Anomaly Detection

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

La skill de détection d’anomalies réseau avec Zeek aide à déployer Zeek pour la surveillance passive du réseau, à examiner des journaux structurés et à créer des détections personnalisées pour le beaconing, le DNS tunneling et les activités de protocoles inhabituelles. Elle convient particulièrement à la chasse aux menaces, à la réponse aux incidents, aux métadonnées réseau prêtes pour un SIEM et aux workflows d’audit de sécurité, mais pas à la prévention en ligne.

detecting-modbus-protocol-anomalies aide à détecter les comportements suspects Modbus/TCP et Modbus RTU dans les réseaux OT et ICS, notamment les codes de fonction invalides, les accès aux registres hors plage, les cadences d’interrogation anormales, les écritures non autorisées et les trames malformées. Utile pour un audit de sécurité et un triage fondé sur des preuves.

detecting-beaconing-patterns-with-zeek aide à analyser les intervalles du fichier `conn.log` de Zeek pour détecter un beaconing de type C2. Le skill s’appuie sur ZAT, regroupe les flux par source, destination et port, puis attribue un score aux motifs à faible gigue à l’aide de contrôles statistiques. Il est particulièrement adapté aux équipes SOC, au threat hunting, à la réponse à incident et aux workflows d’audit de sécurité impliquant detecting-beaconing-patterns-with-zeek.

analyzing-cloud-storage-access-patterns aide les équipes de sécurité à détecter les accès suspects au stockage cloud dans AWS S3, GCS et Azure Blob Storage. Il analyse les journaux d’audit pour repérer les téléchargements massifs, les nouvelles IP sources, les appels d’API inhabituels, l’énumération de buckets, les accès en dehors des heures ouvrées et d’éventuelles exfiltrations, à l’aide de vérifications de référence et d’anomalies.

Skill d’analyse des journaux d’activité Azure pour interroger les journaux d’activité Azure Monitor et les journaux de connexion afin de repérer les actions d’administration suspectes, le déplacement impossible, l’escalade de privilèges et toute altération de ressources. Conçu pour le triage d’incident avec des modèles KQL, un chemin d’exécution et des indications pratiques sur les tables de journaux Azure.

Le skill alert-manager aide les équipes à concevoir des dispositifs d’alerte SEO et GEO pour les baisses de positionnement, anomalies de trafic, problèmes techniques, changements chez les concurrents et variations de visibilité dans l’IA, grâce à des guides de seuils et des modèles réutilisables.

Le skill de détection d’attaques de type Stuxnet aide les équipes défensives à repérer des schémas d’intrusion OT et ICS inspirés de Stuxnet, notamment la falsification de la logique PLC, les données capteurs usurpées, la compromission d’un poste d’ingénierie et les mouvements latéraux de l’IT vers l’OT. Utilisez-le pour la chasse aux menaces, le triage des incidents et la surveillance de l’intégrité des processus, à partir d’indices issus des protocoles, des hôtes et des processus.

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

detecting-arp-poisoning-in-network-traffic aide à détecter l’usurpation ARP dans du trafic en direct ou des fichiers PCAP à l’aide de ARPWatch, de Dynamic ARP Inspection, de Wireshark et de vérifications Python. Conçu pour la réponse à incident, le triage SOC et l’analyse reproductible des changements IP-vers-MAC, des ARP gratuits et des indicateurs de MITM.

detecting-insider-threat-with-ueba vous aide à créer des détections UEBA dans Elasticsearch ou OpenSearch pour des cas de menace interne, avec notamment des lignes de base comportementales, des scores d’anomalie, une analyse par groupe de pairs et des alertes corrélées pour l’exfiltration de données, l’abus de privilèges et les accès non autorisés. Il convient à detecting-insider-threat-with-ueba dans des workflows de réponse à incident.

La compétence detecting-insider-threat-behaviors aide les analystes à repérer des signaux de risque interne comme des accès inhabituels aux données, des activités hors horaires, des téléchargements massifs, des abus de privilèges et des vols corrélés à une démission. Utilisez ce guide detecting-insider-threat-behaviors pour la threat hunting, le triage de type UEBA et la modélisation des menaces, avec des modèles de workflow, des exemples de requêtes SIEM et des pondérations de risque.

detecting-dnp3-protocol-anomalies aide à analyser le trafic DNP3 dans les environnements SCADA afin de repérer les commandes de contrôle non autorisées, les violations du protocole, les tentatives de redémarrage et les écarts par rapport au comportement de référence. Utilisez ce skill detecting-dnp3-protocol-anomalies pour les audits de sécurité, le réglage d’IDS et la revue de logs Zeek ou de captures de paquets.

detecting-cryptomining-in-cloud aide les équipes de sécurité à détecter un cryptominage non autorisé dans les workloads cloud en corrélant les pics de coûts, le trafic sur les ports de minage, les findings crypto de GuardDuty et des preuves d’exécution au niveau des processus. Utilisez-le pour le triage, l’ingénierie de détection et les workflows d’audit de sécurité liés à detecting-cryptomining-in-cloud.

detecting-aws-cloudtrail-anomalies aide à analyser l’activité AWS CloudTrail pour repérer des sources d’API inhabituelles, des actions exécutées pour la première fois, des appels à forte fréquence et des comportements suspects liés à une compromission d’identifiants ou à une élévation de privilèges. Utilisez-le pour une détection structurée des anomalies avec boto3, le baselining et l’analyse des champs d’événements.

detecting-anomalous-authentication-patterns aide à analyser les journaux d'authentification pour repérer les déplacements impossibles, les attaques par force brute, le password spraying, le credential stuffing et les activités liées à des comptes compromis. Conçu pour les workflows d'audit de sécurité, de SOC, d'IAM et de réponse aux incidents, avec une détection tenant compte des bases de référence et une analyse des connexions étayée par des preuves.

Guide de déploiement d’osquery pour le monitoring des terminaux, destiné à configurer la visibilité sur les endpoints, le suivi à l’échelle du parc et la threat hunting pilotée par SQL. Utilisez-le pour préparer l’installation, comprendre le workflow et les références d’API, puis industrialiser les requêtes planifiées, la collecte des journaux et la revue centralisée sur des endpoints Windows, macOS et Linux.

building-detection-rules-with-sigma aide les analystes à créer des règles de détection Sigma portables à partir de renseignements sur les menaces ou de règles éditeur, à les mapper sur MITRE ATT&CK et à les convertir pour des SIEM comme Splunk, Elastic et Microsoft Sentinel. Utilisez ce guide building-detection-rules-with-sigma pour les workflows de Security Audit, la standardisation et la détection as code.

La compétence d’analyse des journaux de serveur web pour intrusion analyse les journaux d’accès Apache et Nginx afin de détecter les injections SQL, les inclusions de fichiers locaux, les traversées de répertoires, les signatures de scanners, les rafales de force brute et les schémas de requêtes anormaux. Utilisez-la pour le triage d’intrusions, la chasse aux menaces et les workflows d’audit de sécurité, avec enrichissement GeoIP et détection par signatures.

analyzing-dns-logs-for-exfiltration aide les analystes SOC à détecter le DNS tunneling, les domaines de type DGA, l’abus des enregistrements TXT et les schémas C2 furtifs à partir de journaux SIEM ou Zeek. À utiliser pour des workflows d’audit de sécurité lorsque vous avez besoin d’une analyse d’entropie, de détection d’anomalies de volume de requêtes et de conseils pratiques de triage.