detecting-mimikatz-execution-patterns

von mukul975

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Stars0

Favoriten0

Kommentare0

Hinzugefügt9. Mai 2026

KategorieSecurity Audit

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-mimikatz-execution-patterns

Kurationswert

Dieser Skill erreicht 79/100 und ist damit ein solides Verzeichnis-Listing für Nutzer, die einen fokussierten Workflow zum Aufspüren von Mimikatz suchen statt eines generischen Prompts. Das Repository liefert klare Inhalte zur Erkennung, konkrete Log- und Query-Beispiele sowie ergänzende Skripte, sodass Agenten die Ausführung mit weniger Rätselraten anstoßen können. Dennoch sollten Nutzer mit etwas Einführungsaufwand rechnen, da es in SKILL.md keinen expliziten Installationsbefehl gibt und der Workflow stärker auf Hunting als auf Plug-and-Play ausgerichtet ist.

79/100

Stärken

Starke inhaltliche Basis für Detection: SKILL.md, Referenzen und Skripte decken Kommandozeilenmuster, LSASS-Zugriffe, Sysmon-Ereignisse, Splunk SPL, KQL und YARA ab.
Gute Hebelwirkung für Agenten: Das Repo enthält zwei Skripte sowie Workflow- und Referenzdateien, wodurch Agenten mehrere Ausführungspfade neben dem Fließtext haben.
Klarer Anwendungsfall und klare Voraussetzungen: Der Skill beschreibt, wann er eingesetzt werden sollte und welche Telemetrie nötig ist, was die Installationsentscheidung erleichtert.

Hinweise

Kein Installationsbefehl in SKILL.md, daher müssen Nutzer Setup oder Einbindung möglicherweise aus der Repository-Struktur ableiten.
Die Workflow-Inhalte sind umfangreich, aber klar Hunting-orientiert; geeignet ist der Skill eher für Analysten mit Windows-Telemetrie als für allgemeine Agenten ohne Sicherheitsdatenquellen.

Mimikatz Mitre Attack Edr Siem Powershell Sysmon

Überblick

Überblick über die Skill „detecting-mimikatz-execution-patterns“

Was dieser Skill leistet

Der Skill detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-bezogene Aktivitäten zu erkennen, indem er Muster in Befehlszeilen, LSASS-Zugriff, Binärindikatoren und speicherbezogenen Artefakten miteinander verknüpft. Besonders nützlich ist er für Threat Hunter, SOC-Analysten und Incident Responder, die einen praxisnahen Workflow für detecting-mimikatz-execution-patterns for Security Audit brauchen statt einer allgemeinen Detection-Beschreibung.

Für wen sich die Installation lohnt

Installieren Sie diesen Skill detecting-mimikatz-execution-patterns, wenn Sie bereits Telemetrie aus Sysmon, Windows Security Logs, EDR oder einem SIEM haben und Rohereignisse in konkrete Hunt-Logik überführen möchten. Er passt zu Teams, die ATT&CK-Abdeckung validieren, einen Verdacht auf Credential Theft eingrenzen oder Detections für T1003.001 und verwandte Mimikatz-Taktiken aufbauen.

Warum sich der Einsatz lohnt

Das Repo ist auf Entscheidungen ausgerichtet: Es liefert Hunt-Templates, Referenz-Mappings, Query-Beispiele und einfache Skripte statt nur Theorie. Dadurch lässt sich der Weg von „Wir vermuten Mimikatz“ zu einem belastbaren Untersuchungsplan deutlich leichter gehen — vor allem, wenn Sie einen wiederholbaren detecting-mimikatz-execution-patterns-Leitfaden für Analysten mit gemischter Erfahrung brauchen.

