Best use case
hunting-for-unusual-network-connections is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过分析出站流量模式、稀有目标地址、非标准端口和终端异常连接频率,狩猎异常网络连接。
Teams using hunting-for-unusual-network-connections should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/hunting-for-unusual-network-connections/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How hunting-for-unusual-network-connections Compares
| Feature / Agent | hunting-for-unusual-network-connections | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过分析出站流量模式、稀有目标地址、非标准端口和终端异常连接频率,狩猎异常网络连接。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 狩猎异常网络连接 ## 适用场景 - 主动狩猎环境中异常网络连接指标时 - 威胁情报显示存在使用这些技术的活跃活动时 - 事件响应期间,确定与这些技术相关的入侵范围时 - EDR 或 SIEM 告警在相关指标上触发时 - 定期安全评估和紫队演练期间 ## 前置条件 - 具备进程和网络遥测能力的 EDR 平台(CrowdStrike、MDE、SentinelOne) - 已导入相关日志数据的 SIEM(Splunk、Elastic、Sentinel) - 部署了综合配置的 Sysmon - 启用 Windows 安全事件日志转发 - 用于 IOC 关联的威胁情报源 ## 工作流程 1. **建立假设**:基于威胁情报或 ATT&CK 差距分析,定义可验证的假设。 2. **识别数据源**:确定需要哪些日志和遥测数据来验证或否定假设。 3. **执行查询**:在 SIEM 和 EDR 平台上运行检测查询,收集相关事件。 4. **分析结果**:检查查询结果中的异常,跨多个数据源进行关联。 5. **验证发现**:通过上下文分析区分真阳性与误报。 6. **关联活动**:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。 7. **记录并报告**:记录发现结果,更新检测规则,并建议响应措施。 ## 核心概念 | 概念 | 描述 | |------|------| | T1071 | 应用层协议 | | T1095 | 非应用层协议 | | T1571 | 非标准端口 | ## 工具与系统 | 工具 | 用途 | |------|------| | CrowdStrike Falcon | EDR 遥测和威胁检测 | | Microsoft Defender for Endpoint | 基于 KQL 的高级狩猎 | | Splunk Enterprise | 使用 SPL 查询的 SIEM 日志分析 | | Elastic Security | 检测规则和调查时间线 | | Sysmon | 详细的 Windows 事件监控 | | Velociraptor | 终端工件收集和狩猎 | | Sigma Rules | 跨平台检测规则格式 | ## 常见场景 1. **场景 1**:后门通过非标准端口与 C2 通信 2. **场景 2**:通过 DNS 向攻击者域名服务器进行数据外泄 3. **场景 3**:受攻击主机扫描内部网络 4. **场景 4**:挖矿程序连接矿池 ## 输出格式 ``` 狩猎 ID:TH-HUNTIN-[日期]-[序号] 技术:T1071 主机:[主机名] 用户:[账户上下文] 证据:[日志条目、进程树、网络数据] 风险等级:[严重/高/中/低] 置信度:[高/中/低] 建议措施:[遏制、调查、监控] ```
Related Skills
scanning-network-with-nmap-advanced
使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-threat-hunting-with-yara-rules
使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。
performing-threat-hunting-with-elastic-siem
使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。
performing-ot-network-security-assessment
本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。
performing-network-traffic-analysis-with-zeek
部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。
performing-network-traffic-analysis-with-tshark
使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)
performing-network-packet-capture-analysis
使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。
performing-network-forensics-with-wireshark
使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。
performing-external-network-penetration-test
依照 PTES 方法论,通过侦察、扫描、漏洞利用和报告等阶段,对面向互联网的基础设施执行全面的外部网络渗透测试,识别可利用漏洞。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构