detecting-golden-ticket-forgery
von mukul975detecting-golden-ticket-forgery erkennt die Fälschung von Kerberos Golden Tickets durch die Analyse von Windows Event ID 4769, der Nutzung von RC4-Downgrades (0x17), untypischen Ticket-Laufzeiten und krbtgt-Anomalien in Splunk und Elastic. Entwickelt für Security Audits, Incident Investigations und Threat Hunting mit praxisnahen Hinweisen zur Erkennung.
Diese Skill-Bewertung liegt bei 78/100 und ist damit ein solider Kandidat für Verzeichnisnutzer, die einen fokussierten Workflow zur Erkennung von Golden Tickets suchen. Das Repository liefert genügend konkrete Erkennungslogik, Query-Beispiele und ein lauffähiges Parsing-Skript, um deutlich weniger Rätselraten zu verursachen als ein generischer Prompt, braucht aber weiterhin klarere operative Grenzen und bessere Hinweise zur Einrichtung.
- Konkreter Auslöser und klarer Anwendungsfall: erkennt die Fälschung von Kerberos Golden Tickets über die Event IDs 4768/4769, RC4-Downgrades, Auffälligkeiten bei der Ticket-Laufzeit und krbtgt-Anomalien.
- Hoher Praxisnutzen: enthält Splunk-SPL-Beispiele und ein Python-Skript zum Parsen exportierter Windows-Security-XML-Logs.
- Gute Referenztiefe: Die API-Referenz ordnet Indikatoren Event-Feldern und Erkennungsmustern zu und hilft Agenten, schnell mit der Skill-Arbeit zu beginnen.
- Die Voraussetzungen sind im Auszug abgeschnitten, daher erhalten Nutzer möglicherweise kein vollständiges Bild der benötigten Logquellen oder Umgebungsannahmen.
- Es gibt keinen Installationsbefehl und kein Quick-Start-Paket, sodass die Einführung möglicherweise eine manuelle Interpretation von Skript und Referenzdateien erfordert.
Übersicht über den Skill detecting-golden-ticket-forgery
Was dieser Skill macht
Der Skill detecting-golden-ticket-forgery hilft Analysten dabei, den Missbrauch von Kerberos Golden Tickets zu erkennen, indem er sich auf die Signale konzentriert, die in realen Umgebungen wirklich zählen: verdächtige Aktivitäten rund um Event ID 4769, den Einsatz von RC4-Downgrade in AES-geprägten Domänen, ungewöhnlich lange Ticket-Laufzeiten und Anomalien im Zusammenhang mit krbtgt. Er eignet sich besonders für Security-Audit-Arbeit, Incident-Untersuchungen und Detection Engineering, wenn Sie einen praxistauglichen Ausgangspunkt brauchen und nicht nur eine generische ATT&CK-Zusammenfassung.
Wer ihn verwenden sollte
Nutzen Sie den Skill detecting-golden-ticket-forgery, wenn Sie mit Windows-Domänentelemetrie in Splunk oder Elastic arbeiten und laute Authentifizierungsdaten in einen belastbaren Detection-Workflow überführen müssen. Er passt gut für SOC-Analysten, Threat Hunter und Detection Engineers, die bereits Zugriff auf Security-Logs haben und klarere Triage-Logik brauchen.
Warum sich die Installation lohnt
Der Hauptnutzen besteht nicht nur darin, „Golden Tickets zu finden“, sondern darin, besser zu entscheiden, was Sie zuerst prüfen sollten: den Verschlüsselungstyp von 4769, das Fehlen des erwarteten 4768-Kontexts und Ausreißer bei Domänenrichtlinien. Dadurch ist die Installation von detecting-golden-ticket-forgery besonders nützlich, wenn Sie wiederholbare Hunting-Logik brauchen und nicht nur eine einmalige Abfrage.
So verwenden Sie den Skill detecting-golden-ticket-forgery
Installieren und in den Kontext einordnen
Installieren Sie den Skill detecting-golden-ticket-forgery mit:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-golden-ticket-forgery
Lesen Sie dann zuerst skills/detecting-golden-ticket-forgery/SKILL.md, danach references/api-reference.md und scripts/agent.py. Diese Dateien zeigen die Detektionslogik, die Event-Felder, die der Skill erwartet, und den Skriptpfad, falls Sie das Parsen automatisieren oder den Workflow anpassen möchten.
