Cloud Security

detecting-shadow-it-cloud-usage 可協助從 proxy logs、DNS queries 與 netflow 中辨識未經授權的 SaaS 與 cloud 使用情況。它會對網域進行分類、與核准清單比對，並以 detecting-shadow-it-cloud-usage skill guide 中的結構化證據支援資安稽核工作流程。

detecting-s3-data-exfiltration-attempts 可協助針對可能的 AWS S3 資料外洩進行調查，方法是關聯 CloudTrail S3 data events、GuardDuty findings、Amazon Macie alerts 與 S3 存取模式。適用於安全稽核、事件回應，以及可疑大量下載分析等情境。

detecting-azure-service-principal-abuse 可協助偵測、調查並記錄 Azure 中可疑的 Microsoft Entra ID 服務主體活動。適用於安全稽核、雲端事件應變與威脅狩獵，可檢視認證變更、管理員同意濫用、角色指派、擁有權路徑與登入異常。

這個 exploiting-server-side-request-forgery 技能可協助評估授權網站目標中容易受 SSRF 影響的功能，包括 URL 取回器、webhook、預覽工具，以及雲端 metadata 存取。它提供一套引導式流程，用於偵測、繞過測試、內部服務探測與 Security Audit 驗證。

detecting-oauth-token-theft 可協助調查 Microsoft Entra ID 與 M365 中的 OAuth 權杖竊取、重放與工作階段劫持。當你要進行安全稽核、事件回應或強化檢視時，可使用這個 detecting-oauth-token-theft 技能。它聚焦於登入異常、可疑 scopes、新裝置與封鎖處置步驟。

detecting-cryptomining-in-cloud 可協助資安團隊透過關聯雲端工作負載中的成本暴增、挖礦連接埠流量、GuardDuty 加密貨幣偵測結果與執行階段程序證據，偵測未經授權的雲端挖礦。可用於分流判斷、偵測工程，以及 Security Audit 工作流程中的 detecting-cryptomining-in-cloud。

detecting-compromised-cloud-credentials 是一個適用於 AWS、Azure 與 GCP 的雲端安全技能，可協助確認憑證遭濫用、追查異常 API 活動、調查不可能的旅程與可疑登入，並透過各雲端供應商的遙測與警示來界定事件影響範圍。

detecting-cloud-threats-with-guardduty 協助 AWS 團隊啟用 Amazon GuardDuty、檢視調查結果，並為跨帳號與工作負載的雲端威脅建立自動化回應。適合用於 Cloud Architecture 中的 GuardDuty 安裝、使用，以及日常營運。

detecting-aws-cloudtrail-anomalies 可協助分析 AWS CloudTrail 活動，找出異常的 API 來源、首次出現的操作、高頻呼叫，以及與憑證外洩或權限升級相關的可疑行為。適合搭配 boto3、基準行為建立與事件欄位分析，進行結構化的異常偵測。

conducting-cloud-penetration-testing 可協助你規劃並執行經授權的雲端評估，涵蓋 AWS、Azure 與 GCP。可用來找出 IAM 設定錯誤、metadata 暴露、公開資源與權限提升路徑，並將結果整理成資安稽核報告。它適用於 Security Audit 工作流程中的 conducting-cloud-penetration-testing 技能。

conducting-cloud-incident-response 是一個適用於 AWS、Azure 與 GCP 的雲端事件回應技能。它聚焦於以身分為基礎的封鎖、日誌審查、資源隔離與鑑識證據擷取。當你面對可疑的 API 活動、疑似遭入侵的存取金鑰，或雲端代管工作負載遭突破時，這份 conducting-cloud-incident-response 指南能提供實用作法。

building-cloud-siem-with-sentinel 是一份實作導向指南，說明如何將 Microsoft Sentinel 部署為雲端 SIEM 與 SOAR 層。內容涵蓋多雲日誌匯入、KQL 偵測、事件調查，以及用於 Security Audit 和 SOC 作業的 Logic Apps 回應 playbook。當你需要一個以 repo 為基礎的起點，來集中監控雲端安全時，這個 building-cloud-siem-with-sentinel 技能很適合使用。

auditing-kubernetes-cluster-rbac 可協助稽核 Kubernetes RBAC 是否有授權過寬、危險繫結、secret 存取與權限提升路徑。它針對 EKS、GKE、AKS 與自建叢集的安全稽核流程而設計，並提供 kubectl、rbac-tool、KubiScan 和 Kubeaudit 的實用指引。

auditing-gcp-iam-permissions 可協助檢視 Google Cloud IAM 存取，找出高風險繫結、原始角色、公開存取、服務帳戶暴露，以及跨專案路徑。這個存取控制稽核技能特別適合以證據為基礎的審查，搭配 `gcloud`、Cloud Asset、IAM Recommender 和 Policy Analyzer 來使用。

auditing-cloud-with-cis-benchmarks 是一個適用於 AWS、Azure 與 GCP 的雲端安全稽核技能。它可協助你依照 CIS Foundations Benchmarks 評估環境、檢視未通過的控制項，並透過 repo 中的技能指南、參考檔案與 agent patterns，沿著可重複的流程從發現問題走到修正。

auditing-azure-active-directory-configuration 技能可協助檢視 Microsoft Entra ID 租戶的安全性，包括高風險驗證設定、管理員角色擴散、閒置帳號、Conditional Access 缺口、來賓暴露風險，以及 MFA 覆蓋率。它專為 Security Audit 工作流程設計，提供以 Graph 為基礎的證據與實用指引。

auditing-aws-s3-bucket-permissions 技能可協助你稽核 AWS S3 bucket 是否有公開暴露、ACL 權限過寬、bucket policy 過於寬鬆，以及加密缺失等問題。這套技能是為 Security Audit 工作流程而設計，支援可重複執行的最小權限檢視，並提供以 AWS CLI 與 boto3 為主的操作指引，以及實用的安裝與使用說明。