Monitoring

Das security-scan-Skill prüft deine Claude Code-.claude/-Konfiguration mit AgentShield auf Secrets, riskante MCP-Konfigurationen, anfällige Anweisungen für Injection, gefährliche Bypass-Flags sowie schwache Agent- oder Hook-Definitionen. Es eignet sich für wiederholbare Sicherheitsprüfungen vor dem Commit oder beim Onboarding.

canary-watch ist ein Post-Deploy-Monitoring-Skill, mit dem sich eine Live-URL nach Releases, Merges oder Dependency-Updates auf Regressionen prüfen lässt – in Staging oder Production.

canary ist eine Skill für Post-Deploy-Monitoring, die Live-Apps auf Konsolenfehler, Seitenfehler und Performance-Regressionen überwacht. Sie vergleicht das aktuelle Verhalten mit einer Baseline vor dem Deployment, damit du einen Release verifizieren, defekte Seiten früh erkennen und sichtbare Anomalien mit weniger Rätselraten finden kannst als mit einem generischen Prompt.

python-observability unterstützt Sie dabei, Python-Services mit strukturiertem Logging, Metriken, Traces, Correlation IDs und Mustern mit begrenzter Kardinalität zu instrumentieren – für Production-Debugging und eine sicherere Einführung von Observability.

grafana-dashboards unterstützt Agents beim Entwurf produktionsreifer Grafana-Dashboards für Observability. Nutzen Sie es, um Layouts nach RED und USE zu planen, die Panel-Hierarchie festzulegen und die Dashboard-Struktur für Metriken im Prometheus-Stil zu skizzieren.

prometheus-configuration unterstützt bei Installation und Nutzung von Prometheus für Scraping, Retention, Alerting und Recording Rules in Kubernetes-, Docker-Compose- und Server-Umgebungen.

Mit dem Skill slo-implementation definieren Teams SLIs, SLOs, Error Budgets und Burn-Rate-Alerts für Reliability-Arbeit. Er hilft dabei, Service-Ziele in messbare Vorgaben zu übersetzen, mit PromQL-nahen Beispielen und praxisorientierter Anleitung aus SKILL.md.

Nutze den distributed-tracing Skill, um Request-Tracing über Microservices hinweg mit Jaeger und Tempo zu entwerfen und verständlich zu erklären. Behandelt Installationsgrundlagen, Trace- und Span-Konzepte, Kubernetes-Setup-Muster, Context Propagation sowie den praktischen Einsatz für Observability und die Analyse von Latenzproblemen.

appinsights-instrumentation unterstützt bei der Instrumentierung von in Azure gehosteten Web-Apps mit Application Insights. Der Skill führt durch die Auto-Instrumentierung in App Service oder die manuelle Einrichtung für ASP.NET Core und Node.js, einschließlich Connection String und IaC-Anpassungen.

detecting-shadow-it-cloud-usage hilft dabei, nicht autorisierte SaaS- und Cloud-Nutzung anhand von Proxy-Logs, DNS-Queries und Netflow zu erkennen. Es klassifiziert Domains, vergleicht sie mit freigegebenen Listen und unterstützt Security-Audit-Workflows mit strukturierten Belegen aus dem detecting-shadow-it-cloud-usage skill guide.

detecting-rdp-brute-force-attacks hilft bei der Analyse von Windows Security Event Logs auf RDP-Brute-Force-Muster, darunter wiederholte 4625-Fehler, 4624-Erfolge nach Fehlschlägen, NLA-bezogene Anmeldungen und Konzentration auf einzelne Quell-IPs. Geeignet für Security Audits, Threat Hunting und reproduzierbare Untersuchungen auf EVTX-Basis.

Die Skill "detecting-network-anomalies-with-zeek" hilft dabei, Zeek für passives Netzwerk-Monitoring bereitzustellen, strukturierte Logs auszuwerten und eigene Erkennungen für Beaconing, DNS-Tunneling und ungewöhnliche Protokollaktivitäten zu entwickeln. Sie eignet sich für Threat Hunting, Incident Response, SIEM-fähige Netzwerkmetadaten und Security-Audit-Workflows – nicht für Inline-Prevention.

detecting-beaconing-patterns-with-zeek hilft dabei, Intervalle in Zeek-`conn.log` zu analysieren, um C2-ähnliches Beaconing zu erkennen. Es nutzt ZAT, gruppiert Verbindungen nach Quelle, Ziel und Port und bewertet Muster mit geringer Jitter-Varianz anhand statistischer Prüfungen. Ideal für SOC, Threat Hunting, Incident Response und die Nutzung von detecting-beaconing-patterns-with-zeek in Security-Audit-Workflows.

