Cloud Security

A skill detecting-shadow-it-cloud-usage ajuda a identificar uso não autorizado de SaaS e serviços de cloud a partir de logs de proxy, consultas DNS e netflow. Ela classifica domínios, compara com listas aprovadas e dá suporte a fluxos de auditoria de segurança com evidências estruturadas, conforme o guia da skill detecting-shadow-it-cloud-usage.

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

detecting-azure-service-principal-abuse ajuda a detectar, investigar e documentar atividade suspeita de service principal no Microsoft Entra ID no Azure. Use-o para Auditoria de Segurança, resposta a incidentes em nuvem e threat hunting, revisando mudanças de credenciais, abuso de consentimento de administrador, atribuições de função, caminhos de propriedade e anomalias de login.

A skill exploiting-server-side-request-forgery ajuda a avaliar recursos suscetíveis a SSRF em alvos web autorizados, incluindo buscadores de URL, webhooks, ferramentas de pré-visualização e acesso a metadados em cloud. Ela oferece um fluxo guiado para detecção, testes de bypass, sondagem de serviços internos e validação em Security Audit.

detecting-oauth-token-theft ajuda a investigar roubo, replay e sequestro de sessão de tokens OAuth no Microsoft Entra ID e no M365. Use esta skill detecting-oauth-token-theft em revisão de Segurança/Auditoria, resposta a incidentes e avaliações de hardening. Ela foca em anomalias de login, escopos suspeitos, novos dispositivos e etapas de contenção.

A skill detecting-cryptomining-in-cloud ajuda equipes de segurança a detectar cryptomining não autorizado em workloads na nuvem, correlacionando picos de custo, tráfego para portas de mineração, findings de crypto do GuardDuty e evidências de processos em runtime. Use-a para triagem, engenharia de detecção e fluxos de Security Audit com detecting-cryptomining-in-cloud.

detecting-compromised-cloud-credentials é uma skill de segurança em nuvem para AWS, Azure e GCP que ajuda a confirmar abuso de credenciais, rastrear atividade anômala de APIs, investigar "impossible travel" e logins suspeitos, e dimensionar o impacto do incidente com telemetria e alertas dos provedores.

detecting-cloud-threats-with-guardduty orienta equipes AWS a habilitar o Amazon GuardDuty, revisar findings e montar respostas automatizadas para ameaças na nuvem em várias contas e workloads. É útil para instalação, uso e operações do dia a dia do GuardDuty em Cloud Architecture.

detecting-aws-cloudtrail-anomalies ajuda a analisar a atividade do AWS CloudTrail em busca de origens incomuns de chamadas de API, ações executadas pela primeira vez, chamadas em alta frequência e comportamentos suspeitos ligados a comprometimento de credenciais ou escalada de privilégios. Use-o para detecção estruturada de anomalias com boto3, definição de baseline e análise de campos dos eventos.

conducting-cloud-penetration-testing ajuda você a planejar e executar avaliações autorizadas em nuvem em AWS, Azure e GCP. Use para identificar configurações incorretas de IAM, exposição de metadados, recursos públicos e caminhos de escalada, e depois transformar os resultados em um relatório de auditoria de segurança. Ele se encaixa no skill conducting-cloud-penetration-testing para fluxos de trabalho de auditoria de segurança.

conducting-cloud-incident-response é uma skill de resposta a incidentes em nuvem para AWS, Azure e GCP. Ela foca em contenção baseada em identidade, revisão de logs, isolamento de recursos e captura de evidências forenses. Use quando houver atividade suspeita de API, chaves de acesso comprometidas ou invasão de workloads em nuvem e você precisar de um guia prático de conducting-cloud-incident-response.

building-cloud-siem-with-sentinel é um guia prático para implementar o Microsoft Sentinel como camada de SIEM e SOAR na nuvem. Ele aborda ingestão de logs em múltiplas nuvens, detecções em KQL, investigação de incidentes e playbooks de resposta no Logic Apps para operações de Security Audit e SOC. Use esta skill building-cloud-siem-with-sentinel quando precisar de um ponto de partida com base em repositório para monitoramento centralizado de segurança em cloud.

auditing-kubernetes-cluster-rbac ajuda a auditar RBAC do Kubernetes em busca de roles amplos demais, bindings arriscados, acesso a secrets e caminhos de escalada de privilégios. Foi feita para fluxos de auditoria de segurança em clusters EKS, GKE, AKS e ambientes autogerenciados, com orientação prática para `kubectl`, `rbac-tool`, `KubiScan` e `Kubeaudit`.

auditing-gcp-iam-permissions ajuda a revisar o acesso IAM do Google Cloud em busca de vinculações arriscadas, roles primitivas, acesso público, exposição de contas de serviço e caminhos entre projetos. Esta skill de auditoria de controle de acesso foi criada para análises orientadas por evidências, usando gcloud, Cloud Asset, IAM Recommender e Policy Analyzer.

auditing-cloud-with-cis-benchmarks é uma skill de Auditoria de Segurança em nuvem para AWS, Azure e GCP. Ela ajuda você a avaliar ambientes com base nos CIS Foundations Benchmarks, revisar controles com falha e seguir um caminho repetível, dos achados à remediação, usando o guia da skill, os arquivos de referência e os padrões de agente no repositório.

A skill de auditoria da configuração do Azure Active Directory ajuda a revisar a segurança do tenant do Microsoft Entra ID em busca de configurações de autenticação arriscadas, excesso de funções administrativas, contas desatualizadas, lacunas no Conditional Access, exposição de contas guest e cobertura de MFA. Ela foi pensada para fluxos de trabalho de Security Audit, com evidências baseadas em Graph e orientações práticas.

A skill auditing-aws-s3-bucket-permissions ajuda você a auditar buckets do AWS S3 em busca de exposição pública, ACLs permissivas demais, políticas de bucket frágeis e criptografia ausente. Criada para fluxos de trabalho de Auditoria de Segurança, ela oferece suporte a uma revisão repetível de privilégio mínimo com orientação voltada a AWS CLI e boto3, além de notas práticas de instalação e uso.