detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Estrellas6.2k

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-s3-data-exfiltration-attempts

Puntuación editorial

Esta skill obtiene 84/100, lo que la convierte en una candidata sólida para el directorio. Ofrece a los agentes un flujo de trabajo claro, centrado en la detección, para investigar intentos de exfiltración en S3, con señales concretas de AWS, un script dedicado y límites explícitos de “cuándo usarla / cuándo no usarla” que reducen la ambigüedad frente a un prompt genérico.

84/100

Puntos fuertes

Alta capacidad de activación: la skill nombra con precisión el escenario de investigación y define cuándo usarla y cuándo no.
Fundamentada en la operación: cita fuentes de evidencia y tipos de hallazgos específicos, incluidos eventos de datos de S3 de CloudTrail, hallazgos de S3 de GuardDuty, alertas de Macie y VPC Flow Logs.
Lista para agentes: incluye un script (`scripts/agent.py`) y una referencia de API con ejemplos de comandos de AWS CLI y consultas de Athena.

Puntos a tener en cuenta

No se proporciona un comando de instalación ni un punto de inicio rápido en `SKILL.md`, por lo que su adopción puede requerir configuración manual.
El flujo de trabajo parece orientado a la detección e investigación más que a la prevención; quienes busquen controles de bloqueo o una cobertura más amplia de seguridad en la nube necesitarán otras skills.

Aws S3 Cloudtrail Guardduty Macie Cloud Security Data Exfiltration Threat Detection

Resumen

Resumen de la skill detecting-s3-data-exfiltration-attempts

Qué hace esta skill

La skill detecting-s3-data-exfiltration-attempts te ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de CloudTrail de S3, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Es especialmente útil para trabajos de Security Audit y respuesta a incidentes en los que necesitas decidir si una actividad inusual en S3 es un pico inocuo, una mala configuración o un intento real de exfiltración.

Quién debería usarla

Usa la skill detecting-s3-data-exfiltration-attempts si ya cuentas con telemetría de AWS y necesitas un flujo de análisis práctico, no un prompt genérico de “analiza este log”. Encaja bien para ingenieros de seguridad cloud, analistas de SOC y auditores que revisan descargas masivas, lecturas entre cuentas, accesos desde Tor o IPs maliciosas, o copias sospechosas de objetos.

Cuándo encaja bien

La skill funciona mejor cuando puedes aportar evidencias como eventos de CloudTrail, hallazgos de GuardDuty, alertas de Macie, detalles de la bucket policy y una ventana temporal clara. Es menos útil para diseño de prevención, clasificación de datos o búsqueda amplia de exfiltración de red fuera de S3.

Cómo usar la skill detecting-s3-data-exfiltration-attempts

Instalación y configuración inicial

Usa la ruta detecting-s3-data-exfiltration-attempts install dentro del flujo de trabajo del directorio de skills:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-s3-data-exfiltration-attempts

Después de instalarla, lee primero SKILL.md, luego references/api-reference.md para ver patrones de consulta y scripts/agent.py para la lógica automatizada de detección. El repositorio solo tiene un script de apoyo, así que la forma más rápida de entender la ejecución es seguir las fuentes de datos del script y las consultas de referencia que espera.

Qué entradas proporcionar

Para un uso sólido de detecting-s3-data-exfiltration-attempts, dale al modelo:

nombre de los bucket(s) y contexto de cuenta
rango temporal del incidente y zona horaria
principal, IP o cuenta de origen sospechosa
eventos de datos de CloudTrail de S3, especialmente GetObject, CopyObject y DeleteObject
IDs de hallazgos de GuardDuty o tipos de hallazgo
alertas de Macie, si hay datos sensibles implicados

Un prompt débil dice “revisa los logs de S3”. Uno mejor dice: “Investiga si arn:aws:iam::123456789012:user/alice descargó objetos de forma masiva de sensitive-bucket entre las 02:00 y las 03:00 UTC después de un hallazgo Exfiltration:S3/AnomalousBehavior, y explica si la evidencia respalda una exfiltración”.

Flujo de trabajo práctico y archivos que conviene leer

Una guía útil de detecting-s3-data-exfiltration-attempts suele seguir esta secuencia: confirmar el origen de la alerta, inspeccionar los eventos de datos de S3, revisar el origen del acceso y el user agent, comparar el volumen de solicitudes con la línea base y, por último, correlacionar con la bucket policy y la sensibilidad detectada por Macie. Empieza por references/api-reference.md para ver tipos de hallazgos de GuardDuty y ejemplos de Athena, y por scripts/agent.py si quieres entender cómo se filtran los hallazgos antes de adaptar la lógica.

Preguntas frecuentes sobre la skill detecting-s3-data-exfiltration-attempts

¿Es solo para equipos de seguridad de AWS?

No. También resulta útil para auditores, equipos de IR e ingenieros de plataforma que necesitan una revisión de acceso a S3 basada en evidencias. El requisito principal es tener acceso a los registros de AWS y suficiente contexto para interpretar el tráfico.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele dar recomendaciones genéricas. La skill detecting-s3-data-exfiltration-attempts se centra en una ruta de investigación concreta: telemetría de S3, hallazgos de GuardDuty sobre S3, señales de Macie y comprobaciones de políticas de acceso. Eso la hace mejor para trabajos repetibles de Security Audit.

¿Cuáles son los límites principales?

No sustituye controles de prevención como bucket policies, SCPs, VPC endpoints o bloqueos de acceso público. Tampoco debería usarse para pura detección de datos ni para búsquedas de exfiltración de red fuera de S3.

¿Es fácil para principiantes?

Sí, si puedes aportar las entradas del incidente. Las personas principiantes obtienen mejores resultados cuando pegan la alerta, el fragmento de log relevante y los detalles del bucket/cuenta, en lugar de pedirle al modelo que invente el contexto.

Cómo mejorar la skill detecting-s3-data-exfiltration-attempts

Dale al modelo evidencia, no teoría

La mejor forma de mejorar los resultados de detecting-s3-data-exfiltration-attempts es aportar hechos en bruto: marcas de tiempo, ARNs, IPs, número de objetos, tamaños de archivo y tipos de hallazgo. Si solo dices “sospecho exfiltración”, el análisis será genérico; si incluyes los eventos reales de CloudTrail, la skill puede comparar el comportamiento con patrones conocidos de exfiltración en S3.

Añade el contexto de control

Incluye la bucket policy, el estado del bloqueo de acceso público, las reglas de acceso entre cuentas y si en ese momento estaban habilitados el server access logging o los eventos de datos de CloudTrail. Esos detalles suelen determinar si la actividad era posible, no solo si parecía sospechosa.

Itera con un segundo prompt más específico

Después del primer análisis, pide una salida más acotada: “Resume los indicios más sólidos de exfiltración”, “Lista explicaciones benignas que aún encajan con la evidencia” o “Relaciona los hallazgos con las acciones probables del atacante y los objetos afectados”. Esto es especialmente útil en detecting-s3-data-exfiltration-attempts para Security Audit, donde la calidad de la decisión depende de separar el ruido de la evidencia.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k