Directory
Discover and filter AI agent skills. 27,776 active skills available.
Popular guides from the directory
Start with intent-focused guides, then come back to the full directory when you need broader coverage.
category guide
AI Agents for Marketing
Discover AI agents for marketing workflows, from SEO and content production to campaign research, outreach, and analytics.
category guide
AI Agents for Startups
Explore AI agent skills for startup validation, product research, growth experiments, documentation, and fast execution with small teams.
category guide
AI Agents for Coding
Browse AI agent skills for coding, debugging, testing, refactoring, code review, and developer workflows across Claude, Cursor, and Codex.
best guide
Best AI Skills for Claude
Explore the best AI skills for Claude and Claude Code across coding, research, workflow automation, documentation, and agent operations.
best guide
Top AI Agents for Productivity
See the top AI agent skills for productivity, workflow automation, operational systems, documentation, and everyday task execution.
category guide
AI Agents for Freelancers
Browse AI agent skills for freelancers handling client research, proposals, outreach, delivery systems, documentation, and repeatable admin work.
Results
detecting-suspicious-oauth-application-consent
使用 Microsoft Graph API、审计日志和权限分析,检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意,识别非法同意授权攻击。
detecting-supply-chain-attacks-in-ci-cd
扫描 GitHub Actions 工作流和 CI/CD 流水线配置,检测供应链攻击(Supply Chain Attack)向量, 包括未固定的 Action 版本、通过表达式的脚本注入、依赖混淆(Dependency Confusion)和密钥泄露。 使用 PyGithub 和 YAML 解析进行自动化审计。适用于加固 CI/CD 流水线或调查被攻击的构建系统。
detecting-stuxnet-style-attacks
本技能涵盖检测遵循Stuxnet攻击模式的复杂网络物理攻击——在修改PLC逻辑的同时欺骗传感器读数以向操作员隐藏操控行为。内容涉及PLC逻辑完整性监控、基于物理的过程异常检测、工程师工作站入侵指标、USB传播攻击向量,以及从IT到OT横向移动直至过程操控的多阶段攻击链检测。
detecting-sql-injection-via-waf-logs
分析 WAF(Web 应用防火墙,ModSecurity/AWS WAF/Cloudflare)日志,检测 SQL 注入(SQL Injection)攻击活动。 解析 ModSecurity 审计日志和 JSON WAF 事件日志,识别 SQLi 模式(UNION SELECT、OR 1=1、SLEEP()、BENCHMARK()), 追踪攻击源,关联多阶段注入尝试,并生成带 OWASP 分类的事件报告。
detecting-spearphishing-with-email-gateway
鱼叉式网络钓鱼(Spearphishing)使用个性化、经过研究的内容针对特定个人,可绕过通用垃圾邮件过滤器。邮件安全网关(SEG)如 Microsoft Defender for Office 365、Proofpoint、Mimecast 和 Barracuda 提供高级检测能力,包括行为分析、URL 引爆、附件沙箱和冒充检测。本技能涵盖配置这些网关以检测和拦截定向钓鱼攻击。
detecting-shadow-it-cloud-usage
通过使用 Python pandas 分析代理日志、DNS 查询日志和网络流数据,进行流量模式分析和域名分类,检测未授权的 SaaS 和云服务使用(影子 IT)。
