids-for-intrusion-detection 技能。涵盖实用用法、规则加载、CLI 检查、误报降低以及 Security Audit 工作流。

conducting-network-penetration-test 是一项经过授权的网络渗透测试技能，用于主机发现、端口扫描、服务枚举、漏洞识别和报告输出。它遵循 PTES 风格的工作流，以 Nmap 为核心进行自动化，并结合仓库中的参考资料，让 conducting-network-penetration-test 的使用更清晰。

hunting-advanced-persistent-threats 是一项威胁狩猎技能，用于在终端、网络和内存遥测中检测 APT 式活动。它帮助分析师构建基于假设的狩猎流程，将发现映射到 MITRE ATT&CK，并把威胁情报转化为可执行的查询和调查步骤，而不是零散的临时搜索。

detecting-port-scanning-with-fail2ban 可帮助你配置 Fail2ban 来检测端口扫描、SSH 暴力破解尝试和侦察行为，并自动封禁可疑 IP、通知安全团队。这个 skill 适合用于 Security Audit 场景下的加固与 detecting-port-scanning-with-fail2ban，提供日志、jail、filter 和安全调优方面的实用指导。

detecting-arp-poisoning-in-network-traffic 可帮助你使用 ARPWatch、Dynamic ARP Inspection、Wireshark 和 Python 检查，在实时流量或 PCAP 中检测 ARP 欺骗。适用于事件响应、SOC 分诊，以及对 IP 到 MAC 变化、免费 ARP 和 MITM 指标的可重复分析。

detecting-lateral-movement-in-network 可利用 Windows 事件日志、Zeek 遥测、SMB、RDP 和 SIEM 关联，帮助发现企业网络中被入侵后的横向移动。它适用于威胁狩猎、事件响应，以及面向 Security Audit 审查的 detecting-lateral-movement-in-network，提供可落地的检测工作流。

detecting-cryptomining-in-cloud 帮助安全团队通过关联成本激增、挖矿端口流量、GuardDuty 加密挖矿告警和运行时进程证据，发现云工作负载中的未授权加密挖矿。适用于分诊、检测工程，以及 Security Audit 工作流中的 detecting-cryptomining-in-cloud。

detecting-command-and-control-over-dns 是一项用于发现通过 DNS 进行 C2 的网络安全技能，涵盖隧道传输、beaconing、DGA 域名以及 TXT/CNAME 滥用等场景。它结合熵值检查、passive DNS 关联分析以及类似 Zeek 或 Suricata 的检测流程，适合 SOC 分析师、威胁猎手和安全审计使用。

detecting-attacks-on-scada-systems 是一项面向网络安全的技能，用于发现 SCADA 以及 OT/ICS 环境中的攻击。它可帮助分析工业协议滥用、未授权 PLC 指令、HMI 被入侵、历史数据（historian）篡改和拒绝服务等问题，并为事件响应和检测验证提供实用指导。

configuring-suricata-for-network-monitoring 技能可帮助部署和调优 Suricata，用于 IDS/IPS 监控、EVE JSON 日志记录、规则管理以及面向 SIEM 的输出。它适合用于 Security Audit 流程中的 configuring-suricata-for-network-monitoring 场景，尤其是在你需要可落地的部署、验证和降低误报时。

configuring-ldap-security-hardening 可帮助安全工程师和审计人员评估 LDAP 风险，包括匿名绑定、签名过弱、缺少 LDAPS 以及 channel binding 缺口。使用这份 configuring-ldap-security-hardening 指南，可以先查阅参考文档，再运行 Python 审计辅助脚本，并为 Security Audit 产出可落地的修复建议。

building-c2-infrastructure-with-sliver-framework 可帮助经授权的红队和安全审计工作规划、安装并使用基于 Sliver 的 C2 基础设施，涵盖 redirectors、HTTPS listeners、operator access 和韧性检查。它包含实用指南、workflow 文件以及用于部署和验证的仓库脚本。

analyzing-network-traffic-of-malware 可帮助你分析来自沙箱运行或事件响应的 PCAP 和遥测数据，定位 C2、数据外传、载荷下载、DNS 隧道和检测思路。它是面向安全审计和恶意软件初筛的实用 analyzing-network-traffic-of-malware 指南。

analyzing-command-and-control-communication 可用于分析恶意软件 C2 流量，识别 beaconing、解码命令、梳理基础设施，并借助基于 PCAP 的证据和实用工作流指导，支持 Security Audit、威胁狩猎和恶意软件初步分流。