detecting-azure-lateral-movement

por mukul975

detecting-azure-lateral-movement ajuda analistas de segurança a caçar movimentação lateral no Azure AD/Entra ID e no Microsoft Sentinel usando logs de auditoria do Microsoft Graph, telemetria de sign-in e correlação em KQL. Use-o para triagem de incidentes, engenharia de detecções e fluxos de auditoria de segurança que cobrem abuso de consentimento, uso indevido de service principals, roubo de tokens e pivoting entre tenants.

Estrelas6.1k

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-azure-lateral-movement

Pontuação editorial

Este skill recebe 78/100, o que o torna uma boa opção para o diretório quando o usuário precisa de suporte para hunting de movimentação lateral no Azure/Entra ID. O repositório traz conteúdo real de detecção, contexto de acionamento utilizável e material operacional suficiente para reduzir a incerteza em comparação com um prompt genérico, embora a página de instalação ainda deva destacar algumas lacunas de implementação.

78/100

Pontos fortes

Casos de uso explícitos e orientação clara sobre quando usar, cobrindo resposta a incidentes, threat hunting e validação de cobertura de monitoramento.
Evidências concretas de fluxo de trabalho: endpoints de auditoria/sign-in do Microsoft Graph e detecções em KQL no Sentinel para concessões de consentimento, abuso de service principal e replay de tokens.
O script de suporte e a referência de API indicam que o skill foi pensado para hunting executável, não apenas para orientação narrativa.

Pontos de atenção

Os pré-requisitos estão presentes, mas o trecho mostra ao menos uma linha de requisito truncada ou अस्पष्ट, então a configuração pode exigir verificação extra antes do uso.
Não há comando de instalação e os sinais visíveis de divulgação progressiva são limitados; por isso, talvez o usuário precise inspecionar os arquivos de script e de referência para entender os passos exatos de execução.

Azure Entra Id Microsoft Graph Sentinel Kql Threat Hunting Lateral Movement

Visão geral

Visão geral da skill detecting-azure-lateral-movement

detecting-azure-lateral-movement é uma skill de cibersegurança para caçar movimentação lateral em ambientes Azure AD/Entra ID e Microsoft Sentinel. Ela ajuda analistas a transformar perguntas soltas de incidente em detecções práticas baseadas em dados de auditoria do Microsoft Graph, logs de sign-in e correlação em KQL. Se você precisa de detecting-azure-lateral-movement para Security Audit, a função principal é identificar cedo abuso suspeito de identidade: concessões de consentimento, uso indevido de service principals, replay de token, pivot entre tenants e caminhos relacionados de escalada de privilégio.

Para que essa skill é mais indicada

Use esta skill quando estiver criando detecções, fazendo triagem de incidentes de identidade ou validando cobertura contra técnicas de ataque cloud-first. Ela é uma boa opção para analistas de SOC, threat hunters e engenheiros de segurança que querem um guia focado de detecting-azure-lateral-movement, em vez de um prompt genérico de segurança em Azure.

O que a torna diferente

A skill não trata só de consultar logs. Ela é orientada a correlacionar múltiplas fontes do Azure e mapear esses sinais para caminhos de ataque realistas. Isso importa porque a movimentação lateral no Entra ID muitas vezes deixa rastros fracos e distribuídos, e não um único evento óbvio.

Quando ela não é uma boa escolha

Se seu objetivo é hardening geral do Azure, desenho de IAM ou tarefas administrativas sem foco em segurança, esta é a ferramenta errada. Ela também não substitui um processo completo de resposta a incidentes nem uma plataforma madura de engenharia de detecções.

Como usar a skill detecting-azure-lateral-movement

Instale e inspecione os arquivos da skill

Use o caminho do repositório e carregue a skill com:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-azure-lateral-movement

Para a decisão de instalação de detecting-azure-lateral-movement, os arquivos mais úteis são skills/detecting-azure-lateral-movement/SKILL.md, references/api-reference.md e scripts/agent.py. Leia primeiro o arquivo de referência se quiser contexto sobre endpoints e KQL; leia primeiro o script se quiser entender o fluxo de execução e a lógica dos indicadores.

