Logs

analyzing-security-logs-with-splunk는 Windows, 방화벽, 프록시, 인증 로그를 타임라인과 증거로 연결해 Splunk에서 보안 이벤트를 조사하는 데 도움을 줍니다. 이 analyzing-security-logs-with-splunk 스킬은 Security Audit, 인시던트 대응, 위협 헌팅에 적합한 실무형 가이드입니다.

analyzing-cloud-storage-access-patterns는 보안 팀이 AWS S3, GCS, Azure Blob Storage에서 의심스러운 클라우드 저장소 액세스를 탐지하도록 돕습니다. 감사 로그를 분석해 대량 다운로드, 새로운 소스 IP, 비정상적인 API 호출, 버킷 열거, 근무 시간 외 액세스, 그리고 기준선과 이상 징후 점검을 통한 잠재적 유출을 찾아냅니다.

Azure Monitor 활동 로그와 로그인 로그를 쿼리해 수상한 관리자 작업, 불가능한 이동, 권한 상승, 리소스 변조를 찾아내는 `analyzing-azure-activity-logs-for-threats` 스킬입니다. KQL 패턴, 실행 경로, 실무 중심의 Azure 로그 테이블 가이드를 함께 제공해 사고 초기 대응과 트리아지에 적합하게 설계되었습니다.

analyzing-api-gateway-access-logs는 API Gateway 액세스 로그를 파싱해 BOLA/IDOR, 속도 제한 우회, 자격 증명 스캐닝, 주입 시도를 탐지하는 데 도움을 줍니다. AWS API Gateway, Kong, Nginx 스타일 로그 전반에서 pandas 기반 분석으로 SOC 트리아지, 위협 헌팅, Security Audit 워크플로에 맞게 설계되었습니다.

azure-monitor-query-py는 Python 개발자가 `azure-monitor-query`를 사용해 Azure Monitor 로그와 메트릭을 조회할 수 있도록 돕습니다. Log Analytics 작업 영역, Azure 리소스 메트릭, 백엔드 모니터링, 진단, 관측성 자동화에 적합합니다. 이미 workspace ID, resource URI, Azure 자격 증명이 준비돼 있다면 azure-monitor-query-py 스킬에 잘 맞습니다.

detecting-sql-injection-via-waf-logs로 WAF 및 감사 로그를 분석해 SQL 인젝션 캠페인을 탐지합니다. Security Audit와 SOC 워크플로우에 맞춰 설계되었으며, ModSecurity, AWS WAF, Cloudflare 이벤트를 파싱하고 UNION SELECT, OR 1=1, SLEEP(), BENCHMARK() 패턴을 분류한 뒤, 출처를 상관 분석해 사건 중심의 조사 결과를 제공합니다.

detecting-evasion-techniques-in-endpoint-logs skill은 Windows endpoint 로그에서 방어 회피 행위를 추적하는 데 도움이 됩니다. 여기에는 로그 삭제, timestomping, process injection, 보안 도구 비활성화가 포함됩니다. Sysmon, Windows Security, 또는 EDR telemetry를 활용한 threat hunting, detection engineering, incident triage에 적합합니다.

analyzing-web-server-logs-for-intrusion skill은 Apache 및 Nginx 액세스 로그를 분석해 SQL 인젝션, 로컬 파일 포함(LFI), 디렉터리 트래버설, 스캐너 지문, 브루트포스 급증, 비정상 요청 패턴을 탐지합니다. GeoIP 보강과 시그니처 기반 탐지를 활용한 침입 초기 대응, 위협 헌팅, Security Audit 워크플로에 적합합니다.

analyzing-tls-certificate-transparency-logs 스킬은 보안팀이 crt.sh, pycrtsh 및 관련 피드로 Certificate Transparency 데이터를 조회해 의심스러운 TLS 인증서, 유사 도메인, 타이포스쿼팅, 무단 발급을 찾아내도록 돕습니다. 실무형 워크플로와 유사도 검사까지 지원해 위협 헌팅, 브랜드 보호, 인증서 모니터링에 활용할 수 있습니다.

EVTX 파일에서 Windows PowerShell Script Block Logging 이벤트 ID 4104를 파싱하고, 분할된 스크립트 블록을 복원하며, 난독화된 명령, 인코딩된 페이로드, Invoke-Expression 남용, 다운로드 크래들, AMSI 우회 시도를 식별해 Security Audit 작업에 활용하는 analyzing-powershell-script-block-logging 스킬입니다.

analyzing-linux-audit-logs-for-intrusion은 auditd 검토를 위한 Linux 사고 대응 skill로, ausearch, aureport, auditctl을 사용해 의심스러운 로그인, 권한 상승, 파일 변조, 호스트 침입 흔적을 찾는 데 도움을 줍니다.

analyzing-kubernetes-audit-logs는 API 서버 감사 로그를 실행 가능한 인사이트로 바꿔주는 Kubernetes 보안 분석 스킬입니다. pod 내부 exec, secret 접근, RBAC 변경, 특권 워크로드, 익명 API 접근을 조사하는 데 사용할 수 있으며, JSON Lines 감사 데이터로 탐지 규칙과 트리아지 요약을 만드는 데도 적합합니다.

analyzing-docker-container-forensics는 이미지, 레이어, 볼륨, 로그, 런타임 아티팩트를 분석해 악성 행위를 식별하고 증거를 보존함으로써 침해된 Docker 컨테이너를 조사하는 데 도움이 됩니다. 보안 감사, 사고 검토, 컨테이너 하드닝 점검에 이 analyzing-docker-container-forensics 스킬을 사용하세요.

analyzing-dns-logs-for-exfiltration는 SOC 분석가가 SIEM 또는 Zeek 로그에서 DNS 터널링, DGA 유사 도메인, TXT 남용, 은밀한 C2 패턴을 탐지하도록 돕습니다. 엔트로피 분석, 쿼리량 이상 징후, 실전형 트리아지 가이드가 필요할 때 Security Audit 워크플로에 활용하세요.

sentry skill은 Sentry의 이슈, 이벤트, 상태 신호를 살펴보는 읽기 전용 Observability 도구입니다. 최근 운영 오류를 조사하고, 영향 범위를 요약하고, 구조화된 출력으로 반복 가능한 CLI 기반 쿼리를 실행할 때 유용합니다. 폭넓은 관측성 개요보다, 트리아지에 쓸 실용적인 sentry 가이드가 필요할 때 가장 적합합니다.

azure-monitor-opentelemetry-exporter-py는 Python에서 Azure Monitor와 Application Insights로 OpenTelemetry를 저수준으로 내보내는 설정을 도와줍니다. 더 높은 수준의 자동 계측 배포판이 아니라, trace, metric, log를 직접 제어하는 맞춤형 관측성 파이프라인이 필요할 때 사용하세요.