Logs

analyzing-security-logs-with-splunk unterstützt bei der Untersuchung von Sicherheitsvorfällen in Splunk, indem Windows-, Firewall-, Proxy- und Authentifizierungs-Logs zu Zeitleisten und Belegen korreliert werden. Diese analyzing-security-logs-with-splunk Skill ist ein praxisnaher Leitfaden für Security Audits, Incident Response und Threat Hunting.

analyzing-cloud-storage-access-patterns hilft Security-Teams dabei, verdächtige Zugriffe auf Cloud-Speicher in AWS S3, GCS und Azure Blob Storage zu erkennen. Das Skill analysiert Audit-Logs auf Massen-Downloads, neue Quell-IPs, ungewöhnliche API-Aufrufe, Bucket-Enumeration, Zugriffe außerhalb der Geschäftszeiten und mögliche Exfiltration mithilfe von Baseline- und Anomalie-Prüfungen.

Skill zum Abfragen von Azure Monitor Activity Logs und Sign-in-Logs, um verdächtige Admin-Aktionen, Impossible Travel, Privilegienausweitung und Manipulationen an Ressourcen zu erkennen. Entwickelt für die Incident-Triage mit KQL-Mustern, einem klaren Ausführungspfad und praxisnahen Hinweisen zu Azure-Logtabellen.

analyzing-api-gateway-access-logs hilft dabei, API-Gateway-Access-Logs zu parsen, um BOLA/IDOR, Umgehung von Rate-Limits, Credential-Scanning und Injektionsversuche zu erkennen. Entwickelt für SOC-Triage, Threat Hunting und Security-Audit-Workflows mit AWS API Gateway, Kong und Nginx-ähnlichen Logs auf Basis einer pandas-gestützten Analyse.

azure-monitor-query-py unterstützt Python-Entwickler beim Abfragen von Azure Monitor-Logs und Metriken mit azure-monitor-query. Nutzen Sie es für Log Analytics Workspaces, Azure-Ressourcenmetriken, Backend-Monitoring, Diagnosen und die Automatisierung von Observability. Es passt zum azure-monitor-query-py Skill, wenn Sie bereits Workspace-IDs, Resource-URIs und Azure-Anmeldedaten haben.

Analysieren Sie WAF- und Audit-Logs mit detecting-sql-injection-via-waf-logs, um SQL-Injection-Kampagnen zu erkennen. Entwickelt für Security-Audit- und SOC-Workflows, verarbeitet es ModSecurity-, AWS-WAF- und Cloudflare-Ereignisse, klassifiziert UNION SELECT-, OR 1=1-, SLEEP()- und BENCHMARK()-Muster, korreliert Quellen und liefert vorfallsorientierte Befunde.

Die Skill „detecting-evasion-techniques-in-endpoint-logs“ hilft dabei, Verteidigungsumgehung in Windows-Endpunktprotokollen aufzuspüren, darunter das Löschen von Logs, Timestomping, Prozessinjektion und das Deaktivieren von Sicherheitstools. Sie eignet sich für Threat Hunting, Detection Engineering und Incident-Triage mit Sysmon-, Windows-Security- oder EDR-Telemetrie.

Die Skill zur Analyse von Webserver-Logs auf Angriffe wertet Apache- und Nginx-Access-Logs aus, um SQL-Injection, Local File Inclusion, Directory Traversal, Scanner-Fingerprints, Brute-Force-Wellen und auffällige Request-Muster zu erkennen. Sie eignet sich für Intrusion-Triage, Threat Hunting und Security-Audit-Workflows mit GeoIP-Anreicherung und signaturbasierter Erkennung.

Die Fähigkeit „analyzing-tls-certificate-transparency-logs“ unterstützt Security-Teams dabei, Certificate-Transparency-Daten mit `crt.sh`, `pycrtsh` und verwandten Feeds abzufragen, um verdächtige TLS-Zertifikate, ähnlich aussehende Domains, Typosquatting und unautorisierte Ausstellung aufzuspüren. Sie eignet sich für Threat Hunting, Markenschutz und Zertifikatsüberwachung und bietet dafür einen praxisnahen Workflow mit Ähnlichkeitsprüfungen.

Das Skill „analyzing-powershell-script-block-logging“ dient dazu, Windows PowerShell Script Block Logging Ereignis-ID 4104 aus EVTX-Dateien zu parsen, aufgespaltene Script Blocks wieder zusammenzuführen und obfuskierte Befehle, kodierte Payloads, Missbrauch von Invoke-Expression, Download-Cradles sowie Versuche zur AMSI-Umgehung für Security-Audit-Aufgaben zu markieren.

analyzing-linux-audit-logs-for-intrusion ist eine Linux-Skill für Incident Response zur Auswertung von auditd. Sie hilft dabei, verdächtige Logins, Privilegienerweiterungen, Manipulationen an Dateien und Hinweise auf Host-Intrusion mit ausearch, aureport und auditctl zu erkennen.

analyzing-kubernetes-audit-logs ist eine Kubernetes-Security-Analyse-Skill, die API-Server-Audit-Logs in verwertbare Findings überführt. Nutzen Sie sie, um `exec`-Zugriffe auf Pods, Secret-Zugriffe, RBAC-Änderungen, privilegierte Workloads und anonymen API-Zugriff zu untersuchen oder um Detection Rules und Triage-Zusammenfassungen aus JSON-Lines-Auditdaten zu erstellen.

analyzing-docker-container-forensics unterstützt bei der Untersuchung kompromittierter Docker-Container, indem Images, Layer, Volumes, Logs und Laufzeit-Artefakte analysiert werden, um schädliche Aktivitäten zu identifizieren und Beweise zu sichern. Nutzen Sie diese analyzing-docker-container-forensics Skill für ein Security Audit, eine Incident-Analyse oder eine Bewertung zur Härtung von Containern.

analyzing-dns-logs-for-exfiltration hilft SOC-Analysten dabei, DNS-Tunneling, DGA-ähnliche Domains, TXT-Missbrauch und verdeckte C2-Muster in SIEM- oder Zeek-Logs zu erkennen. Nutzen Sie es für Security-Audit-Workflows, wenn Sie Entropieanalysen, Auffälligkeiten bei Anfragevolumen und praxisnahe Triage-Hinweise benötigen.

Die sentry skill ist ein schreibgeschütztes Observability-Tool zum Prüfen von Sentry-Issues, Events und Health-Signalen. Verwende es, um aktuelle Produktionsfehler zu untersuchen, Auswirkungen zusammenzufassen und wiederholbare CLI-Abfragen mit strukturierten Ausgaben auszuführen. Es eignet sich besonders, wenn du einen praktischen sentry Leitfaden für Triage brauchst, nicht einen breiten Observability-Überblick.

azure-monitor-opentelemetry-exporter-py hilft dir beim Einrichten eines Low-Level-OpenTelemetry-Exports von Python zu Azure Monitor und Application Insights. Nutze es, wenn du eine maßgeschneiderte Observability-Pipeline mit direkter Kontrolle über Traces, Metriken und Logs brauchst – nicht eine höherstufige Auto-Instrumentierungs-Distro.