Anomaly Detection

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

A skill de detectar anomalias de rede com Zeek ajuda a implantar o Zeek para monitoramento passivo de rede, revisar logs estruturados e criar detecções personalizadas para beaconing, DNS tunneling e atividades incomuns de protocolos. É indicada para threat hunting, resposta a incidentes, metadados de rede prontos para SIEM e fluxos de trabalho de Security Audit — não para prevenção inline.

detecting-modbus-protocol-anomalies ajuda a detectar comportamentos suspeitos em Modbus/TCP e Modbus RTU em redes OT e ICS, incluindo códigos de função inválidos, acesso a registradores fora do intervalo, timing de polling anormal, gravações não autorizadas e frames malformados. É útil para auditoria de segurança e triagem baseada em evidências.

detecting-beaconing-patterns-with-zeek ajuda a analisar intervalos do `conn.log` do Zeek para detectar beaconing no estilo C2. Usa ZAT, agrupa fluxos por origem, destino e porta, e pontua padrões de baixo jitter com verificações estatísticas. É ideal para SOC, threat hunting, resposta a incidentes e fluxos de Security Audit com detecting-beaconing-patterns-with-zeek.

analyzing-cloud-storage-access-patterns ajuda equipes de segurança a detectar acessos suspeitos a armazenamento em nuvem no AWS S3, GCS e Azure Blob Storage. Ele analisa logs de auditoria em busca de downloads em massa, novos IPs de origem, chamadas de API incomuns, enumeração de buckets, acessos fora do expediente e possível exfiltração usando verificações de linha de base e anomalias.

Skill de análise de logs de atividade do Azure para consultar logs de atividade do Azure Monitor e logs de entrada, identificando ações administrativas suspeitas, impossible travel, escalada de privilégios e adulteração de recursos. Feito para triagem de incidentes, com padrões KQL, um caminho de execução e orientação prática sobre tabelas de logs do Azure.

A skill alert-manager ajuda equipes a estruturar alertas de SEO e GEO para quedas de ranking, anomalias de tráfego, problemas técnicos, mudanças de concorrentes e variações na visibilidade em IA, com guias de limites e modelos reutilizáveis.

A skill detecting-stuxnet-style-attacks ajuda defensores a detectar padrões de intrusão em OT e ICS semelhantes ao Stuxnet, incluindo adulteração da lógica de PLC, falsificação de dados de sensores, comprometimento de estações de engenharia e movimentação lateral de TI para OT. Use-a para threat hunting, triagem de incidentes e monitoramento da integridade de processos com evidências de protocolo, host e processo.

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

detecting-arp-poisoning-in-network-traffic ajuda a detectar ARP spoofing em tráfego ao vivo ou em PCAPs usando ARPWatch, Dynamic ARP Inspection, Wireshark e verificações em Python. Foi pensado para resposta a incidentes, triagem em SOC e análise repetível de mudanças de IP para MAC, ARPs gratuitos e indicadores de MITM.

detecting-insider-threat-with-ueba ajuda você a criar detecções de UEBA no Elasticsearch ou OpenSearch para casos de ameaça interna, incluindo linhas de base comportamentais, pontuação de anomalias, análise de grupos de pares e alertas correlacionados para exfiltração de dados, abuso de privilégios e acesso não autorizado. Ele se encaixa em fluxos de trabalho de Resposta a Incidentes com detecting-insider-threat-with-ueba.

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

detecting-dnp3-protocol-anomalies ajuda a analisar tráfego DNP3 em ambientes SCADA para identificar comandos de controle não autorizados, violações de protocolo, tentativas de reinicialização e desvios do comportamento de base. Use esta skill detecting-dnp3-protocol-anomalies para auditoria de segurança, ajuste de IDS e revisão de logs do Zeek ou capturas de pacotes.

A skill detecting-cryptomining-in-cloud ajuda equipes de segurança a detectar cryptomining não autorizado em workloads na nuvem, correlacionando picos de custo, tráfego para portas de mineração, findings de crypto do GuardDuty e evidências de processos em runtime. Use-a para triagem, engenharia de detecção e fluxos de Security Audit com detecting-cryptomining-in-cloud.

detecting-aws-cloudtrail-anomalies ajuda a analisar a atividade do AWS CloudTrail em busca de origens incomuns de chamadas de API, ações executadas pela primeira vez, chamadas em alta frequência e comportamentos suspeitos ligados a comprometimento de credenciais ou escalada de privilégios. Use-o para detecção estruturada de anomalias com boto3, definição de baseline e análise de campos dos eventos.

detecting-anomalous-authentication-patterns ajuda a analisar logs de autenticação em busca de impossible travel, brute force, password spraying, credential stuffing e atividade de contas comprometidas. Foi criado para workflows de Security Audit, SOC, IAM e resposta a incidentes, com detecção consciente de baseline e análise de sign-in baseada em evidências.

Guia de deploying-osquery-for-endpoint-monitoring para implantar e configurar o osquery com visibilidade de endpoints, monitoramento em toda a frota e threat hunting orientado por SQL. Use para planejar a instalação, consultar o fluxo de trabalho e as referências de API e operacionalizar consultas agendadas, coleta de logs e revisão केंदralizada em endpoints Windows, macOS e Linux.

building-detection-rules-with-sigma ajuda analistas a criar regras portáteis de detecção em Sigma a partir de threat intel ou regras de fornecedores, mapeá-las para o MITRE ATT&CK e convertê-las para SIEMs como Splunk, Elastic e Microsoft Sentinel. Use este guia building-detection-rules-with-sigma para fluxos de Security Audit, padronização e detection-as-code.

A skill analyzing-web-server-logs-for-intrusion faz o parsing de logs de acesso do Apache e do Nginx para detectar SQL injection, local file inclusion, directory traversal, fingerprints de scanners, bursts de brute force e padrões anômalos de requisições. Use-a para triagem de intrusões, threat hunting e fluxos de trabalho de Security Audit, com enriquecimento por GeoIP e detecção baseada em assinaturas.

analyzing-dns-logs-for-exfiltration ajuda analistas de SOC a detectar DNS tunneling, domínios com padrão de DGA, abuso de TXT e padrões furtivos de C2 em logs de SIEM ou Zeek. Use-a em fluxos de Security Audit quando precisar de análise de entropia, anomalias de volume de consultas e orientação prática de triagem.