implementing-deception-based-detection-with-canarytoken
通过 Thinkst Canary API 部署和监控金丝雀令牌,使用 Web Bug 令牌、DNS 令牌、文档令牌和 AWS 密钥令牌实现基于欺骗的入侵检测。
Best use case
implementing-deception-based-detection-with-canarytoken is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过 Thinkst Canary API 部署和监控金丝雀令牌,使用 Web Bug 令牌、DNS 令牌、文档令牌和 AWS 密钥令牌实现基于欺骗的入侵检测。
Teams using implementing-deception-based-detection-with-canarytoken should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-deception-based-detection-with-canarytoken/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-deception-based-detection-with-canarytoken Compares
| Feature / Agent | implementing-deception-based-detection-with-canarytoken | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过 Thinkst Canary API 部署和监控金丝雀令牌,使用 Web Bug 令牌、DNS 令牌、文档令牌和 AWS 密钥令牌实现基于欺骗的入侵检测。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用金丝雀令牌实施基于欺骗的检测 ## 概述 金丝雀令牌(Canary Token)是轻量级的触发机制,当攻击者访问某个资源时发出告警。本技能使用 Thinkst Canary REST API 以编程方式创建令牌(Web Bug、DNS 令牌、MS Word 文档、AWS API 密钥),将它们部署到战略位置,监控已触发的告警,并生成欺骗覆盖报告。 ## 前置条件 - Thinkst Canary 控制台或 canarytokens.org 账户 - 来自 Canary 控制台的 API 认证令牌 - Python 3.9+ 及 `requests` - 用于部署文档和文件令牌的文件系统访问权限 ## 步骤 1. 使用 auth_token 对 Canary 控制台 API 进行认证 2. 创建用于嵌入文档和 Web 页面的 Web Bug(HTTP)令牌 3. 创建用于监控 DNS 解析尝试的 DNS 令牌 4. 创建用于文件共享部署的 MS Word 文档令牌 5. 列出所有活跃令牌及其触发历史 6. 查询已触发令牌事件的最近告警 7. 生成带部署建议的欺骗覆盖报告 ## 预期输出 - JSON 报告,列出所有已部署的金丝雀令牌、触发历史、告警详情和覆盖分析 - 显示各网络段令牌类型的部署地图
Related Skills
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-steganography-detection
使用隐写分析(Steganalysis)工具检测和提取嵌入在图像、音频及其他媒体文件中的隐藏数据,揭露隐蔽通信渠道。
performing-lateral-movement-detection
检测横向移动(Lateral Movement)技术,包括哈希传递(Pass-the-Hash)、PsExec、WMI 执行、 RDP 转移和基于 SMB 的传播,使用 SIEM 关联 Windows 事件日志、网络流数据和终端遥测, 映射到 MITRE ATT&CK 横向移动战术(TA0008)技术。
performing-dns-tunneling-detection
通过计算 DNS 查询名称的香农熵(Shannon Entropy)、分析查询长度分布、检测 TXT 记录载荷以及 识别高子域名基数,检测 DNS 隧道(DNS Tunneling)攻击。使用 scapy 进行数据包捕获分析, 结合统计方法区分合法 DNS 流量和隐蔽信道。适用于数据泄露猎威场景。
performing-deception-technology-deployment
部署欺骗技术(Deception Technology),包括蜜罐(Honeypot)、诱饵令牌(Honeytoken)和诱饵系统(Decoy System), 用于检测已绕过外围防御的攻击者,提供极低误报率的高置信度告警。适用于 SOC 团队需要提前预警横向移动(Lateral Movement)、 凭据滥用(Credential Abuse)或内部侦察(Internal Reconnaissance)的场景,通过在网络中部署逼真陷阱实现检测。
performing-container-escape-detection
通过分析命名空间配置、特权容器检查、危险能力分配和宿主机路径挂载,使用 kubernetes Python 客户端检测容器逃逸尝试。识别通过 cgroup 滥用的 CVE-2022-0492 类型逃逸。 适用于审计容器安全态势或调查逃逸尝试。
performing-adversary-in-the-middle-phishing-detection
检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构