Monitoring

La skill security-scan audita la configuración de .claude/ de Claude Code en busca de secretos, configuraciones MCP de riesgo, instrucciones propensas a inyección, banderas de omisión peligrosas y definiciones débiles de agentes o hooks usando AgentShield. Úsala para realizar comprobaciones de seguridad repetibles antes de hacer commit o incorporar nuevos miembros al proyecto.

canary-watch es una skill de monitorización postdeploy para comprobar una URL en producción y detectar regresiones después de releases, merges o actualizaciones de dependencias, tanto en staging como en producción.

canary es una skill de monitoreo postdespliegue que vigila aplicaciones en vivo para detectar errores de consola, fallos de página y regresiones de rendimiento. Compara el comportamiento actual con una línea base previa al despliegue para que puedas verificar una versión, detectar páginas rotas y encontrar anomalías visibles con menos suposiciones que con un prompt genérico.

python-observability te ayuda a instrumentar servicios Python con logging estructurado, métricas, trazas, IDs de correlación y patrones de cardinalidad acotada para depuración en producción y despliegues de observabilidad más seguros.

grafana-dashboards ayuda a los agentes a diseñar dashboards de Grafana para observabilidad en producción. Úsalo para planificar diseños basados en RED y USE, definir la jerarquía de paneles y esbozar la estructura del dashboard para métricas de estilo Prometheus.

prometheus-configuration te ayuda a instalar y usar Prometheus para scraping, retención, alertas y recording rules en entornos con Kubernetes, Docker Compose y servidores.

Usa la skill slo-implementation para definir SLI, SLO, presupuestos de error y alertas de burn rate en trabajo de Reliability. Ayuda a los equipos a convertir los objetivos del servicio en metas medibles con ejemplos de estilo PromQL y orientación práctica de SKILL.md.

Usa la skill distributed-tracing para diseñar y explicar el trazado de solicitudes entre microservicios con Jaeger y Tempo. Incluye conceptos básicos de instalación, nociones de traces y spans, patrones de configuración en Kubernetes, propagación de contexto y casos prácticos para observabilidad y depuración de latencia.

appinsights-instrumentation ayuda a instrumentar aplicaciones web alojadas en Azure con Application Insights. Orienta tanto la instrumentación automática en App Service como la configuración manual en ASP.NET Core y Node.js, incluida la cadena de conexión y las actualizaciones de IaC.

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

La skill de detectar anomalías de red con Zeek ayuda a desplegar Zeek para la monitorización pasiva de redes, revisar logs estructurados y crear detecciones personalizadas para beaconing, DNS tunneling y actividad inusual de protocolos. Está pensada para threat hunting, respuesta a incidentes, metadatos de red listos para SIEM y flujos de trabajo de auditoría de seguridad; no para prevención en línea.

detecting-beaconing-patterns-with-zeek ayuda a analizar intervalos de `conn.log` de Zeek para detectar beaconing de estilo C2. Usa ZAT, agrupa flujos por origen, destino y puerto, y puntúa patrones de baja variación con comprobaciones estadísticas. Es ideal para SOC, threat hunting, respuesta a incidentes y flujos de trabajo de auditoría de seguridad con detecting-beaconing-patterns-with-zeek.

Guía de configuración de la detección de intrusiones en hosts para montar HIDS con Wazuh, OSSEC o AIDE y supervisar la integridad de archivos, los cambios del sistema y la seguridad de endpoints orientada al cumplimiento en flujos de trabajo de auditoría de seguridad.

Skill analyzing-azure-activity-logs-for-threats para consultar los registros de actividad y de inicio de sesión de Azure Monitor y detectar acciones administrativas sospechosas, viajes imposibles, escalada de privilegios y manipulación de recursos. Pensado para la triaje de incidentes, con patrones KQL, un flujo de ejecución y orientación práctica sobre tablas de logs de Azure.

azure-monitor-opentelemetry-ts ayuda a instrumentar aplicaciones Node.js con Azure Monitor y OpenTelemetry para trazas distribuidas, métricas y registros. Usa esta skill de azure-monitor-opentelemetry-ts para instalar el paquete, configurar APPLICATIONINSIGHTS_CONNECTION_STRING y seguir el orden de inicio correcto para la autoinstrumentación.

azure-monitor-opentelemetry-py es la distribución de Azure Monitor OpenTelemetry para Python. Úsala para configurar Application Insights en una sola línea, hacer auto-instrumentación y obtener telemetría práctica de Azure Monitor con cambios mínimos en el código de la aplicación.

La skill alert-manager ayuda a los equipos a diseñar marcos de alertas SEO y GEO para caídas de posicionamiento, anomalías de tráfico, problemas técnicos, cambios de la competencia y variaciones en la visibilidad en IA, con guías de umbrales y plantillas reutilizables.

detecting-container-escape-with-falco-rules ayuda a detectar intentos de escape de contenedores con reglas de seguridad en tiempo de ejecución de Falco. Se centra en señales de syscall, contenedores privilegiados, abuso de rutas del host, validación y flujos de respuesta ante incidentes para entornos de Kubernetes y contenedores Linux.

La skill detecting-wmi-persistence ayuda a analistas de threat hunting y DFIR a detectar la persistencia de suscripciones de eventos WMI en telemetría de Windows usando los Event IDs 19, 20 y 21 de Sysmon. Úsala para identificar actividad maliciosa de EventFilter, EventConsumer y FilterToConsumerBinding, validar hallazgos y distinguir la persistencia de un atacante de la automatización administrativa legítima.

detecting-arp-poisoning-in-network-traffic ayuda a detectar ARP spoofing en tráfico en vivo o en archivos PCAP con ARPWatch, Dynamic ARP Inspection, Wireshark y comprobaciones en Python. Está pensada para respuesta a incidentes, triaje en SOC y análisis repetible de cambios IP a MAC, ARP gratuitos e indicadores de MITM.

detecting-cryptomining-in-cloud ayuda a los equipos de seguridad a detectar criptominería no autorizada en cargas de trabajo en la nube al correlacionar picos de coste, tráfico hacia puertos de minería, hallazgos de criptominería de GuardDuty y evidencias de procesos en tiempo de ejecución. Úsala para triaje, ingeniería de detección y flujos de trabajo de Security Audit con detecting-cryptomining-in-cloud.

detecting-container-escape-attempts ayuda a investigar, detectar y priorizar señales de escape de contenedor en Docker y Kubernetes. Usa esta guía de detecting-container-escape-attempts para el triaje de incidentes, vectores de escape, interpretación de alertas y flujos de respuesta basados en evidencia de Falco, Sysdig, auditd e inspección de contenedores.

detecting-attacks-on-historian-servers ayuda a detectar actividad sospechosa en servidores historian de OT como OSIsoft PI, Ignition y Wonderware en el límite IT/OT. Usa esta guía de detecting-attacks-on-historian-servers para respuesta a incidentes, consultas no autorizadas, manipulación de datos, abuso de API y triaje de movimiento lateral.