detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Stars6.2k

Favoriten0

Kommentare0

Hinzugefügt11. Mai 2026

KategorieSecurity Audit

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-s3-data-exfiltration-attempts

Kurationswert

Dieser Skill erreicht 84/100 und ist damit ein solider Kandidat für das Verzeichnis. Er bietet Agenten einen klaren, auf Erkennung ausgerichteten Ablauf zur Untersuchung von S3-Exfiltrationsversuchen – mit konkreten AWS-Signalen, einem dedizierten Skript und klaren Grenzen dafür, wann der Skill passt und wann nicht. Das reduziert Rätselraten im Vergleich zu einem generischen Prompt.

84/100

Stärken

Stark in der Auslösung: Der Skill benennt das konkrete Untersuchungsszenario und grenzt klar ab, wann er eingesetzt werden sollte und wann nicht.
Praktisch und evidenznah: Er verweist auf spezifische Datenquellen und Finding-Typen, darunter CloudTrail-S3-Datenereignisse, GuardDuty-S3-Funde, Macie-Alerts und VPC Flow Logs.
Agentenfreundliche Artefakte: Enthält ein Skript (`scripts/agent.py`) sowie eine API-Referenz mit Beispielabfragen für AWS CLI und Athena.

Hinweise

In `SKILL.md` fehlen ein Installationsbefehl und ein Schnellstart-Einstiegspunkt, daher kann die Einführung manuelle Einrichtung erfordern.
Der Workflow ist eher auf Erkennung und Untersuchung als auf Prävention ausgelegt; wer Sperrmechanismen oder breitere Cloud-Sicherheitsabdeckung sucht, braucht zusätzliche Skills.

Aws S3 Cloudtrail Guardduty Macie Cloud Security Data Exfiltration Threat Detection

Überblick

Überblick über die Skill „detecting-s3-data-exfiltration-attempts“

Was dieser Skill macht

Der Skill detecting-s3-data-exfiltration-attempts hilft Ihnen bei der Untersuchung möglicher AWS-S3-Datenabflüsse, indem er CloudTrail-S3-Data-Events, GuardDuty-Findings, Amazon-Macie-Alerts und S3-Zugriffsmuster miteinander korreliert. Er eignet sich besonders für Security-Audit- und Incident-Response-Arbeiten, wenn Sie entscheiden müssen, ob ungewöhnliche S3-Aktivität nur ein harmloser Ausschlag, eine Fehlkonfiguration oder ein echter Exfiltrationsversuch ist.

Für wen er gedacht ist

Nutzen Sie den detecting-s3-data-exfiltration-attempts skill, wenn Sie bereits AWS-Telemetriedaten haben und einen praxistauglichen Analyseablauf brauchen statt eines generischen „analysiere dieses Log“-Prompts. Der Skill passt für Cloud-Security-Engineers, SOC-Analysten und Auditoren, die Massen-Downloads, kontoübergreifende Lesezugriffe, Zugriffe über Tor oder von bösartigen IPs oder verdächtige Objektkopien prüfen.

Wann der Skill gut passt

Am stärksten ist der Skill, wenn Sie Belege wie CloudTrail-Events, GuardDuty-Findings, Macie-Alerts, Bucket-Policy-Details und ein klares Zeitfenster liefern können. Weniger nützlich ist er für Präventionsdesign, Datenklassifizierung oder breites Hunting nach Netzwerk-Exfiltration außerhalb von S3.

So verwenden Sie den Skill „detecting-s3-data-exfiltration-attempts“

Installation und erster Einrichtungsdurchlauf

Nutzen Sie den Pfad detecting-s3-data-exfiltration-attempts install aus dem Skill-Verzeichnis-Workflow:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-s3-data-exfiltration-attempts

Lesen Sie nach der Installation zuerst SKILL.md, dann references/api-reference.md für Query-Muster und scripts/agent.py für die automatisierte Detection-Logik. Das Repo hat nur ein Support-Skript; am schnellsten verstehen Sie die Ausführung, wenn Sie den Datenquellen des Skripts und den erwarteten Referenzqueries folgen.