detecting-shadow-api-endpoints
通过流量分析、代码扫描和API发现平台,发现和清点在已记录规范之外运行的影子API(Shadow API)端点。
detecting-service-account-abuse
通过检测异常交互式登录、权限提升、横向移动和未授权访问模式,发现服务账户滥用行为。
detecting-s3-data-exfiltration-attempts
通过分析 CloudTrail S3 数据事件、VPC Flow Logs、GuardDuty 发现、Amazon Macie 告警和 S3 访问模式,检测 AWS S3 存储桶的数据泄露企图,识别未授权的批量下载和跨账户数据传输。
detecting-rootkit-activity
通过识别隐藏进程、被钩挂的系统调用、被修改的内核结构、隐藏文件和隐蔽网络连接, 检测受攻陷系统上的 Rootkit 存在情况,使用内存取证、交叉视图检测和完整性校验技术。 适用于 Rootkit 检测、隐藏进程发现、内核完整性校验或系统调用钩挂分析等请求场景。
detecting-rdp-brute-force-attacks
通过分析 Windows 安全事件日志中的失败认证模式(事件 ID 4625)、失败后的成功登录(事件 ID 4624)、NLA 失败以及源 IP 频率分析,检测 RDP 暴力破解攻击。
detecting-ransomware-precursors-in-network
在加密开始前检测网络流量中的勒索软件早期指标,包括初始访问经纪人(IAB)活动、 命令与控制(C2)信标、凭据收集、侦察扫描和暂存行为。使用网络检测工具(Zeek、Suricata、Arkime)、 SIEM 关联规则和威胁情报订阅,识别 Cobalt Strike 信标、Mimikatz 网络特征和 RDP 暴力破解等 勒索软件前驱模式。适合涉及勒索软件前驱检测、基于网络的勒索软件指标或早期预警监控的相关请求。
detecting-qr-code-phishing-with-email-security
检测并防止二维码网络钓鱼(Quishing)攻击,该攻击通过在邮件图片中嵌入恶意 URL 来绕过传统邮件安全防护。
detecting-process-injection-techniques
检测和分析恶意软件使用的进程注入技术,包括经典 DLL 注入、进程空洞化、APC 注入、线程劫持 和反射式加载。使用内存取证、API 监控和行为分析来识别注入痕迹。适用于进程注入检测、 代码注入分析、空洞化进程调查或内存威胁检测等请求场景。
detecting-process-hollowing-technique
通过分析内存映射节区、进程镂空指标以及 EDR 遥测中的父子进程异常,检测进程镂空技术(T1055.012)。
detecting-privilege-escalation-in-kubernetes-pods
通过使用 Falco 和 OPA 策略监控安全上下文、能力和系统调用模式,检测并防止 Kubernetes Pod 中的权限提升。
detecting-privilege-escalation-attempts
检测权限提升尝试,包括令牌操控、UAC 绕过、未加引号的服务路径、内核漏洞利用以及 Windows 和 Linux 上的 sudo/doas 滥用。
detecting-port-scanning-with-fail2ban
使用自定义过滤器和动作配置 Fail2ban,检测端口扫描活动、SSH 暴力破解尝试和网络侦察,自动封禁攻击 IP 并向安全团队告警可疑的网络探测行为。
detecting-pass-the-ticket-attacks
通过在 Splunk 和 Elastic SIEM 中分析 Windows 事件 ID 4768、4769 和 4771 的异常票据使用模式,检测 Kerberos 票据传递(PtT)攻击
detecting-pass-the-hash-attacks
通过分析 NTLM 认证模式、识别预期使用 Kerberos 时出现的 NTLM 类型 3 登录,并与凭据转储关联,检测哈希传递(Pass-the-Hash)攻击。
detecting-oauth-token-theft
通过分析登录日志中的不可能旅行、新设备模式、来自异常 IP 的令牌重放, 以及通过 Microsoft Graph 和 Okta API 检测异常范围请求,识别 OAuth 访问令牌盗窃和滥用行为。
detecting-network-scanning-with-ids-signatures
使用 Suricata 和 Snort IDS 签名、基于阈值的检测规则和流量异常分析,检测网络侦察和端口扫描,识别 Nmap、Masscan 及自定义扫描活动。
detecting-network-anomalies-with-zeek
部署和配置 Zeek(原名 Bro)网络安全监控器,被动分析网络流量、生成结构化日志、检测异常行为,并为威胁狩猎和事件响应创建自定义检测脚本。
detecting-modbus-protocol-anomalies
本技能涵盖检测工业控制系统中Modbus/TCP和Modbus RTU通信中的异常。内容涉及功能码监控、寄存器范围验证、时序分析、未授权客户端检测以及针对格式错误Modbus帧的深度包检测。该技能利用带Modbus协议分析器的Zeek、带OT规则的Suricata IDS以及使用马尔可夫链模型分析正常Modbus事务序列的自定义Python检测。