detecting-azure-lateral-movement

von mukul975

detecting-azure-lateral-movement hilft Security-Analysten dabei, laterale Bewegungen in Azure AD/Entra ID und Microsoft Sentinel mit Microsoft Graph Audit-Logs, Anmelde-Telemetrie und KQL-Korrelation aufzuspüren. Geeignet für Incident-Triage, Detection Engineering und Security-Audit-Workflows rund um Consent-Missbrauch, Fehlverwendung von Service Principals, Token-Diebstahl und Pivoting über Mandantengrenzen hinweg.

Stars6.1k

Favoriten0

Kommentare0

Hinzugefügt9. Mai 2026

KategorieSecurity Audit

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-azure-lateral-movement

Kurationswert

Dieses Skill erreicht 78/100 Punkten und ist damit ein solider Kandidat für das Verzeichnis, wenn Nutzer Unterstützung beim Aufspüren lateraler Bewegungen in Azure/Entra ID brauchen. Das Repository bietet echte Detection-Inhalte, einen brauchbaren Ausführungskontext und genügend operative Details, um weniger Rätselraten als bei einem generischen Prompt zu erzeugen; die Installationsseite sollte dennoch auf einige Umsetzungslücken hinweisen.

78/100

Stärken

Klare Anwendungsfälle und Hinweise zum Einsatzzeitpunkt für Incident Response, Threat Hunting und die Validierung von Monitoring-Abdeckung.
Konkrete Workflow-Belege: Microsoft-Graph-Audit-/Sign-in-Endpunkte sowie Sentinel-KQL-Detections für Consent-Granting, Missbrauch von Service Principals und Token-Replay.
Support-Skript und API-Referenz zeigen, dass das Skill für ausführbares Hunting gedacht ist und nicht nur für narrative Anleitungen.

Hinweise

Voraussetzungen sind vorhanden, aber der Ausschnitt zeigt mindestens eine abgeschnittene oder unklare Anforderung; die Einrichtung sollte daher vor dem Einsatz zusätzlich verifiziert werden.
Kein Installationsbefehl und nur begrenzte sichtbare Hinweise auf schrittweise Offenlegung bedeuten, dass Nutzer die Script- und Referenzdateien prüfen müssen, um die genauen Ausführungsschritte zu verstehen.

Azure Entra Id Microsoft Graph Sentinel Kql Threat Hunting Lateral Movement

Überblick

Überblick über den Skill detecting-azure-lateral-movement

detecting-azure-lateral-movement ist ein Cybersecurity-Skill für das Aufspüren von lateral movement in Azure AD/Entra ID- und Microsoft Sentinel-Umgebungen. Er hilft Analysten dabei, grobe Incident-Fragen in praktikable Detection-Ansätze zu übersetzen, die auf Microsoft Graph-Auditdaten, Sign-in-Logs und KQL-Korrelation aufbauen. Wenn Sie detecting-azure-lateral-movement für Security Audit benötigen, besteht die Kernaufgabe darin, verdächtigen Identitätsmissbrauch früh zu erkennen: Consent-Gewährungen, Missbrauch von Service Principals, Token-Replay, Cross-Tenant-Pivoting und damit verbundene Eskalationspfade.

Wofür sich dieser Skill am besten eignet

Nutzen Sie diesen Skill, wenn Sie Detections entwickeln, Identity Incidents triagieren oder Ihre Abdeckung gegen cloud-native Angreifertechniken prüfen. Er passt gut für SOC-Analysten, Threat Hunter und Security Engineers, die einen gezielten detecting-azure-lateral-movement-Leitfaden suchen statt eines generischen Azure-Security-Prompts.

Was ihn unterscheidet

Der Skill geht nicht nur darum, Logs abzufragen. Er ist darauf ausgerichtet, mehrere Azure-Quellen zu korrelieren und diese Signale auf realistische Angriffspfade abzubilden. Das ist wichtig, weil lateral movement in Entra ID oft nur schwache, verteilte Spuren hinterlässt und nicht ein einzelnes, offensichtliches Ereignis.

Wann er ein schlechter Fit ist

Wenn Ihr Ziel allgemeines Azure-Hardening, IAM-Design oder nicht sicherheitsbezogene Admin-Aufgaben sind, ist das nicht das richtige Werkzeug. Er ersetzt außerdem weder einen vollständigen Incident-Response-Prozess noch eine ausgereifte Detection-Engineering-Plattform.

