hunting-for-data-exfiltration-indicators
通过网络流量分析狩猎数据外泄行为,检测异常数据流、DNS 隧道、云存储上传以及加密通道滥用。
Best use case
hunting-for-data-exfiltration-indicators is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过网络流量分析狩猎数据外泄行为,检测异常数据流、DNS 隧道、云存储上传以及加密通道滥用。
Teams using hunting-for-data-exfiltration-indicators should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/hunting-for-data-exfiltration-indicators/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How hunting-for-data-exfiltration-indicators Compares
| Feature / Agent | hunting-for-data-exfiltration-indicators | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过网络流量分析狩猎数据外泄行为,检测异常数据流、DNS 隧道、云存储上传以及加密通道滥用。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 狩猎数据外泄指标 ## 适用场景 - 在失陷环境中主动狩猎数据窃取行为时 - 检测到异常出站数据量或异常模式后 - 调查潜在的内部威胁数据窃取事件时 - 事件响应期间确认哪些数据遭到窃取时 - 威胁情报显示针对所在行业的数据外泄活动时 ## 前置条件 - 包含字节级数据传输指标的网络代理/防火墙日志 - 具备云上传可见性的 DLP 解决方案或 CASB - 用于检测 DNS 外泄的 DNS 查询日志 - 用于附件监控的邮件网关日志 - 具备数据量异常检测能力的 SIEM ## 工作流程 1. **定义外泄通道**:识别潜在通道(HTTP/S 上传、DNS 隧道、邮件附件、云存储、可移动介质、加密协议)。 2. **建立正常数据流基线**:在 30 天窗口内,按用户、主机和目标地址建立出站数据传输量基线。 3. **检测流量异常**:识别向外部目标传输数据量显著超出基线的主机或用户。 4. **分析传输目标**:针对威胁情报核查目标域名/IP,识别新注册域名、个人云存储及境外基础设施。 5. **检测协议滥用**:寻找 DNS 隧道(大量/高频 TXT 查询)、ICMP 隧道或隐藏在允许协议中的数据。 6. **关联文件访问事件**:将外泄指标与敏感文件共享、数据库或代码仓库上的文件访问事件进行关联。 7. **报告与遏制**:记录含证据的调查结果、估算数据暴露范围,并提出遏制措施建议。 ## 核心概念 | 概念 | 描述 | |------|------| | T1041 | 通过 C2 通道外泄数据 | | T1048 | 通过替代协议外泄数据 | | T1048.001 | 通过对称加密非 C2 通道外泄 | | T1048.002 | 通过非对称加密非 C2 通道外泄 | | T1048.003 | 通过未加密/混淆非 C2 通道外泄 | | T1567 | 通过 Web 服务外泄数据 | | T1567.002 | 外泄至云存储 | | T1052 | 通过物理介质外泄 | | T1029 | 定时传输 | | T1030 | 数据传输大小限制(暂存) | | T1537 | 转移数据至云账户 | | T1020 | 自动化外泄 | ## 工具与系统 | 工具 | 用途 | |------|------| | Splunk | 数据量分析与 SPL 查询的 SIEM | | Zeek | 用于数据流分析的网络元数据 | | Microsoft Defender for Cloud Apps | 云外泄检测的 CASB | | Netskope | 云 DLP 与外泄检测 | | Suricata | 协议异常检测的网络 IDS | | RITA | DNS 外泄与信标检测 | | ExtraHop | 数据流分析的网络流量分析 | ## 常见场景 1. **云存储外泄**:用户通过浏览器将敏感文档上传至个人 Google Drive 或 Dropbox。 2. **DNS 隧道**:恶意软件将数据编码至 DNS 子域名查询,发送至攻击者控制的名称服务器。 3. **HTTPS 上传**:失陷系统通过加密 HTTPS 将大量数据 POST 至 C2 服务器。 4. **邮件附件外泄**:内部人员将敏感文档转发至个人邮箱账户。 5. **暂存与压缩**:攻击者将数据打包为压缩文件后缓慢外泄,以规避检测。 ## 输出格式 ``` 狩猎 ID:TH-EXFIL-[日期]-[序号] 外泄通道:[HTTP/DNS/邮件/云/USB] 来源:[主机/用户] 目标:[域名/IP/服务] 数据量:[字节/MB/GB] 时间段:[开始 - 结束] 协议:[HTTPS/DNS/SMTP/SMB] 涉及文件:[数量/类型] 风险等级:[严重/高/中/低] 置信度:[高/中/低] ```
Related Skills
testing-for-sensitive-data-exposure
在安全评估中识别敏感数据暴露漏洞,包括 API 密钥泄露、响应中的 PII、不安全存储以及未受保护的数据传输。
performing-threat-hunting-with-yara-rules
使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。
performing-threat-hunting-with-elastic-siem
使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。
performing-sqlite-database-forensics
对 SQLite 数据库执行取证分析,从空闲列表(Freelist)和 WAL 文件中恢复已删除记录,解码编码时间戳,并从浏览器历史、即时通讯应用和移动设备数据库中提取证据。
investigating-insider-threat-indicators
调查内部威胁(Insider Threat)指标,包括数据渗漏(Data Exfiltration)尝试、未授权访问模式、 策略违规和离职前行为,结合 SIEM 分析、DLP 告警和 HR 数据关联进行调查。 适用于 SOC 团队收到 HR 内部威胁转介、检测到员工异常数据移动, 或需要为潜在内部威胁建立调查时间线时。
implementing-security-monitoring-with-datadog
使用 Datadog 的云安全信息和事件管理(Cloud SIEM)、日志分析和威胁检测能力实施安全监控,识别并响应整个云基础设施中的安全事件。
implementing-pam-for-database-access
为数据库系统(包括 Oracle、SQL Server、PostgreSQL 和 MySQL)部署特权访问管理。涵盖会话代理配置、凭据保管、查询审计、动态凭据生成和最小权限数据库角色。
implementing-gdpr-data-protection-controls
《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。
implementing-cloud-dlp-for-data-protection
使用 Amazon Macie、Azure Information Protection 和 Google Cloud DLP API 实施云数据丢失预防(DLP),对云存储、数据库和数据管道中的敏感数据进行发现、分类和保护。
implementing-aws-macie-for-data-classification
实施 Amazon Macie,利用机器学习和模式匹配自动发现、分类并保护 S3 存储桶中的敏感数据,包括 PII、金融数据和凭据检测。
implementing-aes-encryption-for-data-at-rest
AES(高级加密标准)是由 NIST(FIPS 197)标准化的对称分组密码,用于保护机密和敏感数据。本技能涵盖在 GCM 模式下实现 AES-256 加密,用于加密静态文件和数据存储,包括正确的密钥派生、IV/nonce 管理和认证加密。
hunting-living-off-the-land-binaries
检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。