detecting-azure-lateral-movement

por mukul975

detecting-azure-lateral-movement ayuda a analistas de seguridad a buscar movimiento lateral en Azure AD/Entra ID y Microsoft Sentinel usando registros de auditoría de Microsoft Graph, telemetría de inicio de sesión y correlación KQL. Úsalo para triage de incidentes, ingeniería de detecciones y flujos de auditoría de seguridad que abarcan abuso de consentimiento, uso indebido de service principals, robo de tokens y pivoteo entre tenant.

Estrellas6.1k

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-azure-lateral-movement

Puntuación editorial

Esta skill obtiene 78/100, lo que la convierte en una candidata sólida para usuarios del directorio que necesitan soporte para buscar movimiento lateral en Azure/Entra ID. El repositorio incluye contenido real de detección, contexto de activación utilizable y suficiente material operativo para reducir las dudas frente a un prompt genérico, aunque la página de instalación aún debería señalar algunas lagunas de implementación.

78/100

Puntos fuertes

Casos de uso explícitos y orientación sobre cuándo usarla para respuesta a incidentes, threat hunting y validación de cobertura de monitorización.
Evidencia concreta de flujo de trabajo: endpoints de auditoría/inicio de sesión de Microsoft Graph y detecciones KQL en Sentinel para concesiones de consentimiento, abuso de service principals y replay de tokens.
La presencia de un script de soporte y una referencia de API indica que la skill está pensada para un hunting ejecutable, no solo para orientación narrativa.

Puntos a tener en cuenta

Hay prerrequisitos, pero el extracto muestra al menos una línea de requisito truncada o poco clara, así que la configuración puede requerir verificación adicional antes de usarla.
No aparece un comando de instalación y hay señales limitadas de divulgación progresiva, por lo que quizá los usuarios deban revisar los archivos de script/referencia para entender los pasos exactos de ejecución.

Azure Entra Id Microsoft Graph Sentinel Kql Threat Hunting Lateral Movement

Resumen

Descripción general de la skill detecting-azure-lateral-movement

detecting-azure-lateral-movement es una skill de ciberseguridad para detectar movimiento lateral en entornos de Azure AD/Entra ID y Microsoft Sentinel. Ayuda a los analistas a convertir preguntas vagas de incidentes en detecciones prácticas basadas en datos de auditoría de Microsoft Graph, registros de inicio de sesión y correlación KQL. Si necesitas detecting-azure-lateral-movement para Security Audit, su tarea principal es identificar pronto abusos sospechosos de identidades: concesiones de consentimiento, uso indebido de service principals, repetición de tokens, pivotaje entre tenants y rutas relacionadas de escalada de privilegios.

Para qué sirve mejor esta skill detecting-azure-lateral-movement

Usa esta skill cuando estés creando detecciones, analizando incidentes de identidad o validando cobertura frente a técnicas de ataque cloud-first. Encaja bien para analistas SOC, threat hunters e ingenieros de seguridad que quieren una guía centrada en detecting-azure-lateral-movement en lugar de un prompt genérico sobre seguridad en Azure.

Qué la diferencia

La skill no se limita a consultar registros. Está orientada a correlacionar varias fuentes de Azure y a mapear esas señales con rutas de ataque realistas. Eso importa porque el movimiento lateral en Entra ID suele dejar rastros débiles y dispersos, no un único evento evidente.

Cuándo no encaja bien

Si tu objetivo es el hardening general de Azure, el diseño de IAM o tareas administrativas sin relación con seguridad, esta no es la herramienta adecuada. Tampoco sustituye un proceso completo de respuesta a incidentes ni una plataforma madura de detection engineering.

Cómo usar la skill detecting-azure-lateral-movement

Instala e inspecciona los archivos de la skill

Usa la ruta del repositorio y carga la skill con:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-azure-lateral-movement

Para decidir si instalar detecting-azure-lateral-movement, los archivos más útiles son skills/detecting-azure-lateral-movement/SKILL.md, references/api-reference.md y scripts/agent.py. Lee primero el archivo de referencia si quieres contexto sobre endpoints y KQL; lee primero el script si quieres entender el flujo de ejecución y la lógica de indicadores.