So verwenden Sie den Skill detecting-azure-lateral-movement

Skill-Dateien installieren und prüfen

Nutzen Sie den Repository-Pfad und laden Sie den Skill mit:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-azure-lateral-movement

Für die Installationsentscheidung bei detecting-azure-lateral-movement sind vor allem diese Dateien relevant: skills/detecting-azure-lateral-movement/SKILL.md, references/api-reference.md und scripts/agent.py. Lesen Sie zuerst die Referenzdatei, wenn Sie Endpunkt- und KQL-Kontext brauchen; lesen Sie zuerst das Skript, wenn Sie den Ausführungsablauf und die Logik der Indikatoren verstehen wollen.

Geben Sie den richtigen Input

Der Skill funktioniert am besten, wenn Sie ein konkretes Hunting-Ziel vorgeben und keine vage Anfrage. Gute Eingaben enthalten Tenant-Kontext, verfügbare Logquellen, Zeitfenster und das verdächtige Verhalten, das Sie prüfen möchten.

Gute Prompt-Formulierungen:

„Untersuche möglichen OAuth-Consent-Missbrauch in einem Microsoft 365 Tenant mit Sentinel KQL und Graph-Audit-Logs der letzten 7 Tage.“
„Erstelle Detections für Cross-Tenant-Sign-in-Anomalien und Token-Replay in Entra ID, unter der Annahme, dass ich SigninLogs und AuditLogs habe.“
„Erstelle einen Schritt-für-Schritt-Hunt für Service-Principal-Credential-Additionen mit Bezug zu Privilege Escalation.“

Verwenden Sie den Workflow, der zu Ihrer Umgebung passt

Beginnen Sie mit dem Angriffsmuster, mappen Sie es dann auf die verfügbare Telemetrie und verfeinern Sie es anschließend zu einer Query oder einer investigativen Abfolge. Wenn Sie nur Microsoft Sentinel haben, setzen Sie auf KQL. Wenn Sie Microsoft Graph direkt abfragen können, nutzen Sie das für Directory-Audits und Service-Principal-Prüfungen und korrelieren Sie die Ergebnisse anschließend mit dem Sign-in-Verhalten. Diese Reihenfolge ist wichtiger als die Länge des Prompts.

Was Sie im Repo zuerst prüfen sollten

Priorisieren Sie diese Bereiche im Repository in dieser Reihenfolge:

SKILL.md für den Detection-Umfang und die Voraussetzungen.
references/api-reference.md für Graph-Endpunkte und Beispiel-KQL.
scripts/agent.py für Indikatornamen, Query-Fluss und Annahmen zur Telemetrie.

Diese Reihenfolge hilft Ihnen, Abhängigkeiten wie Berechtigungen, Log-Retention oder API-Zugriff nicht zu übersehen, bevor Sie mit einem Hunt starten.

FAQ zum Skill detecting-azure-lateral-movement

Ist das nur für Microsoft Sentinel-Nutzer?

Nein. Sentinel ist die wichtigste Analyseoberfläche, aber der Skill unterstützt auch Untersuchungen auf Basis von Microsoft Graph. Wenn Sie AuditLogs und SigninLogs exportieren oder abfragen können, können Sie die Methodik trotzdem nutzen.

Brauche ich fortgeschrittene Azure-Kenntnisse?

Nicht unbedingt. Der Skill detecting-azure-lateral-movement ist für Analysten leicht zugänglich, die grundlegende Konzepte der Identitätsprotokollierung bereits kennen. Sie brauchen aber genug Kontext, um zwischen App-Consent, Service-Principal-Aktivitäten und Sign-in-Anomalien zu unterscheiden.

Worin unterscheidet er sich von einem normalen Prompt?

Ein normaler Prompt erzeugt womöglich eine generische Azure-Hunting-Query. Dieser Skill ist deutlich meinungsstärker: Er führt Sie zu spezifischen Mustern von Identitätsmissbrauch, nützlicher Telemetrie und einem praktischen Analysepfad. Das reduziert meist Fehlstarts und verbessert die Qualität der Nutzung von detecting-azure-lateral-movement.

Wann sollte ich ihn nicht verwenden?

Verwenden Sie ihn nicht für allgemeine Compliance-Reports, Tenant-Inventarisierung oder unrelated Endpoint-Malware-Untersuchungen. Am wertvollsten ist er, wenn das vermutete Verhalten Identitäts-Pivoting, Missbrauch delegierter Zugriffe oder cloud-native lateral movement umfasst.