Leitfaden zur Konfiguration von hostbasierter Intrusion Detection mit Wazuh, OSSEC oder AIDE für die Überwachung von Dateiintegrität, Systemänderungen und complianceorientierter Endpunktsicherheit in Security-Audit-Workflows.

Skill zum Abfragen von Azure Monitor Activity Logs und Sign-in-Logs, um verdächtige Admin-Aktionen, Impossible Travel, Privilegienausweitung und Manipulationen an Ressourcen zu erkennen. Entwickelt für die Incident-Triage mit KQL-Mustern, einem klaren Ausführungspfad und praxisnahen Hinweisen zu Azure-Logtabellen.

azure-monitor-opentelemetry-ts hilft dabei, Node.js-Apps mit Azure Monitor und OpenTelemetry für verteilte Traces, Metriken und Logs zu instrumentieren. Verwenden Sie diesen azure-monitor-opentelemetry-ts Skill, um das Paket zu installieren, `APPLICATIONINSIGHTS_CONNECTION_STRING` zu setzen und die korrekte Startreihenfolge für die Auto-Instrumentierung einzuhalten.

azure-monitor-opentelemetry-py ist die Azure Monitor OpenTelemetry Distribution für Python. Nutzen Sie sie für die Einrichtung von Application Insights per Einzeiler, Auto-Instrumentierung und praxisnahe Azure-Monitor-Telemetrie mit minimalen Änderungen am Anwendungscode.

Die alert-manager Skill unterstützt Teams dabei, SEO- und GEO-Alert-Frameworks für Ranking-Verluste, Traffic-Anomalien, technische Probleme, Veränderungen bei Wettbewerbern und Verschiebungen der AI-Sichtbarkeit zu entwerfen – mit Schwellenwert-Leitfäden und wiederverwendbaren Vorlagen.

detecting-container-escape-with-falco-rules hilft dabei, Versuche von Container-Escapes mit Falco-Runtime-Sicherheitsregeln zu erkennen. Der Fokus liegt auf Syscall-Signalen, privilegierten Containern, Missbrauch von Host-Pfaden, Validierung und Incident-Response-Workflows für Kubernetes- und Linux-Containerumgebungen.

Die Skill "detecting-wmi-persistence" hilft Threat Huntern und DFIR-Analysten dabei, WMI-Ereignisabonnement-Persistenz in Windows-Telemetrie mit den Sysmon-Ereignis-IDs 19, 20 und 21 zu erkennen. Nutzen Sie sie, um bösartige Aktivitäten von EventFilter, EventConsumer und FilterToConsumerBinding zu identifizieren, Funde zu validieren und Angreifer-Persistenz von legitimer Admin-Automatisierung zu unterscheiden.

detecting-arp-poisoning-in-network-traffic hilft dabei, ARP-Spoofing in Live-Traffic oder PCAPs mit ARPWatch, Dynamic ARP Inspection, Wireshark und Python-Prüfungen zu erkennen. Entwickelt für Incident Response, SOC-Triage und wiederholbare Analysen von IP-zu-MAC-Änderungen, gratuitous ARPs und MITM-Indikatoren.

detecting-cryptomining-in-cloud hilft Security-Teams dabei, unautorisiertes Krypto-Mining in Cloud-Workloads zu erkennen, indem Kostenanstiege, Traffic über Mining-Ports, GuardDuty-Crypto-Funde und Laufzeit-Evidenz aus Prozessen miteinander korreliert werden. Nutzen Sie das Skill für Triage, Detection Engineering und für Workflows im Security Audit rund um detecting-cryptomining-in-cloud.

detecting-container-escape-attempts hilft dabei, Hinweise auf Container-Escape-Versuche in Docker und Kubernetes zu untersuchen, zu erkennen und zu priorisieren. Verwenden Sie diesen Leitfaden für Incident-Triage, Escape-Vektoren, Alarminterpretation und Reaktionsabläufe auf Basis von Falco-, Sysdig-, auditd- und Container-Inspektionsdaten.

detecting-attacks-on-historian-servers hilft dabei, verdächtige Aktivitäten auf OT-Historian-Servern wie OSIsoft PI, Ignition und Wonderware an der IT/OT-Grenze zu erkennen. Nutzen Sie diesen Leitfaden zu detecting-attacks-on-historian-servers für Incident Response, unautorisierte Abfragen, Datenmanipulation, API-Missbrauch und die Triage von Lateralmovement.