Anomaly Detection

detecting-s3-data-exfiltration-attempts は、CloudTrail の S3 data events、GuardDuty の findings、Amazon Macie の alerts、S3 のアクセスパターンを突き合わせて、AWS S3 でのデータ窃取の可能性を調査するのに役立ちます。Security Audit、インシデント対応、疑わしい一括ダウンロードの分析に、この detecting-s3-data-exfiltration-attempts skill を活用してください。

detecting-rdp-brute-force-attacks は、Windows Security Event Logs を分析して RDP のブルートフォースパターンを見つけるのに役立ちます。たとえば、4625 の失敗が繰り返されるケース、失敗後に 4624 が成功する流れ、NLA 関連のログオン、送信元 IP の集中などを確認できます。Security Audit、脅威ハンティング、EVTX ベースの再現性ある調査に向いています。

detecting-network-anomalies-with-zeek skill は、Zeek を使った受動的なネットワーク監視の導入、構造化ログの確認、ビーコン通信、DNSトンネリング、異常なプロトコル活動を検知するためのカスタム検出の作成を支援します。脅威ハンティング、インシデント対応、SIEM向けのネットワークメタデータ収集、セキュリティ監査のワークフローに適しており、インラインでの防御用途には向きません。

detecting-modbus-protocol-anomalies は、OT/ICS ネットワークにおける不審な Modbus/TCP および Modbus RTU の挙動を検知するのに役立ちます。無効な function code、範囲外の register アクセス、異常な polling 間隔、許可されていない write、壊れた frame などを対象に、Security Audit や根拠に基づくトリアージに有用です。

detecting-beaconing-patterns-with-zeek は、Zeek の `conn.log` の間隔を分析して C2 型のビーコニングを検知するための skill です。ZAT を利用し、フローを送信元・送信先・ポートごとにグループ化したうえで、低ジッターのパターンを統計的に評価します。SOC、脅威ハンティング、インシデント対応、Security Audit のワークフローにおける detecting-beaconing-patterns-with-zeek に適しています。

analyzing-cloud-storage-access-patterns は、AWS S3、GCS、Azure Blob Storage における疑わしいクラウドストレージアクセスの検知を支援するスキルです。監査ログを分析し、大量ダウンロード、新しい送信元IP、通常とは異なるAPI呼び出し、バケット列挙、勤務時間外アクセス、ベースラインと異常検知に基づく持ち出しの可能性を洗い出します。

Azure Monitor のアクティビティログとサインインログをクエリして、不審な管理者操作、不可能移動、権限昇格、リソース改ざんを見つけるための analyzing-azure-activity-logs-for-threats スキルです。KQL パターン、実行手順、Azure ログテーブルの実用ガイドを備え、インシデントトリアージ向けに設計されています。

alert-managerスキルは、しきい値ガイドや再利用可能なテンプレートを使って、順位下落、トラフィック異常、技術的問題、競合変化、AI可視性の変動に対応するSEO／GEOアラートの設計フレームワーク作成をチームで進めるのに役立ちます。

detecting-stuxnet-style-attacksは、Stuxnet型のOT/ICS侵入パターンの検知を支援するスキルです。PLCロジックの改ざん、偽装されたセンサーデータ、エンジニアリングワークステーションの侵害、ITからOTへのラテラルムーブメントなどを検出できます。プロトコル、ホスト、プロセスの証拠を使った脅威ハンティング、インシデントのトリアージ、プロセス整合性の監視に活用してください。

detecting-ransomware-encryption-behavior は、エントロピー分析、ファイル I/O 監視、行動ベースのヒューリスティックを使って、ランサムウェア型の暗号化を見つけるためのスキルです。大量のファイル変更、連続リネーム、不審なプロセス活動を素早く検知したいときに向いており、インシデント対応、SOC のチューニング、レッドチーム検証で役立ちます。

detecting-arp-poisoning-in-network-traffic は、ARPWatch、Dynamic ARP Inspection、Wireshark、Python のチェックを使って、ライブトラフィックや PCAP から ARP スプーフィングを検出するための skill です。インシデント対応、SOC の一次切り分け、IP-to-MAC の変化、gratuitous ARP、MITM の兆候を再現性高く分析する用途に向いています。

