Anomaly Detection

detecting-s3-data-exfiltration-attempts는 CloudTrail의 S3 데이터 이벤트, GuardDuty 탐지 결과, Amazon Macie 경보, S3 접근 패턴을 상호 연관해 AWS S3 데이터 탈취 가능성을 조사하는 데 도움을 줍니다. 보안 감사, 사고 대응, 의심스러운 대량 다운로드 분석에 이 detecting-s3-data-exfiltration-attempts 스킬을 사용하세요.

detecting-rdp-brute-force-attacks는 Windows Security Event Logs에서 RDP 무차별 대입 패턴을 분석하는 데 도움이 됩니다. 반복되는 4625 실패, 실패 후 4624 성공, NLA 관련 로그인, 소스 IP 집중 현상 등을 확인할 수 있습니다. 보안 감사, 위협 헌팅, 반복 가능한 EVTX 기반 조사에 적합합니다.

detecting-network-anomalies-with-zeek skill은 Zeek를 활용해 수동 네트워크 모니터링을 배포하고, 구조화된 로그를 검토하며, 비콘 통신, DNS 터널링, 비정상적인 프로토콜 활동을 위한 맞춤 탐지를 구축하는 데 도움을 줍니다. 위협 헌팅, 사고 대응, SIEM 연동용 네트워크 메타데이터, Security Audit 워크플로에 적합하며, 인라인 차단용은 아닙니다.

detecting-modbus-protocol-anomalies는 OT 및 ICS 네트워크에서 Modbus/TCP와 Modbus RTU의 의심스러운 동작을 탐지하는 데 도움을 줍니다. 여기에는 잘못된 함수 코드, 범위를 벗어난 레지스터 접근, 비정상적인 폴링 주기, 무단 쓰기, 비정상 프레임이 포함됩니다. 보안 감사와 증거 기반 트리아지에 유용합니다.

detecting-beaconing-patterns-with-zeek은 Zeek `conn.log`의 간격을 분석해 C2형 비컨ing을 탐지하는 데 도움을 줍니다. ZAT를 사용해 흐름을 출발지, 목적지, 포트별로 그룹화하고, 통계적 검증을 통해 지터가 낮은 패턴에 점수를 매깁니다. SOC, 위협 헌팅, 사고 대응, 그리고 Security Audit 워크플로에서 detecting-beaconing-patterns-with-zeek를 활용하려는 경우에 적합합니다.

analyzing-cloud-storage-access-patterns는 보안 팀이 AWS S3, GCS, Azure Blob Storage에서 의심스러운 클라우드 저장소 액세스를 탐지하도록 돕습니다. 감사 로그를 분석해 대량 다운로드, 새로운 소스 IP, 비정상적인 API 호출, 버킷 열거, 근무 시간 외 액세스, 그리고 기준선과 이상 징후 점검을 통한 잠재적 유출을 찾아냅니다.

Azure Monitor 활동 로그와 로그인 로그를 쿼리해 수상한 관리자 작업, 불가능한 이동, 권한 상승, 리소스 변조를 찾아내는 `analyzing-azure-activity-logs-for-threats` 스킬입니다. KQL 패턴, 실행 경로, 실무 중심의 Azure 로그 테이블 가이드를 함께 제공해 사고 초기 대응과 트리아지에 적합하게 설계되었습니다.

alert-manager 스킬은 팀이 임계값 가이드와 재사용 가능한 템플릿을 활용해 순위 하락, 트래픽 이상 징후, 기술적 문제, 경쟁사 변화, AI 가시성 변동에 대응하는 SEO 및 GEO 알림 프레임워크를 설계하도록 돕습니다.

detecting-stuxnet-style-attacks 스킬은 PLC 로직 변조, 위장된 센서 데이터, 엔지니어링 워크스테이션 침해, IT-OT 측면 이동을 포함한 Stuxnet 유사 OT 및 ICS 침입 패턴을 탐지하는 데 도움을 줍니다. 프로토콜, 호스트, 프로세스 증거를 함께 활용하는 위협 헌팅, 사고 초기 분류, 공정 무결성 모니터링에 적합합니다.

detecting-ransomware-encryption-behavior는 엔트로피 분석, 파일 I/O 모니터링, 행위 기반 휴리스틱을 활용해 랜섬웨어형 암호화를 포착하도록 돕습니다. 대량 파일 변경, 연속적인 이름 바꾸기, 수상한 프로세스 활동을 빠르게 감지해야 하는 사고 대응, SOC 튜닝, 레드팀 검증에 적합합니다.

detecting-arp-poisoning-in-network-traffic은 ARPWatch, Dynamic ARP Inspection, Wireshark, Python 검사를 활용해 실시간 트래픽이나 PCAP에서 ARP 스푸핑을 탐지하는 데 도움이 됩니다. 사고 대응, SOC 선별 대응, 그리고 IP-MAC 변경, gratuitous ARP, MITM 징후를 반복적으로 분석하는 용도로 설계되었습니다.