Dale la entrada correcta

La skill funciona mejor cuando le das un objetivo concreto de hunting, no una petición ambigua. Una buena entrada incluye contexto del tenant, fuentes de logs disponibles, ventana temporal y el comportamiento sospechoso que quieres probar.

Formato de prompt útil:

“Investiga posible abuso de consentimiento OAuth en un tenant de Microsoft 365 usando Sentinel KQL y Graph audit logs de los últimos 7 días.”
“Crea detecciones para anomalías de inicio de sesión entre tenants y token replay en Entra ID, suponiendo que tengo SigninLogs y AuditLogs.”
“Genera un hunt paso a paso para altas de credenciales de service principal vinculadas a escalada de privilegios.”

Usa el flujo de trabajo que mejor encaje con tu entorno

Empieza por el patrón de ataque, luego mapea la telemetría disponible y después refina hasta llegar a una consulta o a una secuencia de investigación. Si solo tienes Microsoft Sentinel, apóyate en KQL. Si puedes consultar Microsoft Graph directamente, úsalo para auditorías de directorio y comprobaciones de service principals, y luego correlaciona los hallazgos con el comportamiento de inicio de sesión. Ese orden importa más que alargar el prompt.

Qué revisar primero en el repo

Prioriza estas áreas del repositorio en este orden:

SKILL.md para el alcance de detección y los prerrequisitos.
references/api-reference.md para endpoints de Graph y KQL de ejemplo.
scripts/agent.py para nombres de indicadores, flujo de consultas y supuestos sobre telemetría.

Este orden te ayuda a no pasar por alto dependencias como permisos, retención de logs o acceso a la API antes de intentar ejecutar un hunt.

Preguntas frecuentes de la skill detecting-azure-lateral-movement

¿Esto es solo para usuarios de Microsoft Sentinel?

No. Sentinel es la superficie principal de análisis, pero la skill también admite investigación impulsada por Microsoft Graph. Si puedes exportar o consultar AuditLogs y SigninLogs, todavía puedes usar la metodología.

¿Necesito experiencia avanzada en Azure?

No necesariamente. La skill detecting-azure-lateral-movement es accesible para analistas que ya entienden conceptos básicos de logging de identidades. Sí necesitas suficiente contexto para distinguir consentimiento de apps, actividad de service principals y anomalías de inicio de sesión.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede generar una consulta genérica de hunting en Azure. Esta skill es más opinativa: te dirige hacia patrones concretos de abuso de identidad, telemetría útil y una ruta práctica de análisis. Eso suele reducir los falsos arranques y mejorar la calidad de uso de detecting-azure-lateral-movement.

¿Cuándo no debería usarla?

No la uses para informes amplios de cumplimiento, inventario del tenant o investigaciones de malware en endpoints sin relación. Aporta más valor cuando el comportamiento sospechoso implica pivotaje de identidad, abuso de acceso delegado o movimiento lateral nativo de la nube.

Cómo mejorar la skill detecting-azure-lateral-movement

Dale al modelo un contexto de telemetría más preciso

Mejores entradas producen mejores hunts. Especifica qué logs tienes, si están completos o muestreados, y el periodo que necesitas analizar. Por ejemplo, “Tengo 30 días de AuditLogs, 14 días de SigninLogs y no tengo feed de identity protection” es mucho más accionable que “busca actividad maliciosa”.

Ancla la petición a una sola ruta de ataque

Elige una hipótesis por ejecución: abuso de concesión de consentimiento, cambio de credenciales de un service principal, token replay, delegación de buzón o pivotaje entre tenants. Mezclar demasiadas rutas en una sola petición suele producir detecciones superficiales y una priorización débil.

Pide resultados útiles para la operación

Los mejores resultados suelen ser pasos de investigación, KQL y guía de triage, no solo un resumen. Pide campos que revisar, explicaciones benignas esperables y la siguiente consulta que debes ejecutar después del primer hallazgo. Eso hace que detecting-azure-lateral-movement para Security Audit sea mucho más útil en el trabajo real.

Itera después del primer borrador

Usa la primera salida para detectar lagunas: permisos que faltan, tablas no compatibles o filtros demasiado amplios. Después ajusta la petición con detalles específicos del tenant, apps legítimas conocidas o una ventana temporal más estrecha. Esa es la forma más rápida de convertir la skill detecting-azure-lateral-movement en un hunt repetible y no en una respuesta puntual.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k