detecting-insider-threat-with-ueba は、Elasticsearch または OpenSearch で UEBA の検知を構築するのに役立ちます。行動ベースライン、異常スコアリング、ピアグループ分析、データ持ち出し・権限の悪用・不正アクセスに対する相関アラートまでを含み、インシデント対応ワークフローでの内部脅威検知に適しています。

detecting-insider-threat-behaviors は、通常と異なるデータアクセス、時間外の活動、一括ダウンロード、権限の悪用、退職前後の不正持ち出しなど、インサイダーリスクの兆候を追跡するのに役立ちます。脅威ハンティング、UEBA 風のトリアージ、脅威モデリングに使えるこの detecting-insider-threat-behaviors ガイドには、ワークフローテンプレート、SIEM のクエリ例、リスク重み付けが含まれています。

detecting-dnp3-protocol-anomalies は、SCADA環境の DNP3 トラフィックを分析し、未許可の制御コマンド、プロトコル違反、再起動試行、ベースライン挙動からの逸脱を検出するのに役立ちます。Security Audit、IDSのチューニング、Zeekログやパケットキャプチャの確認にこの detecting-dnp3-protocol-anomalies skill を使ってください。

detecting-cryptomining-in-cloud は、コスト急増、マイニング用ポートの通信、GuardDuty の crypto 検知、実行時のプロセス証跡を突き合わせることで、クラウドワークロード内の不正な暗号資産マイニングを検出するのに役立ちます。トリアージ、検知ロジック設計、Security Audit ワークフローでの detecting-cryptomining-in-cloud に活用できます。

detecting-aws-cloudtrail-anomalies は、AWS CloudTrail のアクティビティを分析し、普段と異なる API ソース、初回実行のアクション、高頻度の呼び出し、認証情報の侵害や権限昇格につながる不審な挙動を見つけるのに役立ちます。boto3、ベースライン作成、イベントフィールド分析を使った、構造化された異常検知に向いています。

detecting-anomalous-authentication-patterns は、認証ログを分析して、あり得ない移動、ブルートフォース、パスワードスプレー、クレデンシャルスタッフィング、侵害済みアカウントの活動を特定するのに役立ちます。Security Audit、SOC、IAM、インシデント対応の各ワークフロー向けに設計されており、ベースラインを踏まえた検知と、証拠に基づくサインイン分析を備えています。

osqueryを導入・設定して、エンドポイントの可視化、全社規模の監視、SQLベースの脅威ハンティングを行うためのガイドです。インストール計画の立案、ワークフローやAPIリファレンスの確認、Windows・macOS・Linuxの各エンドポイントでスケジュールクエリ、ログ収集、集中レビューを運用に落とし込む際に役立ちます。

building-detection-rules-with-sigma は、脅威インテリジェンスやベンダールールから移植性の高い Sigma 検知ルールを作成し、MITRE ATT&CK にマッピングして、Splunk、Elastic、Microsoft Sentinel などの SIEM 向けに変換するのに役立ちます。Security Audit のワークフロー、標準化、detection-as-code にこの building-detection-rules-with-sigma ガイドを活用してください。

analyzing-web-server-logs-for-intrusion スキルは、Apache と Nginx のアクセスログを解析し、SQL インジェクション、ローカルファイルインクルージョン、ディレクトリトラバーサル、スキャナーの指紋、ブルートフォースの急増、異常なリクエストパターンを検知します。侵入トリアージ、脅威ハンティング、Security Audit のワークフローで、GeoIP の付加情報とシグネチャベース検知を使う用途に適しています。

analyzing-dns-logs-for-exfiltration は、SIEM や Zeek のログから DNS トンネリング、DGA 風ドメイン、TXT 悪用、そして秘匿された C2 パターンを検出するための、SOC 分析担当者向け skill です。エントロピー分析、クエリ量の異常、実践的なトリアージ指針が必要な Security Audit ワークフローで役立ちます。