Welche Eingaben Sie bereitstellen sollten

Für eine starke Nutzung von detecting-s3-data-exfiltration-attempts usage geben Sie dem Modell:

Bucket-Namen und Account-Kontext
Incident-Zeitraum und Zeitzone
Verdächtigen Principal, IP oder Quell-Account
CloudTrail-S3-Data-Events, insbesondere GetObject, CopyObject und DeleteObject
GuardDuty-Finding-IDs oder Finding-Typen
Macie-Alerts, falls sensible Daten betroffen sind

Ein schwacher Prompt sagt: „Prüf die S3-Logs.“ Ein besserer lautet: „Untersuche, ob arn:aws:iam::123456789012:user/alice zwischen 02:00 und 03:00 UTC massenhaft Objekte aus sensitive-bucket heruntergeladen hat, nachdem ein Exfiltration:S3/AnomalousBehavior-Finding ausgelöst wurde, und bewerte, ob die Belege auf Exfiltration hindeuten.“

Praktischer Workflow und Dateien, die Sie lesen sollten

Ein sinnvoller detecting-s3-data-exfiltration-attempts guide folgt meist dieser Reihenfolge: Alarmquelle bestätigen, S3-Data-Events prüfen, Zugriffsquelle und User-Agent kontrollieren, Request-Volumen mit dem Baseline-Verhalten vergleichen und anschließend mit Bucket-Policy und Macie-Sensitivität korrelieren. Beginnen Sie mit references/api-reference.md für GuardDuty-Finding-Typen und Athena-Beispiele sowie mit scripts/agent.py, wenn Sie verstehen möchten, wie Findings gefiltert werden, bevor Sie die Logik anpassen.

FAQ zum Skill „detecting-s3-data-exfiltration-attempts“

Ist das nur für AWS-Security-Teams?

Nein. Der Skill ist auch für Auditoren, IR-Teams und Platform Engineers nützlich, die S3-Zugriffe evidenzbasiert prüfen müssen. Entscheidend ist der Zugriff auf AWS-Logging und genügend Kontext, um den Traffic richtig einzuordnen.

Worin unterscheidet er sich von einem normalen Prompt?

Ein normaler Prompt liefert oft allgemeine Ratschläge. Der detecting-s3-data-exfiltration-attempts skill ist auf einen konkreten Untersuchungsweg ausgerichtet: S3-Telemetrie, GuardDuty-S3-Findings, Macie-Signale und Prüfungen der Zugriffspolicies. Dadurch eignet er sich besser für wiederholbare Security-Audit-Arbeit.

Was sind die wichtigsten Grenzen?

Er ersetzt keine Präventionskontrollen wie Bucket-Policies, SCPs, VPC Endpoints oder Public-Access-Blocks. Außerdem sollte er nicht für reine Datenerkundung oder für Hunting nach nicht-S3-basierten Netzwerk-Exfiltrationen verwendet werden.

Ist der Skill anfängerfreundlich?

Ja, wenn Sie die Incident-Eingaben liefern können. Anfänger erzielen die besten Ergebnisse, wenn sie den Alert, den relevanten Log-Ausschnitt und die Bucket-/Account-Details einfügen, statt das Modell den Kontext erfinden zu lassen.

So verbessern Sie den Skill „detecting-s3-data-exfiltration-attempts“

Geben Sie dem Modell die Belege, nicht die Theorie

Der beste Weg, die Ergebnisse von detecting-s3-data-exfiltration-attempts zu verbessern, ist die Bereitstellung harter Fakten: Zeitstempel, ARNs, IPs, Objektanzahlen, Dateigrößen und Finding-Typen. Wenn Sie nur sagen „Ich vermute Exfiltration“, bleibt die Analyse generisch; wenn Sie die tatsächlichen CloudTrail-Events mitgeben, kann der Skill das Verhalten mit bekannten S3-Exfiltrationsmustern abgleichen.

Ergänzen Sie den Kontrollkontext

Nehmen Sie Bucket-Policy, Public-Access-Block-Status, Cross-Account-Zugriffsregeln und die Frage auf, ob Server Access Logging oder CloudTrail-Data-Events zum fraglichen Zeitpunkt aktiviert waren. Diese Details entscheiden oft darüber, ob die Aktivität überhaupt möglich war – nicht nur, ob sie verdächtig aussah.