So verwenden Sie den Skill „detecting-mimikatz-execution-patterns“

Schnell installieren und die relevanten Dateien finden

Nutzen Sie den üblichen Skill-Installationsablauf und öffnen Sie dann zuerst skills/detecting-mimikatz-execution-patterns/SKILL.md. Für die praktische Umsetzung sollten Sie außerdem assets/template.md für die Hunt-Struktur, references/api-reference.md für die exakten Signaturen und Queries sowie references/workflows.md für den schrittweisen Hunting-Flow lesen. Wenn Sie das Automationsverhalten verstehen möchten, schauen Sie sich scripts/agent.py und scripts/process.py an.

Aus einem vagen Ziel einen starken Prompt machen

Ein schwacher Prompt lautet: „Hilf mir, Mimikatz zu erkennen.“ Ein stärkerer Prompt für den Einsatz von detecting-mimikatz-execution-patterns ist: „Erstelle mit dem Skill detecting-mimikatz-execution-patterns einen Sysmon-fokussierten Hunt für LSASS-Dumping und sekurlsa::logonpasswords-Aktivität, setze Splunk als verfügbar voraus und ergänze Hinweise zu False Positives durch Admin-Tools und Backup-Software.“ Ergänzen Sie Ihre Logquellen, die Endpoint-Plattform und die Frage, ob das Ziel Hunting, Alert-Tuning oder Incident-Scope ist.

Das Repo in der richtigen Reihenfolge nutzen

Beginnen Sie mit dem Hunt-Template, dann mit den Detection-Referenzen und anschließend mit dem Workflow-Dokument. Diese Reihenfolge hilft dabei, drei Fragen schnell zu beantworten: Welche Daten liegen vor, welche Muster sind relevant und wie lassen sie sich ohne Overfitting validieren? Wenn Sie den Skill für eine neue Umgebung anpassen, mappen Sie das bereitgestellte SPL oder KQL zuerst auf Ihre Feldnamen, bevor Sie die Logik verändern.

Welche Eingabequalität das Ergebnis am stärksten verändert

Der Skill funktioniert am besten, wenn Sie Toolchain, Telemetrieabdeckung und geschäftliche Rahmenbedingungen von Anfang an nennen. Sagen Sie zum Beispiel, ob Sysmon Event IDs 1, 7 und 10 erfasst werden, ob Prozess-Commandlines normalisiert sind und ob Sie einen Hunt mit hoher Sensitivität oder eine Detection mit wenig Rauschen brauchen. So kann der Skill verdächtige Mimikatz-Ausführung besser von legitimer Admin-Aktivität unterscheiden.

FAQ zum Skill „detecting-mimikatz-execution-patterns“

Ist das nur für bestätigte Mimikatz-Infektionen gedacht?

Nein. Der Skill detecting-mimikatz-execution-patterns ist auch für proaktives Hunting, Purple-Team-Validierung und ATT&CK-Lückenanalyse sinnvoll. Am stärksten ist er, wenn Sie Ausführungsmuster früh erkennen wollen, bevor ein Operator den Credential Theft vollständig abgeschlossen hat.

Brauche ich Splunk oder Microsoft Defender?

Nein, es ist keine einzelne Plattform zwingend erforderlich. Die enthaltenen Referenzen zeigen jedoch Muster, die sich sauber auf Sysmon, Splunk SPL und Microsoft Defender for Endpoint abbilden lassen. Wenn Ihre Umgebung ein anderes SIEM nutzt, hilft der Skill trotzdem weiter, solange Sie Prozessstarts und LSASS-bezogene Telemetrie abfragen können.

Worin unterscheidet sich das von einem normalen Prompt?

Ein normaler Prompt liefert meist eine Einmalantwort. Dieser Skill detecting-mimikatz-execution-patterns gibt Ihnen einen deutlich engeren Workflow: Hunt-Template, Signatur-Referenzen, plattformspezifische Query-Beispiele und ein Verfahren zur Verfeinerung der Ergebnisse. Das ist wichtig, wenn Sie Wiederholbarkeit und Nachvollziehbarkeit brauchen und nicht nur eine allgemeine Erklärung.