So verbessern Sie den Skill detecting-azure-lateral-movement

Geben Sie dem Modell präziseren Telemetrie-Kontext

Bessere Eingaben führen zu besseren Hunts. Geben Sie an, welche Logs Sie haben, ob sie vollständig oder nur stichprobenartig vorliegen und für welchen Zeitraum gesucht werden soll. Zum Beispiel ist „Ich habe 30 Tage AuditLogs, 14 Tage SigninLogs und keinen Identity-Protection-Feed“ deutlich handlungsrelevanter als „prüf auf bösartige Aktivität“.

Binden Sie die Anfrage an einen Angriffsweg

Wählen Sie pro Lauf genau eine Hypothese: Consent-Grant-Missbrauch, Änderung eines Service-Principal-Credentials, Token-Replay, Mailbox-Delegation oder Cross-Tenant-Pivoting. Zu viele Pfade in einer Anfrage führen meist zu oberflächlichen Detections und schwacher Priorisierung.

Fragen Sie nach operational nutzbaren Ergebnissen

Die besten Resultate sind in der Regel Untersuchungsschritte, KQL und Triage-Hinweise und nicht nur eine Zusammenfassung. Bitten Sie um Felder, die geprüft werden sollen, erwartbare harmlose Erklärungen und die nächste Query nach dem ersten Treffer. Das macht detecting-azure-lateral-movement für Security Audit im echten Alltag deutlich brauchbarer.

Iterieren Sie nach dem ersten Entwurf

Nutzen Sie die erste Ausgabe, um Lücken zu finden: fehlende Berechtigungen, nicht unterstützte Tabellen oder zu breite Filter. Schärfen Sie die Anfrage anschließend mit tenant-spezifischen Details, bekannten legitimen Apps oder einem engeren Zeitfenster nach. Das ist der schnellste Weg, den Skill detecting-azure-lateral-movement in einen wiederholbaren Hunt statt in eine Einmalantwort zu verwandeln.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

security-threat-model

von openai

Repository-basiertes security-threat-model für AppSec-Threat-Modeling. Es überführt Vertrauensgrenzen, Assets, Angreiferziele, Missbrauchspfade und Gegenmaßnahmen in ein kompaktes Markdown-Threat-Model. Nutzen Sie es, wenn Sie security-threat-model für Threat Modeling in einem konkreten Repo oder Pfad brauchen, nicht für eine generische Architekturprüfung oder Codeanalyse.

Threat Modeling

Favoriten 0GitHub 0

solana-vulnerability-scanner

von trailofbits

solana-vulnerability-scanner ist ein fokussierter Solana-Security-Audit-Skill für native Rust- und Anchor-Programme. Er hilft dabei, CPI-Logik, PDA-Validierung, Signer- und Ownership-Prüfungen sowie Sysvar-Spoofing zu überprüfen, um sechs kritische Solana-spezifische Schwachstellen vor dem Deployment zu erkennen.

Security Audit

Favoriten 0GitHub 4.9k

azure-ai-contentsafety-ts

von microsoft

azure-ai-contentsafety-ts hilft dabei, Text und Bilder mit Azure AI Content Safety in TypeScript auf schädliche Inhalte zu prüfen. Nutzen Sie diese Skill für Moderations-Workflows, Blocklists und Sicherheitsprüfungen von Hassrede, Gewalt, sexuellen Inhalten und Selbstverletzung. Außerdem werden das Einrichten von Azure-Endpunkt und Authentifizierung abgedeckt.

Security Audit

Favoriten 0GitHub 2.3k

sharp-edges

von trailofbits

Die sharp-edges-Skill hilft dir, APIs, Konfigurationen und Schnittstellen zu finden, bei denen der naheliegende Weg zu unsicherer Nutzung führt. Nutze sie, um Authentifizierungsflüsse, kryptografische Wrapper, gefährliche Standardwerte, Null- oder Zero-Semantik und anfällige Designentscheidungen zu prüfen. Sie passt besonders gut für sharp-edges bei Security-Audit-Arbeiten, wenn du konkrete Fallstricke brauchst und keine allgemeinen Sicherheitsvermutungen.