Mit einem engeren zweiten Prompt iterieren

Bitten Sie nach dem ersten Durchlauf um ein engeres Ergebnis: „Fasse die stärksten Exfiltrationshinweise zusammen“, „Liste harmlose Erklärungen auf, die dennoch zu den Belegen passen“, oder „Ordne die Findings wahrscheinlichen Angreiferhandlungen und betroffenen Objekten zu.“ Das ist besonders nützlich bei detecting-s3-data-exfiltration-attempts für Security Audit, weil die Qualität der Entscheidung davon abhängt, Lärm von Belegen zu trennen.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

security-threat-model

von openai

Repository-basiertes security-threat-model für AppSec-Threat-Modeling. Es überführt Vertrauensgrenzen, Assets, Angreiferziele, Missbrauchspfade und Gegenmaßnahmen in ein kompaktes Markdown-Threat-Model. Nutzen Sie es, wenn Sie security-threat-model für Threat Modeling in einem konkreten Repo oder Pfad brauchen, nicht für eine generische Architekturprüfung oder Codeanalyse.

Threat Modeling

Favoriten 0GitHub 0

solana-vulnerability-scanner

von trailofbits

solana-vulnerability-scanner ist ein fokussierter Solana-Security-Audit-Skill für native Rust- und Anchor-Programme. Er hilft dabei, CPI-Logik, PDA-Validierung, Signer- und Ownership-Prüfungen sowie Sysvar-Spoofing zu überprüfen, um sechs kritische Solana-spezifische Schwachstellen vor dem Deployment zu erkennen.

Security Audit

Favoriten 0GitHub 4.9k

azure-ai-contentsafety-ts

von microsoft

azure-ai-contentsafety-ts hilft dabei, Text und Bilder mit Azure AI Content Safety in TypeScript auf schädliche Inhalte zu prüfen. Nutzen Sie diese Skill für Moderations-Workflows, Blocklists und Sicherheitsprüfungen von Hassrede, Gewalt, sexuellen Inhalten und Selbstverletzung. Außerdem werden das Einrichten von Azure-Endpunkt und Authentifizierung abgedeckt.

Security Audit

Favoriten 0GitHub 2.3k

sharp-edges

von trailofbits

Die sharp-edges-Skill hilft dir, APIs, Konfigurationen und Schnittstellen zu finden, bei denen der naheliegende Weg zu unsicherer Nutzung führt. Nutze sie, um Authentifizierungsflüsse, kryptografische Wrapper, gefährliche Standardwerte, Null- oder Zero-Semantik und anfällige Designentscheidungen zu prüfen. Sie passt besonders gut für sharp-edges bei Security-Audit-Arbeiten, wenn du konkrete Fallstricke brauchst und keine allgemeinen Sicherheitsvermutungen.

Security Audit

Favoriten 0GitHub 5k

security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Security Audit

Favoriten 0GitHub 156.3k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

von mukul975

Das Skill „exploiting-insecure-data-storage-in-mobile“ unterstützt bei der Bewertung und Extraktion von Beweismitteln aus unsicherem lokalem Speicher in Android- und iOS-Apps. Es behandelt SharedPreferences, SQLite-Datenbanken, plist-Dateien, weltweit lesbare Dateien, Backup-Offenlegung sowie schwache Keychain-/Keystore-Verarbeitung für Mobile-Pentesting und Security-Audit-Workflows.

Security Audit

Favoriten 0GitHub 6.2k

building-incident-response-playbook

von mukul975

building-incident-response-playbook hilft Security-Teams, wiederverwendbare Incident-Response-Playbooks mit klaren Phasen, Entscheidungsbäumen, Eskalationskriterien, RACI-Zuordnung und SOAR-tauglicher Struktur zu erstellen. Es ist für die Dokumentation von Incident-Response-Prozessen, Workflows zur Incident-Triage und auditfähige operative Reaktionspläne gedacht.

