Cloud Security

detecting-shadow-it-cloud-usage 可帮助你从代理日志、DNS 查询和 netflow 中识别未经授权的 SaaS 和云服务使用情况。它会对域名进行分类，并与已批准清单进行比对，同时借助 detecting-shadow-it-cloud-usage 技能指南中的结构化证据，支持安全审计工作流。

detecting-s3-data-exfiltration-attempts 可通过关联 CloudTrail S3 data events、GuardDuty findings、Amazon Macie alerts 和 S3 访问模式，帮助排查可能的 AWS S3 数据窃取行为。适用于安全审计、事件响应，以及可疑批量下载分析。

detecting-azure-service-principal-abuse 可帮助你在 Azure 中检测、调查并记录可疑的 Microsoft Entra ID 服务主体活动。适用于安全审计、云事件响应和威胁狩猎，帮助排查凭据变更、管理员同意滥用、角色分配、所有权路径和登录异常。

“利用服务器端请求伪造”技能可帮助你在获得授权的 Web 目标中评估易受 SSRF 影响的功能，包括 URL 抓取器、webhook、预览工具以及云元数据访问。它提供了一套引导式工作流，用于检测、绕过测试、内部服务探测和 Security Audit 验证。

detecting-oauth-token-theft 用于调查 Microsoft Entra ID 和 M365 中的 OAuth 令牌盗用、重放和会话劫持。可将此 detecting-oauth-token-theft 技能用于安全审计、事件响应和加固评审。它重点关注登录异常、可疑权限范围、新设备以及遏制措施。

detecting-cryptomining-in-cloud 帮助安全团队通过关联成本激增、挖矿端口流量、GuardDuty 加密挖矿告警和运行时进程证据，发现云工作负载中的未授权加密挖矿。适用于分诊、检测工程，以及 Security Audit 工作流中的 detecting-cryptomining-in-cloud。

detecting-compromised-cloud-credentials 是一项面向 AWS、Azure 和 GCP 的云安全技能，可帮助确认凭据滥用、追踪异常 API 活动、调查不可能旅行和可疑登录，并借助各云厂商遥测与告警来界定事件影响范围。

detecting-cloud-threats-with-guardduty 指南帮助 AWS 团队启用 Amazon GuardDuty、查看检测结果，并构建跨账户和工作负载的云威胁自动响应流程。适合用于 Cloud Architecture 场景下的 GuardDuty 安装、使用和日常运维。

detecting-aws-cloudtrail-anomalies 用于分析 AWS CloudTrail 活动，识别异常 API 来源、首次出现的操作、高频调用，以及与凭证泄露或权限提升相关的可疑行为。适合结合 boto3、基线分析和事件字段分析来做结构化异常检测。

conducting-cloud-penetration-testing 可帮助你规划并执行经授权的云环境评估，覆盖 AWS、Azure 和 GCP。你可以用它来发现 IAM 配置错误、metadata 暴露、公开资源以及提权路径，并将结果整理成安全审计报告。它适用于 Security Audit 工作流中的 conducting-cloud-penetration-testing 技能。

conducting-cloud-incident-response 是一款面向 AWS、Azure 和 GCP 的云事件响应技能。它聚焦于基于身份的遏制、日志审查、资源隔离和取证证据采集。适用于可疑 API 活动、访问密钥泄露或云上工作负载被入侵等场景，当你需要一份实用的 conducting-cloud-incident-response 指南时尤其合适。

building-cloud-siem-with-sentinel 是一份面向实践的指南，用于将 Microsoft Sentinel 作为云端 SIEM 和 SOAR 层来部署。它涵盖多云日志接入、KQL 检测、事件调查，以及面向 Security Audit 和 SOC 运营的 Logic Apps 响应 playbook。當你需要一个有 repo 支撑的起点来做集中式云安全监控时，可以使用这个 building-cloud-siem-with-sentinel skill。

auditing-kubernetes-cluster-rbac 用于审计 Kubernetes RBAC 中权限过宽的角色、高风险绑定、secret 访问以及权限提升路径。它面向 EKS、GKE、AKS 和自建集群的安全审计流程，适合结合 kubectl、rbac-tool、KubiScan 和 Kubeaudit 提供实用指导。

auditing-gcp-iam-permissions 可帮助审查 Google Cloud IAM 访问中的高风险绑定、基础角色、公开访问、服务账号暴露以及跨项目访问路径。这个访问控制审计技能面向证据驱动的审查，配合 gcloud、Cloud Asset、IAM Recommender 和 Policy Analyzer 使用。

auditing-cloud-with-cis-benchmarks 是一款面向 AWS、Azure 和 GCP 的云安全审计技能。它可帮助你依据 CIS Foundations Benchmarks 评估环境、查看未通过的控制项，并借助仓库中的技能指南、参考文件和 agent 模式，沿着一条可重复的路径从发现问题走到修复落地。

auditing-azure-active-directory-configuration 技能用于审查 Microsoft Entra ID 租户中的安全风险配置，包括高风险身份验证设置、管理员角色膨胀、陈旧账户、Conditional Access 缺口、来宾暴露面以及 MFA 覆盖情况。它面向 Security Audit 工作流设计，提供基于 Graph 的证据和可执行的实用建议。

auditing-aws-s3-bucket-permissions 技能可帮助你审计 AWS S3 存储桶是否存在公开暴露、ACL 过度开放、bucket policy 过宽以及未启用加密等问题。它面向 Security Audit 工作流，支持可重复执行的最小权限审查，并提供围绕 AWS CLI 和 boto3 的指导，以及实用的安装与使用说明。