Security Audit

Favoriten 0GitHub 5k

security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Security Audit

Favoriten 0GitHub 156.3k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

von mukul975

Das Skill „exploiting-insecure-data-storage-in-mobile“ unterstützt bei der Bewertung und Extraktion von Beweismitteln aus unsicherem lokalem Speicher in Android- und iOS-Apps. Es behandelt SharedPreferences, SQLite-Datenbanken, plist-Dateien, weltweit lesbare Dateien, Backup-Offenlegung sowie schwache Keychain-/Keystore-Verarbeitung für Mobile-Pentesting und Security-Audit-Workflows.

Security Audit

Favoriten 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

building-incident-response-playbook

von mukul975

building-incident-response-playbook hilft Security-Teams, wiederverwendbare Incident-Response-Playbooks mit klaren Phasen, Entscheidungsbäumen, Eskalationskriterien, RACI-Zuordnung und SOAR-tauglicher Struktur zu erstellen. Es ist für die Dokumentation von Incident-Response-Prozessen, Workflows zur Incident-Triage und auditfähige operative Reaktionspläne gedacht.

Incident Triage

Favoriten 0GitHub 6.1k

building-patch-tuesday-response-process

von mukul975

building-patch-tuesday-response-process hilft Teams dabei, einen wiederholbaren Microsoft Patch Tuesday-Prozess aufzubauen, um Advisories zu triagieren, Risiken zu priorisieren, Patches zu testen, Rollouts freizugeben und Compliance nachzuverfolgen. Nützlich für Security Operations, Vulnerability Management und building-patch-tuesday-response-process für Projektmanagement.

Project Management

Favoriten 0GitHub 6.1k

ossfuzz

von trailofbits

Lerne die ossfuzz-Skill für Continuous Fuzzing-Setup, Projektanmeldung, Harness-Planung und die Prüfung des Build-Workflows kennen. Dieser Leitfaden hilft Security Engineers und Maintainers dabei, die Einsatzbereitschaft einzuschätzen, Build-Blocker zu erkennen und einen praktischen Weg vom Source Tree zu OSS-Fuzz oder einer privaten Fuzzing-Infrastruktur vorzubereiten.

Security Audit

Favoriten 0GitHub 5k

codeql

von trailofbits

Die codeql-Skill hilft dir, CodeQL bei einem Security Audit mit weniger blinden Flecken einzusetzen. Der Fokus liegt auf Datenbankqualität, Suite-Auswahl, Data Extensions und SARIF-Review, damit du codeql zuverlässiger über unterstützte Sprachen hinweg verwenden kannst. Nutze sie für wiederholbare codeql-Anleitungsschritte bei der Analyse realer Repositories.

Security Audit

Favoriten 0GitHub 5k

semgrep-rule-creator

von trailofbits

semgrep-rule-creator erstellt Semgrep-Regeln in Produktionsqualität für Sicherheitslücken, Bug-Muster, Taint-Flow-Erkennungen und Coding-Standards. Verwenden Sie den semgrep-rule-creator Skill für Security-Audit-Aufgaben, wenn Sie präzise Regeln, Testfälle und Validierung statt eines generischen Entwurfs brauchen.

Security Audit

Favoriten 0GitHub 5k

insecure-defaults

von trailofbits

Die insecure-defaults Skill hilft dabei, Fail-Open-Konfigurationsmuster zu erkennen, bei denen Software mit unsicheren Einstellungen weiterläuft, statt abzubrechen. Verwenden Sie sie für ein Security Audit von Produktionscode, Deployment-Konfigurationen und Logik zur Secret-Verarbeitung, um schwache Authentifizierung, hartcodierte Geheimnisse und zu freizügige Standardwerte aufzudecken.

Security Audit

Favoriten 0GitHub 5k

constant-time-analysis

von trailofbits

constant-time-analysis ist eine Security-Audit-Skill zum Finden von Timing-Side-Channel-Risiken in kryptografischem Code, bevor sie zu ausnutzbaren Bugs werden. Nutze sie, um geheimnisabhängige Mathematik, Verzweigungen, Vergleiche und kompilierten Output zu prüfen, wenn du C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python oder Ruby analysierst.

Security Audit

Favoriten 0GitHub 5k

secure-workflow-guide

von trailofbits

secure-workflow-guide führt durch einen 5-stufigen Solidity-Security-Workflow: Slither-Triage, funktionsspezifische Checks, visuelle Prüfung, Notizen zu Security-Properties und manuelle Review. Die Skill ist für Smart-Contract-Teams, Auditoren und Entwickler gedacht, die vor Deployment oder Release einen wiederholbaren secure-workflow-guide benötigen.

Security Audit

Favoriten 0GitHub 4.9k