Dê a entrada certa

A skill funciona melhor quando você fornece um objetivo concreto de hunting, e não um pedido vago. Entradas fortes incluem contexto do tenant, fontes de log disponíveis, janela de tempo e o comportamento suspeito que você quer testar.

Formato de prompt bom:

“Investigue possível abuso de consentimento OAuth em um tenant Microsoft 365 usando Sentinel KQL e logs de auditoria do Graph nos últimos 7 dias.”
“Crie detecções para anomalias de sign-in entre tenants e replay de token no Entra ID, assumindo que eu tenho SigninLogs e AuditLogs.”
“Crie um hunt passo a passo para adições de credenciais em service principals ligadas a escalada de privilégio.”

Use o fluxo de trabalho que combina com seu ambiente

Comece pelo padrão de ataque, depois mapeie isso para a telemetria disponível e, em seguida, refine para uma consulta ou sequência investigativa. Se você só tem Microsoft Sentinel, priorize KQL. Se puder consultar o Microsoft Graph diretamente, use isso para auditorias de diretório e checagens de service principal, e então correlacione os achados com o comportamento de sign-in. Essa sequência importa mais do que o tamanho do prompt.

O que verificar primeiro no repositório

Priorize estas áreas do repositório nesta ordem:

SKILL.md para o escopo de detecção e os pré-requisitos.
references/api-reference.md para endpoints do Graph e exemplos de KQL.
scripts/agent.py para nomes de indicadores, fluxo de consultas e premissas sobre telemetria.

Essa ordem ajuda você a não deixar passar dependências como permissões, retenção de logs ou acesso à API antes de tentar executar um hunt.

FAQ da skill detecting-azure-lateral-movement

Isso é só para usuários do Microsoft Sentinel?

Não. O Sentinel é a principal superfície de análise, mas a skill também suporta investigação orientada pelo Microsoft Graph. Se você conseguir exportar ou consultar AuditLogs e SigninLogs, ainda pode usar a metodologia.

Preciso de conhecimento avançado em Azure?

Não necessariamente. A skill detecting-azure-lateral-movement é amigável para analistas que já entendem conceitos básicos de logging de identidade. Mas você precisa de contexto suficiente para diferenciar consentimento de app, atividade de service principal e anomalias de sign-in.

Em que isso difere de um prompt normal?

Um prompt normal pode gerar uma consulta genérica de hunting em Azure. Esta skill é mais opinativa: ela direciona você para padrões específicos de abuso de identidade, telemetria útil e um caminho prático de análise. Isso normalmente reduz tentativas em falso e melhora a qualidade de uso de detecting-azure-lateral-movement.

Quando não devo usar?

Não use para relatórios amplos de conformidade, inventário do tenant ou investigações de malware em endpoint sem relação com identidade. Ela é mais valiosa quando o comportamento suspeito envolve pivot de identidade, abuso de acesso delegado ou movimentação lateral nativa da nuvem.

Como melhorar a skill detecting-azure-lateral-movement

Dê contexto de telemetria mais preciso ao modelo

Entradas melhores geram hunts melhores. Especifique quais logs você tem, se eles estão completos ou amostrados e qual período precisa pesquisar. Por exemplo, “Tenho 30 dias de AuditLogs, 14 dias de SigninLogs e nenhum feed de Identity Protection” é muito mais acionável do que “verifique atividade ruim”.

Ancore a solicitação em um único caminho de ataque

Escolha uma hipótese por execução: abuso de consentimento, alteração de credencial em service principal, replay de token, delegação de mailbox ou pivot entre tenants. Misturar caminhos demais em um único pedido costuma gerar detecções rasas e priorização fraca.

Peça saídas que sejam úteis operacionalmente

Os melhores resultados geralmente são passos de investigação, KQL e orientação de triagem, não apenas um resumo. Peça quais campos inspecionar, quais explicações benignas são esperadas e qual é a próxima consulta a executar depois do primeiro sinal. Isso torna detecting-azure-lateral-movement para Security Audit muito mais útil no trabalho real.