detecting-insider-threat-with-ueba는 Elasticsearch 또는 OpenSearch에서 내부자 위협 사례를 위한 UEBA 탐지를 구축하도록 돕습니다. 행동 기준선, 이상 점수화, 피어 그룹 분석, 데이터 유출·권한 남용·무단 액세스에 대한 상관 분석 경보를 포함하며, Incident Response 워크플로에 적합합니다.

detecting-insider-threat-behaviors는 비정상적인 데이터 접근, 근무 시간 외 활동, 대량 다운로드, 권한 남용, 퇴사 연계 유출 같은 내부자 위험 신호를 찾는 분석가를 돕습니다. 이 detecting-insider-threat-behaviors 가이드는 워크플로 템플릿, SIEM 쿼리 예시, 위험 가중치를 통해 위협 헌팅, UEBA 스타일 트리아지, 위협 모델링에 활용할 수 있습니다.

detecting-dnp3-protocol-anomalies는 SCADA 환경의 DNP3 트래픽을 분석해 비인가 제어 명령, 프로토콜 위반, 재시작 시도, 기준 동작과의 편차를 식별하는 데 도움이 됩니다. 보안 감사, IDS 튜닝, Zeek 로그나 패킷 캡처 검토에 이 detecting-dnp3-protocol-anomalies skill을 사용하세요.

detecting-cryptomining-in-cloud는 보안 팀이 클라우드 워크로드에서 무단 암호화폐 채굴을 탐지할 수 있도록 돕습니다. 비용 급증, 채굴 포트 트래픽, GuardDuty crypto 탐지 결과, 런타임 프로세스 증거를 상호 연관 분석해 의심 신호를 찾아냅니다. 트리아지, 탐지 엔지니어링, Security Audit 워크플로에서 detecting-cryptomining-in-cloud를 사용할 때 적합합니다.

detecting-aws-cloudtrail-anomalies는 AWS CloudTrail 활동을 분석해 비정상적인 API 출처, 최초 실행 작업, 고빈도 호출, 그리고 자격 증명 탈취나 권한 상승과 연관된 의심스러운 행위를 찾아내는 데 도움을 줍니다. boto3, 기준선(baselining), 이벤트 필드 분석을 활용한 체계적인 이상 탐지에 적합합니다.

detecting-anomalous-authentication-patterns는 불가능한 이동(impossible travel), 무차별 대입(brute force), 패스워드 스프레이(password spraying), 크리덴셜 스터핑(credential stuffing), 계정 탈취 의심 활동을 포함한 인증 로그 분석을 지원합니다. 보안 감사, SOC, IAM, 사고 대응 워크플로에 맞춰 설계되었으며, 기준선 인식 탐지와 증거 기반 로그인 분석을 제공합니다.

엔드포인트 가시성, 전체 자산 모니터링, SQL 기반 위협 헌팅을 위해 osquery를 배포하고 구성하는 deploying-osquery-for-endpoint-monitoring 가이드입니다. 설치 계획을 세우고, 워크플로와 API 참고 자료를 검토하며, Windows, macOS, Linux 엔드포인트 전반에서 예약 쿼리, 로그 수집, 중앙 집중식 검토를 운영하는 데 활용하세요.

building-detection-rules-with-sigma는 위협 인텔이나 벤더 규칙을 바탕으로 이식 가능한 Sigma 탐지 규칙을 만들고, 이를 MITRE ATT&CK에 매핑한 뒤 Splunk, Elastic, Microsoft Sentinel 같은 SIEM용으로 변환하는 데 도움을 줍니다. 보안 감사 워크플로, 표준화, detection-as-code에 이 building-detection-rules-with-sigma 가이드를 활용하세요.

analyzing-web-server-logs-for-intrusion skill은 Apache 및 Nginx 액세스 로그를 분석해 SQL 인젝션, 로컬 파일 포함(LFI), 디렉터리 트래버설, 스캐너 지문, 브루트포스 급증, 비정상 요청 패턴을 탐지합니다. GeoIP 보강과 시그니처 기반 탐지를 활용한 침입 초기 대응, 위협 헌팅, Security Audit 워크플로에 적합합니다.

analyzing-dns-logs-for-exfiltration는 SOC 분석가가 SIEM 또는 Zeek 로그에서 DNS 터널링, DGA 유사 도메인, TXT 남용, 은밀한 C2 패턴을 탐지하도록 돕습니다. 엔트로피 분석, 쿼리량 이상 징후, 실전형 트리아지 가이드가 필요할 때 Security Audit 워크플로에 활용하세요.