Monitoring

Kỹ năng security-scan kiểm tra cấu hình .claude/ của Claude Code để phát hiện bí mật bị lộ, thiết lập MCP rủi ro, hướng dẫn dễ bị chèn lệnh, các cờ bypass nguy hiểm, và định nghĩa agent hoặc hook yếu bằng AgentShield. Dùng nó để kiểm tra bảo mật lặp lại được trước khi commit hoặc onboard.

canary-watch là một skill giám sát sau triển khai để kiểm tra một URL đang hoạt động nhằm phát hiện hồi quy sau các lần phát hành, merge hoặc cập nhật phụ thuộc, trên môi trường staging hoặc production.

canary là một kỹ năng giám sát sau triển khai, theo dõi các ứng dụng đang chạy thực tế để phát hiện lỗi console, lỗi trang và các suy giảm hiệu năng. Kỹ năng này so sánh hành vi hiện tại với đường cơ sở trước triển khai để bạn có thể xác minh bản phát hành, bắt các trang bị hỏng và nhận ra các bất thường dễ thấy mà không phải đoán mò như khi dùng một prompt chung chung.

python-observability giúp bạn bổ sung structured logging, metrics, traces, correlation IDs và các mẫu bounded-cardinality cho dịch vụ Python, để gỡ lỗi production hiệu quả hơn và triển khai observability an toàn hơn.

grafana-dashboards giúp agent thiết kế dashboard Grafana cho môi trường production phục vụ observability. Dùng skill này để lên bố cục theo RED và USE, chọn hệ phân cấp panel, và phác thảo cấu trúc dashboard cho metrics kiểu Prometheus.

prometheus-configuration giúp bạn cài đặt và sử dụng Prometheus cho việc scraping, retention, alerting và recording rules trên Kubernetes, Docker Compose và các môi trường máy chủ.

Dùng kỹ năng slo-implementation để xác định SLI, SLO, error budget và cảnh báo burn-rate cho công việc Reliability. Kỹ năng này giúp nhóm biến mục tiêu dịch vụ thành các chỉ số đo lường được, với ví dụ theo kiểu PromQL và hướng dẫn thực tế từ SKILL.md.

Dùng skill distributed-tracing để thiết kế và diễn giải việc truy vết request giữa các microservice với Jaeger và Tempo. Nội dung bao quát kiến thức cài đặt cơ bản, khái niệm trace và span, các mẫu thiết lập Kubernetes, context propagation, cùng cách áp dụng thực tế cho observability và gỡ lỗi độ trễ.

appinsights-instrumentation giúp tích hợp Application Insights cho ứng dụng web chạy trên Azure. Skill này hướng dẫn auto-instrumentation cho App Service hoặc thiết lập thủ công cho ASP.NET Core và Node.js, gồm cả cập nhật connection string và hạ tầng dưới dạng mã.

detecting-shadow-it-cloud-usage giúp phát hiện việc sử dụng SaaS và dịch vụ cloud trái phép từ proxy logs, DNS queries và netflow. Skill này phân loại domain, đối chiếu với danh sách được phê duyệt, và hỗ trợ quy trình kiểm tra an ninh bằng bằng chứng có cấu trúc từ hướng dẫn của detecting-shadow-it-cloud-usage skill.

detecting-rdp-brute-force-attacks giúp phân tích Windows Security Event Logs để phát hiện mẫu brute force RDP, bao gồm các lần lỗi 4625 lặp lại, đăng nhập 4624 thành công sau nhiều lần thất bại, logon liên quan đến NLA và mức độ tập trung theo source IP. Hãy dùng skill này cho Security Audit, threat hunting và các cuộc điều tra EVTX có thể lặp lại.

Kỹ năng detecting-network-anomalies-with-zeek giúp triển khai Zeek để giám sát mạng ở chế độ thụ động, xem lại các log có cấu trúc và xây dựng các phát hiện tùy chỉnh cho beaconing, DNS tunneling và hoạt động giao thức bất thường. Kỹ năng này phù hợp cho threat hunting, ứng phó sự cố, metadata mạng sẵn sàng cho SIEM và quy trình Security Audit — không phải để ngăn chặn inline.

detecting-beaconing-patterns-with-zeek giúp phân tích các khoảng thời gian trong Zeek `conn.log` để phát hiện beaconing kiểu C2. Kỹ năng này dùng ZAT, nhóm các luồng theo nguồn, đích và cổng, rồi chấm điểm các mẫu có độ dao động thấp bằng các kiểm tra thống kê. Phù hợp cho SOC, threat hunting, ứng phó sự cố, và các quy trình Security Audit cần detecting-beaconing-patterns-with-zeek.

