Logs

analyzing-security-logs-with-splunk ayuda a investigar eventos de seguridad en Splunk correlacionando registros de Windows, firewall, proxy y autenticación en líneas de tiempo y evidencia. Este skill de analyzing-security-logs-with-splunk es una guía práctica para auditoría de seguridad, respuesta a incidentes y threat hunting.

analyzing-cloud-storage-access-patterns ayuda a los equipos de seguridad a detectar accesos sospechosos al almacenamiento en la nube en AWS S3, GCS y Azure Blob Storage. Analiza registros de auditoría para identificar descargas masivas, nuevas IP de origen, llamadas API inusuales, enumeración de buckets, accesos fuera de horario y posible exfiltración mediante comprobaciones de línea base y anomalías.

Skill analyzing-azure-activity-logs-for-threats para consultar los registros de actividad y de inicio de sesión de Azure Monitor y detectar acciones administrativas sospechosas, viajes imposibles, escalada de privilegios y manipulación de recursos. Pensado para la triaje de incidentes, con patrones KQL, un flujo de ejecución y orientación práctica sobre tablas de logs de Azure.

analyzing-api-gateway-access-logs ayuda a analizar logs de acceso de API Gateway para detectar BOLA/IDOR, evasión de rate limits, escaneo de credenciales e intentos de inyección. Está pensado para triage en SOC, threat hunting y flujos de trabajo de auditoría de seguridad en logs de AWS API Gateway, Kong y formatos tipo Nginx, usando análisis basado en pandas.

azure-monitor-query-py ayuda a desarrolladores de Python a consultar logs y métricas de Azure Monitor con azure-monitor-query. Úsalo para trabajar con workspaces de Log Analytics, métricas de recursos de Azure, monitoreo de backend, diagnósticos y automatización de observabilidad. Encaja con la skill azure-monitor-query-py cuando ya cuentas con IDs de workspace, URIs de recursos y credenciales de Azure.

Analiza registros de WAF y auditoría para detectar campañas de SQL injection con detecting-sql-injection-via-waf-logs. Pensado para flujos de Security Audit y SOC, procesa eventos de ModSecurity, AWS WAF y Cloudflare, clasifica patrones como UNION SELECT, OR 1=1, SLEEP() y BENCHMARK(), correlaciona orígenes y genera hallazgos orientados a incidentes.

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

La skill de análisis de logs de servidor web para intrusiones analiza logs de acceso de Apache y Nginx para detectar inyección SQL, inclusión local de archivos, traversal de directorios, firmas de scanners, ráfagas de fuerza bruta y patrones anómalos de solicitudes. Úsala para triaje de intrusiones, threat hunting y flujos de trabajo de auditoría de seguridad, con enriquecimiento GeoIP y detección basada en firmas.

La skill analyzing-tls-certificate-transparency-logs ayuda a los equipos de seguridad a consultar datos de Certificate Transparency con crt.sh, pycrtsh y feeds relacionados para encontrar certificados TLS sospechosos, dominios parecidos, typosquatting y emisiones no autorizadas. Sirve para threat hunting, protección de marca y monitorización de certificados con un flujo de trabajo práctico y comprobaciones de similitud.

Skill de análisis de PowerShell Script Block Logging para parsear el Event ID 4104 de Windows PowerShell Script Block Logging desde archivos EVTX, reconstruir bloques de script fragmentados y detectar comandos ofuscados, cargas codificadas, abuso de Invoke-Expression, download cradles e intentos de bypass de AMSI para trabajos de auditoría de seguridad.

analyzing-linux-audit-logs-for-intrusion es una skill de respuesta a incidentes en Linux para revisar auditd, pensada para ayudarte a detectar inicios de sesión sospechosos, escalada de privilegios, manipulación de archivos y señales de intrusión en el host con `ausearch`, `aureport` y `auditctl`.

analyzing-kubernetes-audit-logs es una skill de análisis de seguridad de Kubernetes para convertir los logs de auditoría del API server en hallazgos accionables. Úsala para investigar exec en pods, acceso a secretos, cambios de RBAC, workloads privilegiadas y acceso anónimo a la API, o para crear reglas de detección y resúmenes de triaje a partir de datos de auditoría en JSON Lines.

analyzing-docker-container-forensics ayuda a investigar contenedores Docker comprometidos mediante el análisis de imágenes, capas, volúmenes, registros y artefactos en tiempo de ejecución para identificar actividad maliciosa y preservar pruebas. Usa esta skill de analyzing-docker-container-forensics para una auditoría de seguridad, la revisión de un incidente o una evaluación de endurecimiento de contenedores.

analyzing-dns-logs-for-exfiltration ayuda a analistas SOC a detectar tunelización DNS, dominios tipo DGA, abuso de TXT y patrones encubiertos de C2 a partir de registros de SIEM o Zeek. Úsala en flujos de trabajo de auditoría de seguridad cuando necesites análisis de entropía, anomalías en el volumen de consultas y orientación práctica para el triaje.

La skill sentry es una herramienta de Observability de solo lectura para inspeccionar issues, eventos y señales de salud de Sentry. Úsala para investigar errores recientes en producción, resumir el impacto y ejecutar consultas repetibles desde la CLI con salida estructurada. Es la mejor opción cuando necesitas una guía práctica de sentry para triage, no una visión general amplia de observabilidad.

azure-monitor-opentelemetry-exporter-py te ayuda a configurar la exportación de OpenTelemetry de bajo nivel desde Python hacia Azure Monitor y Application Insights. Úsalo cuando necesites una canalización de observabilidad personalizada con control directo sobre trazas, métricas y registros, no una distribución de auto-instrumentación de nivel superior.