Anomaly Detection

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

La skill de detectar anomalías de red con Zeek ayuda a desplegar Zeek para la monitorización pasiva de redes, revisar logs estructurados y crear detecciones personalizadas para beaconing, DNS tunneling y actividad inusual de protocolos. Está pensada para threat hunting, respuesta a incidentes, metadatos de red listos para SIEM y flujos de trabajo de auditoría de seguridad; no para prevención en línea.

detecting-modbus-protocol-anomalies ayuda a detectar comportamientos sospechosos de Modbus/TCP y Modbus RTU en redes OT e ICS, incluidos códigos de función no válidos, accesos fuera de rango a registros, temporización anómala de sondeo, escrituras no autorizadas y tramas malformadas. Es útil para una auditoría de seguridad y para la priorización basada en evidencias.

detecting-beaconing-patterns-with-zeek ayuda a analizar intervalos de `conn.log` de Zeek para detectar beaconing de estilo C2. Usa ZAT, agrupa flujos por origen, destino y puerto, y puntúa patrones de baja variación con comprobaciones estadísticas. Es ideal para SOC, threat hunting, respuesta a incidentes y flujos de trabajo de auditoría de seguridad con detecting-beaconing-patterns-with-zeek.

analyzing-cloud-storage-access-patterns ayuda a los equipos de seguridad a detectar accesos sospechosos al almacenamiento en la nube en AWS S3, GCS y Azure Blob Storage. Analiza registros de auditoría para identificar descargas masivas, nuevas IP de origen, llamadas API inusuales, enumeración de buckets, accesos fuera de horario y posible exfiltración mediante comprobaciones de línea base y anomalías.

Skill analyzing-azure-activity-logs-for-threats para consultar los registros de actividad y de inicio de sesión de Azure Monitor y detectar acciones administrativas sospechosas, viajes imposibles, escalada de privilegios y manipulación de recursos. Pensado para la triaje de incidentes, con patrones KQL, un flujo de ejecución y orientación práctica sobre tablas de logs de Azure.

La skill alert-manager ayuda a los equipos a diseñar marcos de alertas SEO y GEO para caídas de posicionamiento, anomalías de tráfico, problemas técnicos, cambios de la competencia y variaciones en la visibilidad en IA, con guías de umbrales y plantillas reutilizables.

La habilidad detecting-stuxnet-style-attacks ayuda a los defensores a detectar patrones de intrusión OT e ICS al estilo Stuxnet, incluyendo manipulación de la lógica de PLC, datos de sensores suplantados, compromiso de estaciones de trabajo de ingeniería y movimiento lateral de IT a OT. Úsala para threat hunting, triaje de incidentes y monitoreo de la integridad de procesos con evidencia de protocolos, hosts y procesos.

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

detecting-arp-poisoning-in-network-traffic ayuda a detectar ARP spoofing en tráfico en vivo o en archivos PCAP con ARPWatch, Dynamic ARP Inspection, Wireshark y comprobaciones en Python. Está pensada para respuesta a incidentes, triaje en SOC y análisis repetible de cambios IP a MAC, ARP gratuitos e indicadores de MITM.

detecting-insider-threat-with-ueba te ayuda a crear detecciones UEBA en Elasticsearch o OpenSearch para casos de amenazas internas, incluyendo líneas base de comportamiento, puntuación de anomalías, análisis de grupos de pares y alertas correlacionadas para exfiltración de datos, abuso de privilegios y acceso no autorizado. Encaja con workflows de Respuesta a Incidentes para detecting-insider-threat-with-ueba.

detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.

detecting-dnp3-protocol-anomalies ayuda a analizar tráfico DNP3 en entornos SCADA para detectar comandos de control no autorizados, violaciones del protocolo, intentos de reinicio y desviaciones del comportamiento de referencia. Usa esta skill detecting-dnp3-protocol-anomalies para auditorías de seguridad, ajuste de IDS y revisión de logs de Zeek o capturas de paquetes.

detecting-cryptomining-in-cloud ayuda a los equipos de seguridad a detectar criptominería no autorizada en cargas de trabajo en la nube al correlacionar picos de coste, tráfico hacia puertos de minería, hallazgos de criptominería de GuardDuty y evidencias de procesos en tiempo de ejecución. Úsala para triaje, ingeniería de detección y flujos de trabajo de Security Audit con detecting-cryptomining-in-cloud.

detecting-aws-cloudtrail-anomalies ayuda a analizar la actividad de AWS CloudTrail para detectar orígenes de API inusuales, acciones ejecutadas por primera vez, llamadas de alta frecuencia y comportamientos sospechosos vinculados con compromiso de credenciales o escalada de privilegios. Úsalo para una detección estructurada de anomalías con boto3, líneas base y análisis de campos de eventos.

detecting-anomalous-authentication-patterns ayuda a analizar registros de autenticación para detectar viajes imposibles, fuerza bruta, password spraying, credential stuffing y actividad de cuentas comprometidas. Está diseñado para flujos de trabajo de auditoría de seguridad, SOC, IAM y respuesta a incidentes, con detección basada en líneas de referencia y análisis de inicios de sesión respaldado por evidencias.

Guía de deploying-osquery-for-endpoint-monitoring para desplegar y configurar osquery con visibilidad de endpoints, monitorización de toda la flota e investigación de amenazas basada en SQL. Úsala para planificar la instalación, revisar el flujo de trabajo y las referencias de API, y poner en marcha consultas programadas, recopilación de logs y revisión centralizada en endpoints Windows, macOS y Linux.

building-detection-rules-with-sigma ayuda a los analistas a crear reglas de detección Sigma portables a partir de inteligencia de amenazas o reglas de proveedores, mapearlas a MITRE ATT&CK y convertirlas para SIEM como Splunk, Elastic y Microsoft Sentinel. Usa esta guía de building-detection-rules-with-sigma para flujos de trabajo de auditoría de seguridad, estandarización y detection-as-code.

La skill de análisis de logs de servidor web para intrusiones analiza logs de acceso de Apache y Nginx para detectar inyección SQL, inclusión local de archivos, traversal de directorios, firmas de scanners, ráfagas de fuerza bruta y patrones anómalos de solicitudes. Úsala para triaje de intrusiones, threat hunting y flujos de trabajo de auditoría de seguridad, con enriquecimiento GeoIP y detección basada en firmas.

analyzing-dns-logs-for-exfiltration ayuda a analistas SOC a detectar tunelización DNS, dominios tipo DGA, abuso de TXT y patrones encubiertos de C2 a partir de registros de SIEM o Zeek. Úsala en flujos de trabajo de auditoría de seguridad cuando necesites análisis de entropía, anomalías en el volumen de consultas y orientación práctica para el triaje.