deploying-active-directory-honeytokens

von mukul975

deploying-active-directory-honeytokens hilft Verteidigern dabei, Active Directory Honeytokens für Security-Audit-Aufgaben zu planen und zu erzeugen – darunter gefälschte privilegierte Konten, gefälschte SPNs zur Erkennung von Kerberoasting, Lockvogel-GPO-Fallen und täuschende BloodHound-Pfade. Es verbindet installierungsorientierte Hinweise mit Skripten und Telemetrie-Signalen für eine praxisnahe Bereitstellung und Prüfung.

Stars0

Favoriten0

Kommentare0

Hinzugefügt9. Mai 2026

KategorieSecurity Audit

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill deploying-active-directory-honeytokens

Kurationswert

Diese Skill erreicht 78/100 und ist damit ein solides Verzeichnisangebot für Nutzer, die einen AD-Täuschungs-Workflow mit echtem operativem Nutzen suchen. Das Repository liefert genug Struktur, Skripte und Erkennungsreferenzen, damit ein Agent einschätzen kann, wann es sinnvoll ist und was es tut. Für die Installationsentscheidung sollten jedoch weiterhin AD-Umgebungsanforderungen und die teils fehlende Vorab-Anleitung zur Aktivierung berücksichtigt werden.

78/100

Stärken

Hohe Triggerbarkeit: Die Skill zielt ausdrücklich auf AD-Honeytokens für Kerberoasting, Tripwire-Konten, Lockvogel-GPOs und täuschende BloodHound-Pfade ab, mit einem klaren Abschnitt zu „When to Use“.
Solide operative Grundlage: Das Repo enthält ein umfangreiches SKILL.md sowie unterstützende Skripte und eine API-Referenz, die Honeytoken-Aktionen auf konkrete Windows Security Event IDs abbilden.
Nützlich für Agenten: Die Skill definiert greifbare Bereitstellungs- und Erkennungsbausteine wie Konten mit AdminCount=1, gefälschte SPNs, cpassword-Fallen und SIEM-orientierte Monitoring-Ausgaben.

Hinweise

Kein Installationsbefehl in SKILL.md, daher müssen Nutzer möglicherweise selbst ableiten, wie die Skill in ihre Umgebung eingebunden oder aufgerufen wird.
Der Workflow ist spezialisiert und privilegiert: Er erfordert Domain-Admin- oder delegierten AD-Admin-Zugriff, PowerShell-/AD-Tools sowie Event-Forwarding- bzw. SIEM-Anbindung, was die Nutzung für Gelegenheitsanwender einschränkt.

Active Directory Kerberos Bloodhound Gpo Mimikatz Windows Security Deception Detection

Überblick

Überblick über die deploying-active-directory-honeytokens-Skill

Was diese Skill macht

Die deploying-active-directory-honeytokens-Skill hilft dir, Täuschungskontrollen für Active Directory zu planen und zu erzeugen, die gezielt von Angreifern und nicht von normalen Nutzern ausgelöst werden sollen. Der Fokus liegt auf gefälschten privilegierten Konten, gefälschten SPNs zur Erkennung von Kerberoasting, Köder-GPOs und täuschenden BloodHound-Pfaden, jeweils mit Monitoring, das an relevante Windows-Sicherheitsereignisse gekoppelt ist.

Für wen sie gedacht ist

Nutze die deploying-active-directory-honeytokens-Skill, wenn du ein Security Audit durchführst, eine AD-Umgebung härtest oder Detektionsabdeckung für laterale Bewegung und Credential Theft aufbaust. Am nützlichsten ist sie für Verteidiger, die bereits Domain-Admin-ähnlichen Zugriff haben und Signale mit höherer Aussagekraft suchen als allgemeine Anomalie-Regeln.

Was sie besonders macht

Der wichtigste Vorteil ist, dass die Skill installationsorientiert und detection-first aufgebaut ist und nicht nur eine konzeptionelle Beschreibung liefert. Das Repo enthält einen PowerShell-Generator, ein Agent-Skript und eine Referenz-API-Map. Die Skill ist also darauf ausgelegt, eine AD-Täuschungsidee in deploybare Objekte und passende Telemetrie zu überführen.

