Threat Detection

detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能，适用于威胁狩猎和事件响应。它可借助 Zeek 日志（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log）来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。

detecting-s3-data-exfiltration-attempts 可通过关联 CloudTrail S3 data events、GuardDuty findings、Amazon Macie alerts 和 S3 访问模式，帮助排查可能的 AWS S3 数据窃取行为。适用于安全审计、事件响应，以及可疑批量下载分析。

detecting-rdp-brute-force-attacks 用于分析 Windows Security Event Logs 中的 RDP 暴力破解模式，包括重复的 4625 失败、4624 在失败后成功、与 NLA 相关的登录，以及源 IP 集中异常。适合用于安全审计、威胁狩猎和可重复的基于 EVTX 的调查。

detecting-modbus-command-injection-attacks 可帮助安全分析师识别 ICS 和 SCADA 环境中可疑的 Modbus TCP/RTU 写入行为、异常功能码、畸形报文以及相对基线的偏离。适用于事件分诊、OT 监控和安全审计，尤其是在你需要面向 Modbus 的检测指引，而不是通用异常提示时。

detecting-living-off-the-land-with-lolbas 结合 Sysmon 和 Windows Event Logs，帮助检测 LOLBAS 滥用；内容覆盖进程遥测、父子进程上下文、Sigma 规则，以及用于分流、狩猎和规则编写的实用指南。它支持在 Threat Modeling 和分析师工作流中使用 detecting-living-off-the-land-with-lolbas，重点关注 certutil、regsvr32、mshta 和 rundll32。

适用于安全审计、威胁狩猎和事件响应的 detecting-living-off-the-land-attacks 技能。通过进程创建、命令行和父子进程遥测，检测 certutil、mshta、rundll32、regsvr32 等合法 Windows 二进制文件被滥用的行为。该指南聚焦可落地的 LOLBin 检测模式，而不是泛泛的 Windows 加固。

detecting-lateral-movement-in-network 可利用 Windows 事件日志、Zeek 遥测、SMB、RDP 和 SIEM 关联，帮助发现企业网络中被入侵后的横向移动。它适用于威胁狩猎、事件响应，以及面向 Security Audit 审查的 detecting-lateral-movement-in-network，提供可落地的检测工作流。

detecting-insider-threat-with-ueba 可帮助你在 Elasticsearch 或 OpenSearch 中构建 UEBA 检测，用于识别内部威胁场景，包括行为基线、异常评分、同类群组分析，以及针对数据外传、权限滥用和未授权访问的关联告警。适合在 Incident Response 工作流中使用 detecting-insider-threat-with-ueba。