Detects anomalous API call patterns in AWS CloudTrail logs using boto3, statistical baselines, and behavioral analysis to identify credential intrusion, privilege escalation, and unauthorized access.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
AWS CloudTrail 记录跨 AWS 服务的 API 调用。本 skill 涵盖使用 boto3 的 `lookup_events` API 查询 CloudTrail 事件、构建正常 API 活动的统计基线、检测异常(如不寻常的事件来源、地理位置异常、高频 API 调用以及首次 API 使用模式),这些模式可指示凭据入侵或内部威胁。
Detects unusual API call patterns in AWS CloudTrail logs using boto3, statistical baselining, and behavioral analysis to identify credential compromise, privilege escalation, and unauthorized access. Useful for security incident investigations and threat hunting.
Detects anomalies in AWS CloudTrail logs using boto3, statistical baselining, and behavioral analysis to flag credential compromise, privilege escalation, and unauthorized access.
Performs AWS cloud forensics using CloudTrail logs to reconstruct attacker activities, identify compromised credentials, and analyze API call patterns. Useful for incident response on suspected account breaches.
Share bugs, ideas, or general feedback.
AWS CloudTrail 记录跨 AWS 服务的 API 调用。本 skill 涵盖使用 boto3 的 lookup_events API 查询 CloudTrail 事件、构建正常 API 活动的统计基线、检测异常(如不寻常的事件来源、地理位置异常、高频 API 调用以及首次 API 使用模式),这些模式可指示凭据入侵或内部威胁。
boto3 库使用 boto3 CloudTrail 客户端的 lookup_events 通过分页检索最近的 API 活动。
按用户、源 IP、事件来源和事件名称聚合事件,以建立正常行为模式。
标记异常模式:每个用户的新事件来源、首次 API 调用、地理 IP 变化、高错误率以及敏感 API 使用(IAM、KMS、S3 策略变更)。
生成包含异常评分、最可疑用户和建议调查操作的 JSON 报告。
包含事件统计、基线偏差、异常用户/IP、敏感 API 调用和错误率分析的 JSON 报告。