So verwendest du die deploying-active-directory-honeytokens-Skill

Skill installieren und prüfen

Installiere sie mit npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill deploying-active-directory-honeytokens. Lies nach der Installation zuerst SKILL.md und prüfe dann references/api-reference.md, scripts/agent.py und scripts/Deploy-ADHoneytokens.ps1, um zu verstehen, was erzeugt wird und welche Abläufe erwartet werden.

Gib dem Modell die Deployments-Daten

Die Installation von deploying-active-directory-honeytokens funktioniert am besten, wenn du die Domänendetails von Anfang an mitlieferst: OU-DN, Namenskonvention für Zielkonten, ob du Decoys auf Basis von AdminCount möchtest, welche SPNs simuliert werden sollen und welches SIEM du verwendest. Ein schwacher Prompt ist „deploy honeytokens in AD“; ein stärkerer ist „erstelle einen Deployment-Plan für eine Windows-Server-2019-Domäne mit bestehendem SIEM, einem täuschenden privilegierten Konto, einem gefälschten SPN und einer GPO-Falle, ohne den Betrieb zu stören“.

Lies das Repo in der richtigen Reihenfolge

Beginne mit den Abschnitten „When to Use“ und „Prerequisites“ im Repository und springe danach zu den Methodendefinitionen in references/api-reference.md, um zu sehen, welche Eingaben die einzelnen Generatoren erwarten. Nutze erst danach die Skripte, denn die Qualität der Ausgabe hängt davon ab, ob das generierte PowerShell zu deiner OU-Struktur, deinem Logging-Stack und deinem Change-Control-Prozess passt.

Workflow-Tipps, die die Ausgabequalität verändern

Behandle das als Build-and-Validate-Workflow: Definiere das Decoy-Objekt, prüfe das erwartete Detection-Event und entscheide dann, wie du alarmieren und triagieren willst. Für eine bessere Nutzung von deploying-active-directory-honeytokens solltest du Einschränkungen wie Kontonamensrichtlinie, zulässige Gruppenmitgliedschaften, Audit-Umfang und Rollback-Erwartungen angeben, damit der generierte Plan nicht mit den AD-Konventionen deiner Produktion kollidiert.

Häufige Fragen zur deploying-active-directory-honeytokens-Skill

Ist das nur für Blue Teams?

Meistens ja. Die deploying-active-directory-honeytokens-Skill ist für Verteidiger, Threat Hunter und Prüfer gedacht, die Stolperdrähte in Active Directory platzieren wollen. Wenn du nicht autorisiert bist, Verzeichnisobjekte oder GPOs zu ändern, solltest du sie nicht verwenden.

Worin unterscheidet sie sich von einem generischen Prompt?

Ein generischer Prompt kann Honeytokens beschreiben, aber diese Skill ist auf die konkreten Deployments-Objekte, Event-IDs und Hilfsskripte im Repo zugeschnitten. Das macht sie besser geeignet, wenn du reproduzierbare Nutzung von deploying-active-directory-honeytokens willst statt einer einmaligen Idee.

Ist sie anfängerfreundlich?

Sie ist für Einsteiger nutzbar, die grundlegende AD-Administration bereits verstehen, aber keine Skill zum Ausprobieren ohne Kontext. Wenn du nicht weißt, was AdminCount, SPNs, GPOs oder SACLs sind, solltest du zuerst die Referenzen lesen, bevor du dich auf die Ausgabe verlässt.

Wann sollte ich sie nicht verwenden?

Verwende deploying-active-directory-honeytokens nicht, wenn du nur eine generische Alert-Regel brauchst, wenn du nicht sicher in einer Lab-Umgebung testen kannst oder wenn deine Umgebung keine Änderungen an AD-Objekten erlaubt. Sie ist auch ungeeignet, wenn du Täuschung nur auf Endpunkten ohne Verzeichnisintegration brauchst.

So verbesserst du die deploying-active-directory-honeytokens-Skill

Gib präzisen Verzeichnis-Kontext an

Bessere Ergebnisse entstehen, wenn du die Domänenfunktionsebene, den OU-Pfad, den gewünschten Decoy-Typ und das Ziel für die Telemetrie nennst. Bitte zum Beispiel um ein gefälschtes privilegiertes Konto in OU=Service Accounts,DC=corp,DC=example,DC=com mit einem passenden Alarmweg in Sentinel oder Splunk, statt nur nach „einem AD-Honeypot“ zu fragen.