Incident Triage

Favoriten 0GitHub 6.1k

building-patch-tuesday-response-process

von mukul975

building-patch-tuesday-response-process hilft Teams dabei, einen wiederholbaren Microsoft Patch Tuesday-Prozess aufzubauen, um Advisories zu triagieren, Risiken zu priorisieren, Patches zu testen, Rollouts freizugeben und Compliance nachzuverfolgen. Nützlich für Security Operations, Vulnerability Management und building-patch-tuesday-response-process für Projektmanagement.

Project Management

Favoriten 0GitHub 6.1k

ossfuzz

von trailofbits

Lerne die ossfuzz-Skill für Continuous Fuzzing-Setup, Projektanmeldung, Harness-Planung und die Prüfung des Build-Workflows kennen. Dieser Leitfaden hilft Security Engineers und Maintainers dabei, die Einsatzbereitschaft einzuschätzen, Build-Blocker zu erkennen und einen praktischen Weg vom Source Tree zu OSS-Fuzz oder einer privaten Fuzzing-Infrastruktur vorzubereiten.

Security Audit

Favoriten 0GitHub 5k

codeql

von trailofbits

Die codeql-Skill hilft dir, CodeQL bei einem Security Audit mit weniger blinden Flecken einzusetzen. Der Fokus liegt auf Datenbankqualität, Suite-Auswahl, Data Extensions und SARIF-Review, damit du codeql zuverlässiger über unterstützte Sprachen hinweg verwenden kannst. Nutze sie für wiederholbare codeql-Anleitungsschritte bei der Analyse realer Repositories.

Security Audit

Favoriten 0GitHub 5k

semgrep-rule-creator

von trailofbits

semgrep-rule-creator erstellt Semgrep-Regeln in Produktionsqualität für Sicherheitslücken, Bug-Muster, Taint-Flow-Erkennungen und Coding-Standards. Verwenden Sie den semgrep-rule-creator Skill für Security-Audit-Aufgaben, wenn Sie präzise Regeln, Testfälle und Validierung statt eines generischen Entwurfs brauchen.

Security Audit

Favoriten 0GitHub 5k

insecure-defaults

von trailofbits

Die insecure-defaults Skill hilft dabei, Fail-Open-Konfigurationsmuster zu erkennen, bei denen Software mit unsicheren Einstellungen weiterläuft, statt abzubrechen. Verwenden Sie sie für ein Security Audit von Produktionscode, Deployment-Konfigurationen und Logik zur Secret-Verarbeitung, um schwache Authentifizierung, hartcodierte Geheimnisse und zu freizügige Standardwerte aufzudecken.

Security Audit

Favoriten 0GitHub 5k

constant-time-analysis

von trailofbits

constant-time-analysis ist eine Security-Audit-Skill zum Finden von Timing-Side-Channel-Risiken in kryptografischem Code, bevor sie zu ausnutzbaren Bugs werden. Nutze sie, um geheimnisabhängige Mathematik, Verzweigungen, Vergleiche und kompilierten Output zu prüfen, wenn du C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python oder Ruby analysierst.

Security Audit

Favoriten 0GitHub 5k

secure-workflow-guide

von trailofbits

secure-workflow-guide führt durch einen 5-stufigen Solidity-Security-Workflow: Slither-Triage, funktionsspezifische Checks, visuelle Prüfung, Notizen zu Security-Properties und manuelle Review. Die Skill ist für Smart-Contract-Teams, Auditoren und Entwickler gedacht, die vor Deployment oder Release einen wiederholbaren secure-workflow-guide benötigen.

Security Audit

Favoriten 0GitHub 4.9k

algorand-vulnerability-scanner

von trailofbits

algorand-vulnerability-scanner ist eine Security-Audit-Skill für Algorand TEAL und PyTeal. Sie hilft dabei, 11 häufige Probleme zu finden, darunter Rekeying-Angriffe, Lücken bei der Gebührenvalidierung, Feldprüfungen und Schwachstellen in der Zugriffskontrolle. Verwenden Sie die algorand-vulnerability-scanner-Skill für eine praxisnahe Erstprüfung vor einem manuellen Audit.

Security Audit

Favoriten 0GitHub 4.9k