Itere depois do primeiro rascunho

Use a primeira saída para encontrar lacunas: permissões ausentes, tabelas não suportadas ou filtros amplos demais. Depois restrinja o pedido com detalhes específicos do tenant, apps legítimos conhecidos ou uma janela de tempo menor. Essa é a forma mais rápida de transformar a skill detecting-azure-lateral-movement em um hunt repetível, e não em uma resposta pontual.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

security-threat-model

por openai

Skill security-threat-model baseada no repositório para threat modeling em AppSec. Ela mapeia fronteiras de confiança, ativos, objetivos do atacante, caminhos de abuso e mitigações em um threat model conciso em Markdown. Use quando precisar de security-threat-model para Threat Modeling em um repositório ou caminho específico, e não de uma revisão genérica de arquitetura ou de uma checagem de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ajuda a analisar textos e imagens em busca de conteúdo nocivo com o Azure AI Content Safety em TypeScript. Use esta skill para fluxos de moderação, blocklists e verificações de auditoria de segurança para ódio, violência, conteúdo sexual e autoagressão. Ela também cobre a configuração do endpoint e da autenticação no Azure.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

A skill sharp-edges ajuda você a encontrar APIs, configurações e interfaces em que o caminho mais fácil leva a um uso inseguro. Use-a para revisar fluxos de autenticação, wrappers criptográficos, padrões perigosos de default, semântica de null ou zero e escolhas de design propensas a uso indevido. É uma ótima opção para trabalhos de sharp-edges em Auditoria de Segurança quando você precisa de armadilhas concretas, não de palpites genéricos sobre segurança.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

A skill de exploração de armazenamento inseguro em mobile ajuda a avaliar e extrair evidências de armazenamento local inseguro em apps Android e iOS. Ela cobre SharedPreferences, bancos SQLite, arquivos plist, arquivos legíveis por todos, exposição por backup e tratamento fraco de keychain/keystore, apoiando fluxos de mobile pentesting e Security Audit.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ajuda equipes a criar um processo repetível para Microsoft Patch Tuesday, com triagem de advisories, priorização de risco, testes de patches, aprovação de rollout e acompanhamento de conformidade. É útil para operações de segurança, gestão de vulnerabilidades e para building-patch-tuesday-response-process em gestão de projetos.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprenda a skill ossfuzz para configuração de fuzzing contínuo, inscrição de projetos, planejamento de harnesses e revisão do fluxo de build. Este guia ajuda engenheiros de segurança e mantenedores a avaliar a prontidão, identificar bloqueios de build e preparar um caminho prático do código-fonte até o OSS-Fuzz ou uma infraestrutura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

O skill codeql ajuda você a usar o CodeQL com menos pontos cegos durante uma auditoria de segurança. Ele foca na qualidade do banco de dados, na seleção de suites, em extensões de dados e na revisão de SARIF, para que você possa usar o codeql de forma mais confiável entre as linguagens compatíveis. Use-o para seguir etapas repetíveis do guia codeql ao analisar repositórios reais.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

O semgrep-rule-creator cria regras do Semgrep com qualidade de produção para vulnerabilidades de segurança, padrões de bugs, detecções de taint-flow e padrões de codificação. Use o skill semgrep-rule-creator para trabalho de Auditoria de Segurança quando precisar de regras precisas, casos de teste e validação, em vez de um rascunho genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

A skill insecure-defaults ajuda a identificar padrões de configuração fail-open que fazem o software continuar executando com definições inseguras em vez de parar. Use em uma Security Audit de código em produção, configurações de deployment e lógica de tratamento de secrets para detectar autenticação fraca, secrets hardcoded e defaults permissivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis é uma skill de auditoria de segurança para encontrar riscos de side-channel de tempo em código criptográfico antes que virem bugs exploráveis. Use-a para revisar matemática, branches, comparações e saída compilada dependentes de segredo ao analisar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide orienta um fluxo de trabalho de segurança em 5 etapas para Solidity: triagem com Slither, checagens específicas por recurso, inspeção visual, anotações de propriedades de segurança e revisão manual. Foi feito para equipes de smart contracts, auditores e builders que querem um guia repeatable de secure-workflow-guide antes do deploy ou do release.

Security Audit

Favoritos 0GitHub 4.9k