Nenne das Detektionsziel, das du erreichen willst

Die Skill arbeitet am besten, wenn der Erfolg klar definiert ist: 4769 für den Zugriff auf einen gefälschten SPN, 4662 für Objektlesezugriffe, 4625 für die fehlgeschlagene Nutzung eines Köder-Anmeldedatensatzes oder 5136 für Manipulationen an GPOs. Dieser Fokus hilft der deploying-active-directory-honeytokens-Skill dabei, Objekte zu erzeugen, die tatsächlich beobachtbar sind.

Vermeide typische Umsetzungsfehler

Der größte Fehlermodus ist der Wunsch nach unauffälliger Täuschung ohne betriebliche Randbedingungen. Wenn du Namensrichtlinie, Audit-Umfang, Rollback-Plan und die Frage, ob das Konto privilegiert wirken, aber inaktiv bleiben soll, nicht vorgibst, kann das Ergebnis technisch korrekt, aber im Alltag schwer zu deployen sein.

Arbeite dich von einem schmalen Erst-Deployment vor

Starte mit einem einzigen Honeytoken-Typ, prüfe den Ereignispfad und erweitere dann um weitere Decoys. Bitte die Skill im nächsten Durchlauf darum, das PowerShell zu verfeinern, die SIEM-Logik zu schärfen oder die Metadaten des Kontos anzupassen, damit sich die deploying-active-directory-honeytokens-Anleitung in deiner Umgebung leichter betreiben lässt.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

security-threat-model

von openai

Repository-basiertes security-threat-model für AppSec-Threat-Modeling. Es überführt Vertrauensgrenzen, Assets, Angreiferziele, Missbrauchspfade und Gegenmaßnahmen in ein kompaktes Markdown-Threat-Model. Nutzen Sie es, wenn Sie security-threat-model für Threat Modeling in einem konkreten Repo oder Pfad brauchen, nicht für eine generische Architekturprüfung oder Codeanalyse.

Threat Modeling

Favoriten 0GitHub 0

solana-vulnerability-scanner

von trailofbits

solana-vulnerability-scanner ist ein fokussierter Solana-Security-Audit-Skill für native Rust- und Anchor-Programme. Er hilft dabei, CPI-Logik, PDA-Validierung, Signer- und Ownership-Prüfungen sowie Sysvar-Spoofing zu überprüfen, um sechs kritische Solana-spezifische Schwachstellen vor dem Deployment zu erkennen.

Security Audit

Favoriten 0GitHub 4.9k

azure-ai-contentsafety-ts

von microsoft

azure-ai-contentsafety-ts hilft dabei, Text und Bilder mit Azure AI Content Safety in TypeScript auf schädliche Inhalte zu prüfen. Nutzen Sie diese Skill für Moderations-Workflows, Blocklists und Sicherheitsprüfungen von Hassrede, Gewalt, sexuellen Inhalten und Selbstverletzung. Außerdem werden das Einrichten von Azure-Endpunkt und Authentifizierung abgedeckt.

Security Audit

Favoriten 0GitHub 2.3k

sharp-edges

von trailofbits

Die sharp-edges-Skill hilft dir, APIs, Konfigurationen und Schnittstellen zu finden, bei denen der naheliegende Weg zu unsicherer Nutzung führt. Nutze sie, um Authentifizierungsflüsse, kryptografische Wrapper, gefährliche Standardwerte, Null- oder Zero-Semantik und anfällige Designentscheidungen zu prüfen. Sie passt besonders gut für sharp-edges bei Security-Audit-Arbeiten, wenn du konkrete Fallstricke brauchst und keine allgemeinen Sicherheitsvermutungen.

Security Audit

Favoriten 0GitHub 5k

security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Security Audit

Favoriten 0GitHub 156.3k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

von mukul975

Das Skill „exploiting-insecure-data-storage-in-mobile“ unterstützt bei der Bewertung und Extraktion von Beweismitteln aus unsicherem lokalem Speicher in Android- und iOS-Apps. Es behandelt SharedPreferences, SQLite-Datenbanken, plist-Dateien, weltweit lesbare Dateien, Backup-Offenlegung sowie schwache Keychain-/Keystore-Verarbeitung für Mobile-Pentesting und Security-Audit-Workflows.

