Logs

analyzing-security-logs-with-splunk aide à enquêter sur des événements de sécurité dans Splunk en corrélant des journaux Windows, pare-feu, proxy et authentification dans des chronologies et des éléments de preuve. Ce skill analyzing-security-logs-with-splunk est un guide pratique pour les audits de sécurité, la réponse aux incidents et la chasse aux menaces.

analyzing-cloud-storage-access-patterns aide les équipes de sécurité à détecter les accès suspects au stockage cloud dans AWS S3, GCS et Azure Blob Storage. Il analyse les journaux d’audit pour repérer les téléchargements massifs, les nouvelles IP sources, les appels d’API inhabituels, l’énumération de buckets, les accès en dehors des heures ouvrées et d’éventuelles exfiltrations, à l’aide de vérifications de référence et d’anomalies.

Skill d’analyse des journaux d’activité Azure pour interroger les journaux d’activité Azure Monitor et les journaux de connexion afin de repérer les actions d’administration suspectes, le déplacement impossible, l’escalade de privilèges et toute altération de ressources. Conçu pour le triage d’incident avec des modèles KQL, un chemin d’exécution et des indications pratiques sur les tables de journaux Azure.

analyzing-api-gateway-access-logs aide à analyser des logs d’accès API Gateway pour détecter des tentatives de BOLA/IDOR, de contournement des limites de débit, de scanning d’identifiants et d’injection. Pensé pour le triage SOC, la threat hunting et les workflows d’audit de sécurité, il s’appuie sur une analyse basée sur pandas pour AWS API Gateway, Kong et des logs de type Nginx.

azure-monitor-query-py aide les développeurs Python à interroger les journaux et les métriques Azure Monitor avec azure-monitor-query. Utilisez-le pour les workspaces Log Analytics, les métriques de ressources Azure, la supervision backend, le diagnostic et l’automatisation de l’observabilité. Il convient à la skill azure-monitor-query-py si vous disposez déjà des ID de workspace, des URI de ressources et d’identifiants Azure.

Analysez les logs WAF et d’audit pour détecter des campagnes d’injection SQL avec detecting-sql-injection-via-waf-logs. Conçu pour les workflows d’audit de sécurité et de SOC, il parse les événements ModSecurity, AWS WAF et Cloudflare, classe les motifs UNION SELECT, OR 1=1, SLEEP() et BENCHMARK(), corrèle les sources et produit des conclusions orientées incident.

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

La compétence d’analyse des journaux de serveur web pour intrusion analyse les journaux d’accès Apache et Nginx afin de détecter les injections SQL, les inclusions de fichiers locaux, les traversées de répertoires, les signatures de scanners, les rafales de force brute et les schémas de requêtes anormaux. Utilisez-la pour le triage d’intrusions, la chasse aux menaces et les workflows d’audit de sécurité, avec enrichissement GeoIP et détection par signatures.

La compétence analyzing-tls-certificate-transparency-logs aide les équipes sécurité à interroger les données Certificate Transparency avec crt.sh, pycrtsh et des flux associés afin de repérer des certificats TLS suspects, des domaines ressemblants, du typosquatting et des émissions non autorisées. Elle prend en charge la chasse aux menaces, la protection de marque et la surveillance des certificats grâce à un workflow pratique et à des vérifications de similarité.

Skill d’analyse du PowerShell Script Block Logging pour parser les événements Windows PowerShell Script Block Logging ID 4104 à partir de fichiers EVTX, reconstruire les blocs de script fragmentés et signaler les commandes obfusquées, les charges utiles encodées, les abus de Invoke-Expression, les download cradles et les tentatives de contournement d’AMSI dans un cadre de Security Audit.

analyzing-linux-audit-logs-for-intrusion est une skill de réponse aux incidents Linux pour l’analyse d’auditd, qui aide à repérer des connexions suspectes, des élévations de privilèges, des tentatives de falsification de fichiers et des indices d’intrusion sur l’hôte avec `ausearch`, `aureport` et `auditctl`.

analyzing-kubernetes-audit-logs est une compétence d’analyse de sécurité Kubernetes qui transforme les journaux d’audit de l’API server en constats exploitables. Utilisez-la pour enquêter sur les exec dans les pods, l’accès aux secrets, les changements RBAC, les workloads privilégiés et l’accès anonyme à l’API, ou pour créer des règles de détection et des synthèses de triage à partir de données d’audit en JSON Lines.

La compétence d’analyse forensique des conteneurs Docker aide à enquêter sur des conteneurs Docker compromis en analysant les images, les couches, les volumes, les journaux et les artefacts d’exécution afin d’identifier une activité malveillante et de préserver les preuves. Utilisez cette compétence d’analyse forensique des conteneurs Docker pour un audit de sécurité, une revue d’incident ou une évaluation du durcissement des conteneurs.

analyzing-dns-logs-for-exfiltration aide les analystes SOC à détecter le DNS tunneling, les domaines de type DGA, l’abus des enregistrements TXT et les schémas C2 furtifs à partir de journaux SIEM ou Zeek. À utiliser pour des workflows d’audit de sécurité lorsque vous avez besoin d’une analyse d’entropie, de détection d’anomalies de volume de requêtes et de conseils pratiques de triage.

Le skill sentry est un outil d’observabilité en lecture seule pour examiner les issues, les événements et les signaux de santé dans Sentry. Utilisez-le pour enquêter sur des erreurs récentes en production, résumer leur impact et exécuter des requêtes CLI répétables avec une sortie structurée. Il est particulièrement adapté si vous cherchez un guide sentry pratique pour le triage, plutôt qu’une vue d’ensemble globale de l’observabilité.

azure-monitor-opentelemetry-exporter-py vous aide à mettre en place un export OpenTelemetry de bas niveau depuis Python vers Azure Monitor et Application Insights. Utilisez-le quand vous avez besoin d’un pipeline d’observabilité personnalisé, avec un contrôle direct sur les traces, les métriques et les logs, plutôt que d’une distribution d’auto-instrumentation plus haut niveau.