Hướng dẫn cấu hình phát hiện xâm nhập dựa trên host để thiết lập HIDS với Wazuh, OSSEC hoặc AIDE, nhằm giám sát tính toàn vẹn tệp, thay đổi hệ thống và bảo mật endpoint theo hướng tuân thủ cho các workflow Security Audit.

Kỹ năng analyzing-azure-activity-logs-for-threats dùng để truy vấn nhật ký hoạt động và nhật ký đăng nhập của Azure Monitor, nhằm phát hiện các hành động quản trị đáng ngờ, di chuyển bất khả thi, leo thang đặc quyền và can thiệp tài nguyên. Được xây dựng cho giai đoạn triage sự cố với các mẫu KQL, luồng thực thi và hướng dẫn thực tế về bảng nhật ký Azure.

azure-monitor-opentelemetry-ts giúp gắn đo lường cho ứng dụng Node.js bằng Azure Monitor và OpenTelemetry để thu thập trace phân tán, metrics và logs. Dùng skill azure-monitor-opentelemetry-ts này để cài gói, thiết lập `APPLICATIONINSIGHTS_CONNECTION_STRING`, và làm đúng thứ tự khởi động để auto-instrumentation hoạt động chính xác.

azure-monitor-opentelemetry-py là Azure Monitor OpenTelemetry distro cho Python. Hãy dùng khi bạn cần thiết lập Application Insights chỉ với một dòng lệnh, auto-instrumentation, và telemetry Azure Monitor thực tế với rất ít thay đổi trong mã ứng dụng.

Skill alert-manager giúp các nhóm xây dựng khung cảnh báo SEO và GEO cho tình huống tụt hạng, biến động traffic, lỗi kỹ thuật, thay đổi từ đối thủ và dịch chuyển khả năng hiển thị trên AI, dựa trên hướng dẫn ngưỡng và mẫu có thể tái sử dụng.

detecting-container-escape-with-falco-rules giúp phát hiện các nỗ lực thoát khỏi container bằng các quy tắc bảo mật runtime Falco. Nội dung tập trung vào tín hiệu syscall, container đặc quyền, lạm dụng đường dẫn của host, khâu xác thực và quy trình ứng phó sự cố cho môi trường Kubernetes và container Linux.

Skill detecting-wmi-persistence giúp các chuyên gia săn tìm mối đe doạ và analyst DFIR phát hiện cơ chế tồn tại bền bỉ qua WMI event subscription trong telemetry Windows bằng Sysmon Event IDs 19, 20 và 21. Dùng nó để nhận diện hoạt động độc hại của EventFilter, EventConsumer và FilterToConsumerBinding, xác thực phát hiện và phân tách persistence của kẻ tấn công với tự động hoá quản trị hợp lệ.

detecting-arp-poisoning-in-network-traffic giúp phát hiện ARP spoofing trong lưu lượng trực tiếp hoặc PCAP bằng ARPWatch, Dynamic ARP Inspection, Wireshark và các kiểm tra bằng Python. Phù hợp cho ứng phó sự cố, sàng lọc SOC và phân tích lặp lại các thay đổi IP-to-MAC, gratuitous ARP và dấu hiệu MITM.

detecting-cryptomining-in-cloud giúp đội ngũ an ninh phát hiện hoạt động đào coin trái phép trong các workload cloud bằng cách tương quan giữa các đột biến chi phí, lưu lượng tới cổng khai thác, các phát hiện crypto của GuardDuty và bằng chứng tiến trình lúc chạy. Hãy dùng skill này cho phân loại sự cố, xây dựng phát hiện, và các quy trình Security Audit liên quan đến detecting-cryptomining-in-cloud.

detecting-container-escape-attempts giúp điều tra, phát hiện và phân loại tín hiệu thoát container trong Docker và Kubernetes. Hãy dùng hướng dẫn detecting-container-escape-attempts này cho việc phân loại sự cố, nhận diện vector thoát, diễn giải cảnh báo và quy trình phản ứng dựa trên bằng chứng từ Falco, Sysdig, auditd và kiểm tra container.

detecting-attacks-on-historian-servers giúp phát hiện hoạt động đáng ngờ trên các OT historian server như OSIsoft PI, Ignition và Wonderware tại ranh giới IT/OT. Hãy dùng hướng dẫn detecting-attacks-on-historian-servers này cho Incident Response, truy vấn trái phép, thao túng dữ liệu, lạm dụng API và sàng lọc di chuyển ngang.