Zeek

detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能，适用于威胁狩猎和事件响应。它可借助 Zeek 日志（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log）来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。

“detecting-network-anomalies-with-zeek” skill 可帮助你部署 Zeek 进行被动网络监控、查看结构化日志，并构建自定义检测来识别 beaconing、DNS 隧道和异常协议活动。它适用于威胁狩猎、事件响应、面向 SIEM 的网络元数据以及安全审计工作流——但不适合做链路内防护。

detecting-modbus-protocol-anomalies 可帮助检测 OT 和 ICS 网络中的可疑 Modbus/TCP 与 Modbus RTU 行为，包括无效功能码、越界寄存器访问、异常轮询时序、未经授权的写入以及格式异常的数据帧。适用于安全审计和基于证据的初步分诊。

detecting-beaconing-patterns-with-zeek 可帮助分析 Zeek `conn.log` 的时间间隔，以检测 C2 风格的 beaconing。它使用 ZAT，按源、目的和端口对流量分组，并通过统计检查为低抖动模式打分。适合 SOC、威胁狩猎、事件响应，以及 Security Audit 工作流中的 detecting-beaconing-patterns-with-zeek 使用场景。

analyzing-ransomware-network-indicators 可帮助分析 Zeek `conn.log` 和 NetFlow，识别 C2 beaconing、TOR 出口、数据外传以及可疑 DNS，适用于安全审计和事件响应。

hunting-advanced-persistent-threats 是一项威胁狩猎技能，用于在终端、网络和内存遥测中检测 APT 式活动。它帮助分析师构建基于假设的狩猎流程，将发现映射到 MITRE ATT&CK，并把威胁情报转化为可执行的查询和调查步骤，而不是零散的临时搜索。

detecting-exfiltration-over-dns-with-zeek 可帮助从 Zeek dns.log 中检测通过 DNS 进行的数据外传，方法包括标记高熵子域、超长标签和异常查询量。适合将这个 detecting-exfiltration-over-dns-with-zeek 技能用于威胁狩猎、初步研判和可重复分析，并结合 Zeek 字段参考与脚本使用。

analyzing-network-traffic-for-incidents 帮助事件响应人员分析 PCAP、流日志和数据包捕获内容，以确认 C2、横向移动、数据外传和利用尝试。专为 Incident Response 场景下的 analyzing-network-traffic-for-incidents 设计，结合 Wireshark、Zeek 和类 NetFlow 调查方法使用。

detecting-lateral-movement-in-network 可利用 Windows 事件日志、Zeek 遥测、SMB、RDP 和 SIEM 关联，帮助发现企业网络中被入侵后的横向移动。它适用于威胁狩猎、事件响应，以及面向 Security Audit 审查的 detecting-lateral-movement-in-network，提供可落地的检测工作流。

detecting-dnp3-protocol-anomalies 可帮助分析 SCADA 环境中的 DNP3 流量，识别未授权控制命令、协议违规、重启尝试以及偏离基线行为的异常。适用于安全审计、IDS 调优，以及审查 Zeek 日志或抓包数据时使用这一 detecting-dnp3-protocol-anomalies 技能。

detecting-command-and-control-over-dns 是一项用于发现通过 DNS 进行 C2 的网络安全技能，涵盖隧道传输、beaconing、DGA 域名以及 TXT/CNAME 滥用等场景。它结合熵值检查、passive DNS 关联分析以及类似 Zeek 或 Suricata 的检测流程，适合 SOC 分析师、威胁猎手和安全审计使用。