Monitoring

La skill security-scan audite la configuration .claude/ de Claude Code à la recherche de secrets, de configurations MCP risquées, d’instructions vulnérables à l’injection, de flags de contournement dangereux et de définitions d’agent ou de hook trop faibles, à l’aide d’AgentShield. Utilisez-la pour des contrôles de sécurité reproductibles avant un commit ou une intégration.

canary-watch est une skill de surveillance post-déploiement qui vérifie une URL en production pour détecter des régressions après des releases, des merges ou des mises à jour de dépendances, sur staging comme en production.

canary est une skill de surveillance post-déploiement qui observe les applications en production pour détecter les erreurs de console, les échecs de page et les régressions de performance. Elle compare le comportement actuel à une base de référence pré-déploiement afin de vérifier une release, repérer des pages cassées et identifier des anomalies visibles avec moins d’approximation qu’une requête générique.

python-observability vous aide à instrumenter des services Python avec des logs structurés, des métriques, des traces, des IDs de corrélation et des pratiques à cardinalité maîtrisée pour le débogage en production et des déploiements d’observabilité plus sûrs.

grafana-dashboards aide les agents à concevoir des tableaux de bord Grafana prêts pour la production en observabilité. Utilisez-le pour planifier des mises en page basées sur RED et USE, choisir la hiérarchie des panneaux et esquisser la structure de dashboards pour des métriques de type Prometheus.

prometheus-configuration vous aide à installer et utiliser Prometheus pour le scraping, la rétention, les alertes et les recording rules sur Kubernetes, Docker Compose et des serveurs.

Utilisez le skill slo-implementation pour définir des SLI, des SLO, des budgets d’erreur et des alertes de burn rate pour les travaux de fiabilité. Il aide les équipes à transformer des objectifs de service en cibles mesurables grâce à des exemples de style PromQL et à des conseils pratiques issus de SKILL.md.

Utilisez la skill distributed-tracing pour concevoir et expliquer le traçage des requêtes entre microservices avec Jaeger et Tempo. Couvre les bases d’installation, les concepts de trace et de span, les modèles de configuration Kubernetes, la propagation du contexte, ainsi que des usages concrets pour l’observabilité et le diagnostic de latence.

appinsights-instrumentation aide à instrumenter les applications web hébergées sur Azure avec Application Insights. Cette skill guide l’auto-instrumentation sur App Service ou la configuration manuelle pour ASP.NET Core et Node.js, avec mise à jour de la connection string et de l’Infrastructure as Code.

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

La skill de détection d’anomalies réseau avec Zeek aide à déployer Zeek pour la surveillance passive du réseau, à examiner des journaux structurés et à créer des détections personnalisées pour le beaconing, le DNS tunneling et les activités de protocoles inhabituelles. Elle convient particulièrement à la chasse aux menaces, à la réponse aux incidents, aux métadonnées réseau prêtes pour un SIEM et aux workflows d’audit de sécurité, mais pas à la prévention en ligne.

detecting-beaconing-patterns-with-zeek aide à analyser les intervalles du fichier `conn.log` de Zeek pour détecter un beaconing de type C2. Le skill s’appuie sur ZAT, regroupe les flux par source, destination et port, puis attribue un score aux motifs à faible gigue à l’aide de contrôles statistiques. Il est particulièrement adapté aux équipes SOC, au threat hunting, à la réponse à incident et aux workflows d’audit de sécurité impliquant detecting-beaconing-patterns-with-zeek.

Guide de configuration de la détection d’intrusion hôte pour mettre en place un HIDS avec Wazuh, OSSEC ou AIDE afin de surveiller l’intégrité des fichiers, les changements système et la sécurité des terminaux axée conformité dans des workflows d’audit de sécurité.

Skill d’analyse des journaux d’activité Azure pour interroger les journaux d’activité Azure Monitor et les journaux de connexion afin de repérer les actions d’administration suspectes, le déplacement impossible, l’escalade de privilèges et toute altération de ressources. Conçu pour le triage d’incident avec des modèles KQL, un chemin d’exécution et des indications pratiques sur les tables de journaux Azure.

azure-monitor-opentelemetry-ts aide à instrumenter des applications Node.js avec Azure Monitor et OpenTelemetry pour les traces distribuées, les métriques et les logs. Utilisez cette compétence azure-monitor-opentelemetry-ts pour installer le package, définir `APPLICATIONINSIGHTS_CONNECTION_STRING` et respecter l’ordre de démarrage correct pour l’auto-instrumentation.

azure-monitor-opentelemetry-py est la distribution Azure Monitor OpenTelemetry pour Python. Utilisez-la pour configurer Application Insights en une seule ligne, activer l’auto-instrumentation et obtenir une télémétrie Azure Monitor concrète avec un minimum de modifications dans le code de l’application.

Le skill alert-manager aide les équipes à concevoir des dispositifs d’alerte SEO et GEO pour les baisses de positionnement, anomalies de trafic, problèmes techniques, changements chez les concurrents et variations de visibilité dans l’IA, grâce à des guides de seuils et des modèles réutilisables.

detecting-container-escape-with-falco-rules aide à détecter les tentatives d’évasion de conteneur grâce aux règles de sécurité d’exécution Falco. Le contenu se concentre sur les signaux syscall, les conteneurs privilégiés, l’abus des chemins d’hôte, la validation et les workflows de réponse à incident pour les environnements Kubernetes et les conteneurs Linux.

Le skill detecting-wmi-persistence aide les threat hunters et les analystes DFIR à détecter la persistance par abonnement d’événements WMI dans la télémétrie Windows à l’aide des Event ID Sysmon 19, 20 et 21. Servez-vous-en pour repérer des activités malveillantes EventFilter, EventConsumer et FilterToConsumerBinding, valider les résultats et distinguer une persistance d’attaquant d’une automatisation d’administration légitime.

detecting-arp-poisoning-in-network-traffic aide à détecter l’usurpation ARP dans du trafic en direct ou des fichiers PCAP à l’aide de ARPWatch, de Dynamic ARP Inspection, de Wireshark et de vérifications Python. Conçu pour la réponse à incident, le triage SOC et l’analyse reproductible des changements IP-vers-MAC, des ARP gratuits et des indicateurs de MITM.

detecting-cryptomining-in-cloud aide les équipes de sécurité à détecter un cryptominage non autorisé dans les workloads cloud en corrélant les pics de coûts, le trafic sur les ports de minage, les findings crypto de GuardDuty et des preuves d’exécution au niveau des processus. Utilisez-le pour le triage, l’ingénierie de détection et les workflows d’audit de sécurité liés à detecting-cryptomining-in-cloud.

detecting-container-escape-attempts aide à enquêter, détecter et prioriser les signaux d’évasion de conteneur dans Docker et Kubernetes. Utilisez ce guide detecting-container-escape-attempts pour le triage d’incident, l’analyse des vecteurs d’évasion, l’interprétation des alertes et les workflows de réponse fondés sur des preuves issues de Falco, Sysdig, auditd et de l’inspection des conteneurs.

detecting-attacks-on-historian-servers aide à détecter les activités suspectes sur les serveurs historian OT comme OSIsoft PI, Ignition et Wonderware, à la frontière IT/OT. Utilisez ce guide detecting-attacks-on-historian-servers pour la réponse à incident, l’identification de requêtes non autorisées, la détection de manipulation de données, l’abus d’API et le triage des mouvements latéraux.