Cloud Security

detecting-shadow-it-cloud-usage hilft dabei, nicht autorisierte SaaS- und Cloud-Nutzung anhand von Proxy-Logs, DNS-Queries und Netflow zu erkennen. Es klassifiziert Domains, vergleicht sie mit freigegebenen Listen und unterstützt Security-Audit-Workflows mit strukturierten Belegen aus dem detecting-shadow-it-cloud-usage skill guide.

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

detecting-azure-service-principal-abuse hilft dabei, verdächtige Aktivitäten von Microsoft Entra ID Service Principals in Azure zu erkennen, zu untersuchen und zu dokumentieren. Nutzen Sie es für Security Audits, Cloud Incident Response und Threat Hunting, um Änderungen an Anmeldeinformationen, Missbrauch von Admin-Zustimmungen, Rollenzuweisungen, Besitzpfade und Anomalien bei Anmeldungen zu prüfen.

Der Skill „exploiting-server-side-request-forgery“ unterstützt die Bewertung von SSRF-anfälligen Funktionen in autorisierten Web-Zielen, darunter URL-Fetcher, Webhooks, Vorschau-Tools und der Zugriff auf Cloud-Metadaten. Er bietet einen geführten Ablauf für Erkennung, Bypass-Tests, das Ausloten interner Dienste und die Validierung im Rahmen eines Security Audit.

detecting-oauth-token-theft hilft bei der Untersuchung von OAuth-Token-Diebstahl, Replay-Angriffen und Session-Hijacking in Microsoft Entra ID und M365. Verwenden Sie diesen detecting-oauth-token-theft Skill für Security Audits, Incident Response und Härtungsreviews. Der Fokus liegt auf Anomalien bei Anmeldungen, verdächtigen Scopes, neuen Geräten und Eindämmungsmaßnahmen.

detecting-cryptomining-in-cloud hilft Security-Teams dabei, unautorisiertes Krypto-Mining in Cloud-Workloads zu erkennen, indem Kostenanstiege, Traffic über Mining-Ports, GuardDuty-Crypto-Funde und Laufzeit-Evidenz aus Prozessen miteinander korreliert werden. Nutzen Sie das Skill für Triage, Detection Engineering und für Workflows im Security Audit rund um detecting-cryptomining-in-cloud.

detecting-compromised-cloud-credentials ist ein Cloud-Security-Skill für AWS, Azure und GCP, der dabei hilft, missbräuchliche Anmeldedaten-Nutzung zu bestätigen, anomale API-Aktivitäten nachzuverfolgen, „Impossible Travel“ und verdächtige Logins zu untersuchen sowie den Umfang eines Vorfalls anhand von Provider-Telemetrie und Alerts einzugrenzen.

detecting-cloud-threats-with-guardduty führt AWS-Teams durch das Aktivieren von Amazon GuardDuty, das Prüfen von Findings und den Aufbau automatisierter Reaktionen auf Cloud-Bedrohungen über Konten und Workloads hinweg. Es eignet sich für die Installation, Nutzung und den Betrieb nach der Einführung von GuardDuty in der Cloud-Architektur.

detecting-aws-cloudtrail-anomalies hilft dabei, AWS-CloudTrail-Aktivitäten auf ungewöhnliche API-Quellen, erstmalige Aktionen, hohe Aufrufhäufigkeiten und verdächtiges Verhalten im Zusammenhang mit kompromittierten Zugangsdaten oder Privilegienausweitung zu analysieren. Verwenden Sie es für strukturierte Anomalieerkennung mit boto3, Baseline-Vergleichen und Event-Feldanalyse.

conducting-cloud-penetration-testing hilft dir, autorisierte Cloud-Assessments über AWS, Azure und GCP zu planen und durchzuführen. Nutze es, um IAM-Fehlkonfigurationen, Exposition von Metadaten, öffentliche Ressourcen und Eskalationspfade zu finden und die Ergebnisse anschließend in einen Sicherheitsprüfbericht zu überführen. Es passt zum conducting-cloud-penetration-testing Skill für Security-Audit-Workflows.

conducting-cloud-incident-response ist ein Skill für Cloud Incident Response in AWS, Azure und GCP. Der Schwerpunkt liegt auf identitätsbasierter Eindämmung, Log-Prüfung, Isolierung von Ressourcen und der Sicherung forensischer Beweise. Nutzen Sie ihn bei verdächtigen API-Aktivitäten, kompromittierten Zugriffsschlüsseln oder Angriffen auf Cloud-Workloads, wenn Sie einen praxisnahen Guide für conducting-cloud-incident-response brauchen.

building-cloud-siem-with-sentinel ist ein praxisnaher Leitfaden für den Einsatz von Microsoft Sentinel als Cloud-SIEM- und SOAR-Schicht. Er behandelt die Logaufnahme aus Multi-Cloud-Umgebungen, KQL-Detektionen, Incident-Analyse sowie Response-Playbooks in Logic Apps für Security-Audit- und SOC-Workflows. Nutzen Sie dieses building-cloud-siem-with-sentinel Skill, wenn Sie einen repo-gestützten Ausgangspunkt für zentrales Cloud-Sicherheitsmonitoring brauchen.

auditing-kubernetes-cluster-rbac hilft dabei, Kubernetes-RBAC auf zu weit gefasste Rollen, riskante Bindings, Secret-Zugriffe und Privileg-Eskalationspfade zu prüfen. Es ist für Security-Audit-Workflows in EKS-, GKE-, AKS- und selbst verwalteten Clustern ausgelegt und bietet praxisnahe Anleitungen für kubectl, rbac-tool, KubiScan und Kubeaudit.

auditing-gcp-iam-permissions hilft dabei, Google Cloud IAM-Zugriffe auf riskante Bindungen, primitive Rollen, öffentlichen Zugriff, Offenlegung von Service Accounts und projektübergreifende Pfade zu prüfen. Dieser Skill für Zugriffs- und Berechtigungs-Audits ist auf evidenzbasierte Reviews mit gcloud, Cloud Asset, IAM Recommender und Policy Analyzer ausgelegt.

auditing-cloud-with-cis-benchmarks ist ein Security-Audit-Skill für die Cloud in AWS, Azure und GCP. Er hilft dabei, Umgebungen anhand der CIS Foundations Benchmarks zu bewerten, fehlgeschlagene Kontrollen zu prüfen und mit dem Skill-Guide, Referenzdateien und Agent-Patterns im Repo einen reproduzierbaren Weg von den Befunden zur Behebung zu gehen.

Die Skill "auditing-azure-active-directory-configuration" hilft dabei, die Sicherheit von Microsoft Entra ID-Tenants auf riskante Authentifizierungseinstellungen, zu viele Admin-Rollen, veraltete Konten, Lücken bei Conditional Access, Gastzugriffe und MFA-Abdeckung zu prüfen. Sie ist für Security-Audit-Workflows mit Graph-basierten Nachweisen und praxisnahen Handlungsempfehlungen ausgelegt.

Der Skill `auditing-aws-s3-bucket-permissions` hilft dir dabei, AWS S3-Buckets auf öffentliche Exponierung, zu weit gefasste ACLs, schwache Bucket-Policies und fehlende Verschlüsselung zu prüfen. Er ist für Security-Audit-Workflows ausgelegt und unterstützt eine wiederholbare Prüfung nach dem Least-Privilege-Prinzip mit AWS-CLI- und boto3-orientierten Hinweisen sowie praktischen Installations- und Nutzungshinweisen.