Security Audit

Favoriten 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

building-incident-response-playbook

von mukul975

building-incident-response-playbook hilft Security-Teams, wiederverwendbare Incident-Response-Playbooks mit klaren Phasen, Entscheidungsbäumen, Eskalationskriterien, RACI-Zuordnung und SOAR-tauglicher Struktur zu erstellen. Es ist für die Dokumentation von Incident-Response-Prozessen, Workflows zur Incident-Triage und auditfähige operative Reaktionspläne gedacht.

Incident Triage

Favoriten 0GitHub 6.1k

building-patch-tuesday-response-process

von mukul975

building-patch-tuesday-response-process hilft Teams dabei, einen wiederholbaren Microsoft Patch Tuesday-Prozess aufzubauen, um Advisories zu triagieren, Risiken zu priorisieren, Patches zu testen, Rollouts freizugeben und Compliance nachzuverfolgen. Nützlich für Security Operations, Vulnerability Management und building-patch-tuesday-response-process für Projektmanagement.

Project Management

Favoriten 0GitHub 6.1k

ossfuzz

von trailofbits

Lerne die ossfuzz-Skill für Continuous Fuzzing-Setup, Projektanmeldung, Harness-Planung und die Prüfung des Build-Workflows kennen. Dieser Leitfaden hilft Security Engineers und Maintainers dabei, die Einsatzbereitschaft einzuschätzen, Build-Blocker zu erkennen und einen praktischen Weg vom Source Tree zu OSS-Fuzz oder einer privaten Fuzzing-Infrastruktur vorzubereiten.

Security Audit

Favoriten 0GitHub 5k

codeql

von trailofbits

Die codeql-Skill hilft dir, CodeQL bei einem Security Audit mit weniger blinden Flecken einzusetzen. Der Fokus liegt auf Datenbankqualität, Suite-Auswahl, Data Extensions und SARIF-Review, damit du codeql zuverlässiger über unterstützte Sprachen hinweg verwenden kannst. Nutze sie für wiederholbare codeql-Anleitungsschritte bei der Analyse realer Repositories.

Security Audit

Favoriten 0GitHub 5k

semgrep-rule-creator

von trailofbits

semgrep-rule-creator erstellt Semgrep-Regeln in Produktionsqualität für Sicherheitslücken, Bug-Muster, Taint-Flow-Erkennungen und Coding-Standards. Verwenden Sie den semgrep-rule-creator Skill für Security-Audit-Aufgaben, wenn Sie präzise Regeln, Testfälle und Validierung statt eines generischen Entwurfs brauchen.

Security Audit

Favoriten 0GitHub 5k

insecure-defaults

von trailofbits

Die insecure-defaults Skill hilft dabei, Fail-Open-Konfigurationsmuster zu erkennen, bei denen Software mit unsicheren Einstellungen weiterläuft, statt abzubrechen. Verwenden Sie sie für ein Security Audit von Produktionscode, Deployment-Konfigurationen und Logik zur Secret-Verarbeitung, um schwache Authentifizierung, hartcodierte Geheimnisse und zu freizügige Standardwerte aufzudecken.

Security Audit

Favoriten 0GitHub 5k

constant-time-analysis

von trailofbits

constant-time-analysis ist eine Security-Audit-Skill zum Finden von Timing-Side-Channel-Risiken in kryptografischem Code, bevor sie zu ausnutzbaren Bugs werden. Nutze sie, um geheimnisabhängige Mathematik, Verzweigungen, Vergleiche und kompilierten Output zu prüfen, wenn du C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python oder Ruby analysierst.

Security Audit

Favoriten 0GitHub 5k

secure-workflow-guide

von trailofbits

secure-workflow-guide führt durch einen 5-stufigen Solidity-Security-Workflow: Slither-Triage, funktionsspezifische Checks, visuelle Prüfung, Notizen zu Security-Properties und manuelle Review. Die Skill ist für Smart-Contract-Teams, Auditoren und Entwickler gedacht, die vor Deployment oder Release einen wiederholbaren secure-workflow-guide benötigen.

Security Audit

Favoriten 0GitHub 4.9k