Détection basée sur la déception avec Canarytoken

Ce que cela fait

Cette compétence automatise la création et la gestion des Thinkst Canary Tokens pour agir comme des fils pièges à travers les environnements. Elle couvre l'authentification à l'API Canary, la création de jetons web/DNS/document/clé AWS, leur déploiement dans des emplacements cibles, la consultation de l'historique des déclenchements et la production d'un rapport de couverture de déception pour les équipes d'opérations de sécurité.

Quand l'utiliser

Utilisez cette compétence lorsque vous souhaitez des capteurs d'alerte précoce légers et à faible coût pour l'activité des attaquants : semer des identifiants leurres dans des partages de fichiers, intégrer des web-bugs dans des documents, placer des jetons DNS là où une résolution interne se produit, ou émettre des clés AWS leurres pour détecter un usage abusif. Elle est appropriée lors de tests d'intrusion (pentests), de campagnes de red-team, ou pour ajouter une couverture de détection aux environnements de production où la surveillance CloudTrail/webhook est disponible.

Ce qui est inclus

• Scripts : aucun script groupé avec le SKILL.md (has_scripts=false)
• Références : aucune référence listée (has_references=false)
• Instructions : guide procédural pour s'authentifier auprès de l'API Thinkst Canary, créer plusieurs types de jetons, vérifier les rappels de jetons, tester manuellement les déclenchements de jetons, lister les jetons actifs et générer un rapport de couverture. Le SKILL.md souligne les mauvaises configurations courantes (ex. blocage du trafic sortant, suppression par DLP) et les étapes de vérification pour confirmer que les alertes atteignent les canaux de surveillance.

Agents compatibles

Idéalement adaptée aux agents ayant des capacités de réseau et de scripting (Claude Code, assistants de code de type Codex/Copilot, ou tout harnais d'automatisation capable d'appeler des API REST et d'exécuter du Python).