Cloud Security

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

detecting-azure-service-principal-abuse ayuda a detectar, investigar y documentar actividad sospechosa de entidades de servicio de Microsoft Entra ID en Azure. Úsalo para auditoría de seguridad, respuesta a incidentes en la nube y threat hunting para revisar cambios de credenciales, abuso de consentimientos de administrador, asignaciones de roles, rutas de propiedad y anomalías de inicio de sesión.

La skill de exploiting-server-side-request-forgery ayuda a evaluar funciones propensas a SSRF en objetivos web autorizados, como capturadores de URL, webhooks, herramientas de vista previa y acceso a metadatos en la nube. Ofrece un flujo guiado para detección, pruebas de evasión, sondeo de servicios internos y validación de Security Audit.

detecting-oauth-token-theft ayuda a investigar robo de tokens OAuth, reintentos de reproducción y secuestro de sesión en Microsoft Entra ID y M365. Usa esta skill detecting-oauth-token-theft para auditorías de seguridad, respuesta a incidentes y revisiones de endurecimiento. Se centra en anomalías de inicio de sesión, ámbitos sospechosos, nuevos dispositivos y pasos de contención.

detecting-cryptomining-in-cloud ayuda a los equipos de seguridad a detectar criptominería no autorizada en cargas de trabajo en la nube al correlacionar picos de coste, tráfico hacia puertos de minería, hallazgos de criptominería de GuardDuty y evidencias de procesos en tiempo de ejecución. Úsala para triaje, ingeniería de detección y flujos de trabajo de Security Audit con detecting-cryptomining-in-cloud.

detecting-compromised-cloud-credentials es una habilidad de seguridad en la nube para AWS, Azure y GCP que ayuda a confirmar el abuso de credenciales, rastrear actividad anómala de API, investigar viajes imposibles e inicios de sesión sospechosos, y acotar el impacto de un incidente con telemetría y alertas del proveedor.

detecting-cloud-threats-with-guardduty guía a los equipos de AWS para habilitar Amazon GuardDuty, revisar hallazgos y crear respuestas automáticas ante amenazas en la nube en distintas cuentas y cargas de trabajo. Es útil para la instalación, el uso y las operaciones posteriores al despliegue de GuardDuty en Cloud Architecture.

detecting-aws-cloudtrail-anomalies ayuda a analizar la actividad de AWS CloudTrail para detectar orígenes de API inusuales, acciones ejecutadas por primera vez, llamadas de alta frecuencia y comportamientos sospechosos vinculados con compromiso de credenciales o escalada de privilegios. Úsalo para una detección estructurada de anomalías con boto3, líneas base y análisis de campos de eventos.

conducting-cloud-penetration-testing te ayuda a planificar y ejecutar evaluaciones autorizadas de entornos cloud en AWS, Azure y GCP. Úsala para detectar configuraciones incorrectas de IAM, exposición de metadatos, recursos públicos y rutas de escalada, y luego convertir los hallazgos en un informe de auditoría de seguridad. Encaja con la skill conducting-cloud-penetration-testing para flujos de trabajo de Security Audit.

conducting-cloud-incident-response es un skill de respuesta a incidentes en la nube para AWS, Azure y GCP. Se centra en la contención basada en identidades, la revisión de registros, el aislamiento de recursos y la captura de evidencias forenses. Úsalo ante actividad sospechosa de API, claves de acceso comprometidas o brechas en cargas de trabajo alojadas en la nube cuando necesites una guía práctica de conducting-cloud-incident-response.

building-cloud-siem-with-sentinel es una guía práctica para implementar Microsoft Sentinel como capa de SIEM y SOAR en la nube. Cubre la ingesta de registros multicloud, detecciones con KQL, investigación de incidentes y playbooks de respuesta con Logic Apps para Security Audit y operaciones de SOC. Usa esta skill building-cloud-siem-with-sentinel cuando necesites un punto de partida respaldado por un repositorio para la monitorización centralizada de la seguridad en la nube.

auditing-kubernetes-cluster-rbac ayuda a auditar RBAC de Kubernetes para detectar roles excesivamente amplios, bindings de riesgo, acceso a secretos y rutas de escalada de privilegios. Está pensado para flujos de auditoría de seguridad en EKS, GKE, AKS y clústeres autogestionados, con orientación práctica para kubectl, rbac-tool, KubiScan y Kubeaudit.

auditing-gcp-iam-permissions ayuda a revisar el acceso IAM de Google Cloud en busca de vinculaciones de riesgo, roles primitivos, acceso público, exposición de cuentas de servicio y rutas entre proyectos. Esta skill de auditoría de control de acceso está pensada para revisiones basadas en evidencia con gcloud, Cloud Asset, IAM Recommender y Policy Analyzer.

auditing-cloud-with-cis-benchmarks es una skill de auditoría de seguridad en la nube para AWS, Azure y GCP. Te ayuda a evaluar entornos frente a CIS Foundations Benchmarks, revisar controles fallidos y seguir un recorrido repetible desde los hallazgos hasta la remediación con la guía de la skill, los archivos de referencia y los patrones de agente del repositorio.

La skill de auditoría de configuración de Azure Active Directory ayuda a revisar la seguridad de inquilinos de Microsoft Entra ID en busca de ajustes de autenticación riesgosos, exceso de roles de administrador, cuentas inactivas, lagunas en Conditional Access, exposición de invitados y cobertura de MFA. Está pensada para flujos de trabajo de Security Audit, con evidencia basada en Graph y orientación práctica.

La skill auditing-aws-s3-bucket-permissions te ayuda a auditar buckets de AWS S3 para detectar exposición pública, ACL demasiado permisivas, políticas de bucket débiles y cifrado ausente. Pensada para flujos de trabajo de auditoría de seguridad, facilita una revisión repetible de mínimo privilegio con orientación basada en AWS CLI y boto3, además de notas prácticas de instalación y uso.