Cloud Security

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

detecting-azure-service-principal-abuse aide à détecter, enquêter et documenter les activités suspectes des principaux de service Microsoft Entra ID dans Azure. Utilisez-la pour les audits de sécurité, la réponse aux incidents cloud et la threat hunting afin d’examiner les changements d’identifiants, les abus de consentement administrateur, les affectations de rôles, les chemins de propriété et les anomalies de connexion.

La compétence exploiting-server-side-request-forgery aide à évaluer, sur des cibles web autorisées, les fonctionnalités exposées aux SSRF, notamment les récupérateurs d’URL, les webhooks, les outils de prévisualisation et l’accès aux métadonnées cloud. Elle propose un parcours guidé pour la détection, les tests de contournement, l’exploration de services internes et la validation par audit de sécurité.

detecting-oauth-token-theft aide à enquêter sur le vol, la relecture et le détournement de session de jetons OAuth dans Microsoft Entra ID et M365. Utilisez ce skill detecting-oauth-token-theft pour les audits de sécurité, la réponse aux incidents et les revues de durcissement. Il se concentre sur les anomalies de connexion, les scopes suspects, les nouveaux appareils et les étapes de confinement.

detecting-cryptomining-in-cloud aide les équipes de sécurité à détecter un cryptominage non autorisé dans les workloads cloud en corrélant les pics de coûts, le trafic sur les ports de minage, les findings crypto de GuardDuty et des preuves d’exécution au niveau des processus. Utilisez-le pour le triage, l’ingénierie de détection et les workflows d’audit de sécurité liés à detecting-cryptomining-in-cloud.

detecting-compromised-cloud-credentials est une skill de sécurité cloud pour AWS, Azure et GCP qui aide à confirmer l’abus d’identifiants, à retracer une activité API anormale, à enquêter sur des déplacements impossibles et des connexions suspectes, et à évaluer l’impact d’un incident à l’aide de la télémétrie et des alertes des fournisseurs.

detecting-cloud-threats-with-guardduty guide les équipes AWS dans l’activation d’Amazon GuardDuty, l’analyse des findings et la mise en place de réponses automatisées face aux menaces cloud, sur plusieurs comptes et workloads. C’est utile pour l’installation, l’usage et les opérations de deuxième jour de GuardDuty dans l’architecture cloud.

detecting-aws-cloudtrail-anomalies aide à analyser l’activité AWS CloudTrail pour repérer des sources d’API inhabituelles, des actions exécutées pour la première fois, des appels à forte fréquence et des comportements suspects liés à une compromission d’identifiants ou à une élévation de privilèges. Utilisez-le pour une détection structurée des anomalies avec boto3, le baselining et l’analyse des champs d’événements.

conducting-cloud-penetration-testing vous aide à planifier et à mener des évaluations cloud autorisées sur AWS, Azure et GCP. Servez-vous-en pour repérer les erreurs de configuration IAM, l’exposition des métadonnées, les ressources publiques et les chemins d’escalade, puis transformer les résultats en rapport d’audit de sécurité. Il s’intègre au skill conducting-cloud-penetration-testing dans les workflows d’audit de sécurité.

conducting-cloud-incident-response est un skill de réponse à incident cloud pour AWS, Azure et GCP. Il met l’accent sur le confinement basé sur l’identité, l’analyse des journaux, l’isolement des ressources et la capture de preuves forensiques. Utilisez-le en cas d’activité API suspecte, de clés d’accès compromises ou de compromission de workloads hébergés dans le cloud, lorsque vous avez besoin d’un guide pratique conducting-cloud-incident-response.

building-cloud-siem-with-sentinel est un guide pratique pour déployer Microsoft Sentinel comme couche SIEM et SOAR dans le cloud. Il couvre l’ingestion de journaux multi-cloud, les détections KQL, l’investigation des incidents et les playbooks de réponse Logic Apps pour les opérations de Security Audit et de SOC. Utilisez ce skill building-cloud-siem-with-sentinel lorsque vous avez besoin d’un point de départ basé sur un repo pour la supervision centralisée de la sécurité cloud.

auditing-kubernetes-cluster-rbac aide à auditer le RBAC Kubernetes pour repérer les rôles trop permissifs, les liaisons risquées, les accès aux secrets et les chemins d’escalade de privilèges. Le contenu est conçu pour des workflows d’audit de sécurité sur EKS, GKE, AKS et les clusters autogérés, avec des conseils pratiques pour `kubectl`, `rbac-tool`, `KubiScan` et `Kubeaudit`.

auditing-gcp-iam-permissions aide à examiner les accès IAM Google Cloud pour repérer les liaisons à risque, les rôles primitifs, les accès publics, l’exposition des comptes de service et les chemins interprojets. Cette compétence d’audit du contrôle d’accès est conçue pour des revues fondées sur des preuves, avec gcloud, Cloud Asset, IAM Recommender et Policy Analyzer.

auditing-cloud-with-cis-benchmarks est un skill d’audit de sécurité cloud pour AWS, Azure et GCP. Il vous aide à évaluer des environnements selon les CIS Foundations Benchmarks, à examiner les contrôles en échec et à suivre un chemin reproductible, des constats à la remédiation, grâce au guide du skill, aux fichiers de référence et aux modèles d’agent du dépôt.

Le skill d’audit de la configuration Azure Active Directory aide à examiner la sécurité d’un tenant Microsoft Entra ID à la recherche de paramètres d’authentification risqués, d’une prolifération des rôles d’administration, de comptes obsolètes, de lacunes dans Conditional Access, d’une exposition des invités et de la couverture MFA. Il est conçu pour les workflows de Security Audit, avec des preuves basées sur Graph et des recommandations concrètes.

Le skill auditing-aws-s3-bucket-permissions vous aide à auditer les buckets AWS S3 pour détecter une exposition publique, des ACL trop permissives, des politiques de bucket faibles et l’absence de chiffrement. Conçu pour les workflows d’audit de sécurité, il prend en charge une revue répétable du principe du moindre privilège avec des conseils orientés AWS CLI et boto3, ainsi que des notes pratiques d’installation et d’utilisation.