Geben Sie die richtigen Eingaben
Für eine starke Nutzung von detecting-golden-ticket-forgery sollten Sie dem Skill von Anfang an drei Dinge nennen: Ihre Logquelle, Ihr SIEM und wie „normal“ in Ihrer Domäne aussieht. Eine schwache Anfrage wäre: „Prüfe auf Golden Tickets.“ Besser ist: „Erstelle eine Splunk-Suche für Event ID 4769 mit RC4 0x17, schließe bekannte Service Accounts aus und erkläre, wie ich prüfe, ob für denselben Benutzer auch 4768 vorhanden ist.“
Starten Sie mit einem Detection-Workflow
Das nützlichste Muster für den Leitfaden detecting-golden-ticket-forgery ist:
- prüfen, ob Ihre Umgebung AES bevorzugen sollte,
- 4769 auf
TicketEncryptionType=0x17untersuchen, - mit 4768 und 4624 korrelieren, soweit verfügbar,
- Ticket-Laufzeit und Kontoverhalten gegen die Richtlinie vergleichen,
- wahrscheinlichen Missbrauch von Legacy-Kerberos- oder Service-Account-Rauschen trennen.
Dieser Workflow hält den Skill an Beweisen fest statt an bloßem Verdacht.
Diese Dateien zuerst lesen
Wenn Sie schnell loslegen möchten, werfen Sie zuerst einen Blick in SKILL.md für die Detektionsabsicht, in references/api-reference.md für die wichtigsten Event IDs und Beispiel-Splunk-Queries sowie in scripts/agent.py dafür, wie das Repository das Event-Parsing modelliert. Diese Reihenfolge hilft Ihnen, den Skill zu verstehen, bevor Sie ihn in Ihrer eigenen Umgebung wiederverwenden.
FAQ zum Skill detecting-golden-ticket-forgery
Ist das nur für Splunk?
Nein. Das Repository enthält zwar Splunk-Beispiele, aber beim Skill detecting-golden-ticket-forgery geht es im Kern um die Detektionslogik hinter der Abfrage. Sie können dieselben Indikatoren auf Elastic, eigenes Python-Parsing oder eine SIEM-Pipeline übertragen, solange Ihnen Windows-Security-Eventdaten vorliegen.
Was ist das wichtigste Detektionssignal?
Das stärkste wiederkehrende Signal ist verdächtiges Verhalten bei 4769, vor allem RC4 0x17 in Umgebungen, in denen eigentlich AES verwendet werden sollte. Der Skill berücksichtigt außerdem fehlenden oder widersprüchlichen 4768-Kontext, untypische Laufzeiten und Anomalien bei krbtgt, weil ein einzelnes Signal für sich genommen leicht Rauschen erzeugen kann.
Ist der Skill anfängerfreundlich?
Für Analysten, die die grundlegenden Begriffe der Windows-Authentifizierung bereits kennen, ja. Für jemanden, der eine einfache Einführung in Kerberos in Klartext sucht, eher nicht. Der Leitfaden detecting-golden-ticket-forgery ist vor allem dann nützlich, wenn Sie Event IDs, Tickettypen und Annahmen zur Domänenrichtlinie einordnen können.
Wann sollte ich ihn nicht verwenden?
Verlassen Sie sich nicht allein darauf, wenn Sie nur unvollständige Logs haben, stark veraltete Umgebungen betreiben oder RC4 aus legitimen Gründen noch normal ist. In solchen Fällen kann der Skill Ihre Prüfung trotzdem strukturieren, sollte aber ohne lokale Baselines nicht als endgültiges Urteil gelten.
So verbessern Sie den Skill detecting-golden-ticket-forgery
Umgebungsspezifische Baselines mitgeben
Der größte Qualitätssprung entsteht, wenn Sie dem Skill sagen, was in Ihrer Domäne als „erwartet“ gilt: AES-Richtlinie, normale Ticket-Laufzeiten, privilegierte Service Accounts und bekannte Legacy-Systeme. Ohne diese Details kann die Nutzung von detecting-golden-ticket-forgery legitime Aktivität zu leicht als verdächtig markieren.
Nur eine Ausgabekategorie pro Anfrage anfordern
Bessere Ergebnisse erzielen Sie mit eng gefassten Anfragen: eine Hunt-Query, eine Triage-Checkliste, eine Liste für False-Positive-Filter oder eine Analyst-Notiz. Wenn Sie alles vier auf einmal verlangen, ist das Ergebnis meist weniger handlungsfähig als eine fokussierte detecting-golden-ticket-forgery-Anfrage für Security Audit.
Auf die typischen Fehlerquellen achten
Die häufigsten Fehler sind, jedes RC4-Ticket als bösartig zu behandeln, Ausnahmen für Service Accounts zu ignorieren und die Korrelation mit 4768 zu überspringen. Wenn Sie iterieren, bitten Sie den Skill zu erklären, warum jedes Signal wichtig ist und welche legitimen Fälle es nachahmen könnten.
Den zweiten Durchgang verbessern
Geben Sie nach der ersten Ausgabe die Lücken zurück: Ihre SIEM-Feldnamen, fehlende Logquellen oder ein Beispiel-Alert, dem Sie bereits vertrauen. Bitten Sie den Skill detecting-golden-ticket-forgery dann, die Abfrage zu schärfen, Rauschen zu reduzieren oder die Untersuchungsschritte für genau Ihre Umgebung neu zu formulieren.