Ist der Skill anfängerfreundlich?

Ja, sofern Sie die Grundlagen von Windows-Logs und der Terminologie rund um Credential Theft bereits kennen. Einsteiger brauchen möglicherweise Hilfe beim Interpretieren von LSASS-Zugriffsrechten, Commandline-Mustern und False Positives, aber der Skill bietet genug Struktur, um ohne komplett eigenen Hunt-Entwurf zu starten.

So verbessern Sie den Skill „detecting-mimikatz-execution-patterns“

Geben Sie die Telemetrie an, die wirklich nutzbar ist

Der größte Qualitätssprung entsteht, wenn Sie genau sagen, welche Eventquellen verfügbar sind. Zum Beispiel: „Sysmon Event IDs 1, 7, 10 und 22 sind aktiviert; Security 4688 wird weitergeleitet; EDR-Prozessbäume sind verfügbar.“ Dadurch kann sich der Skill detecting-mimikatz-execution-patterns auf Signale konzentrieren, die sich realistisch validieren lassen, statt vollständige Endpoint-Sicht vorauszusetzen.

Nennen Sie die erwarteten False Positives

Mimikatz-ähnliche Muster überschneiden sich oft mit legitimen Admin- und Troubleshooting-Tools. Sagen Sie dem Skill, welche Software in Ihrer Umgebung normal ist, zum Beispiel procdump, Backup-Agenten, EDR-Response-Tools oder skriptbasierte Wartung. Ohne diesen Kontext kann das Ergebnis für eine echte Installationsentscheidung oder einen Hunt zu breit ausfallen.

Fragen Sie nach dem Ergebnis, das Sie brauchen, nicht nur nach der Technik

Wenn Sie einen besseren ersten Durchlauf möchten, geben Sie an, ob Sie eine Hunting-Query, eine Triage-Checkliste, eine Detection-Regel oder eine Zusammenfassung für einen Bericht brauchen. Beispiel: „Erstelle einen Splunk-Hunt für lsass.exe-Zugriffe und sekurlsa-Strings und priorisiere die Treffer nach Vertrauen mit einer Erklärung wahrscheinlicher False Positives.“ So bekommt der Skill ein konkretes Ziel und liefert nützlichere erste Ergebnisse.

Iterieren Sie mit echten Beispielen und Grenzfällen

Geben Sie nach dem ersten Lauf ein oder zwei echte Befehlszeilen, Prozessbäume oder Alert-Beispiele zurück und fragen Sie, was sie behalten oder unterdrücken würde. Der Skill ist besonders wertvoll, wenn Sie ihn an die Randfälle Ihrer Umgebung anpassen — vor allem für detecting-mimikatz-execution-patterns usage in ausgereiften Security-Stacks mit vielen legitimen Security-Tools.

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

security-threat-model

von openai

Repository-basiertes security-threat-model für AppSec-Threat-Modeling. Es überführt Vertrauensgrenzen, Assets, Angreiferziele, Missbrauchspfade und Gegenmaßnahmen in ein kompaktes Markdown-Threat-Model. Nutzen Sie es, wenn Sie security-threat-model für Threat Modeling in einem konkreten Repo oder Pfad brauchen, nicht für eine generische Architekturprüfung oder Codeanalyse.

Threat Modeling

Favoriten 0GitHub 0

solana-vulnerability-scanner

von trailofbits

solana-vulnerability-scanner ist ein fokussierter Solana-Security-Audit-Skill für native Rust- und Anchor-Programme. Er hilft dabei, CPI-Logik, PDA-Validierung, Signer- und Ownership-Prüfungen sowie Sysvar-Spoofing zu überprüfen, um sechs kritische Solana-spezifische Schwachstellen vor dem Deployment zu erkennen.

Security Audit

Favoriten 0GitHub 4.9k

azure-ai-contentsafety-ts

von microsoft

azure-ai-contentsafety-ts hilft dabei, Text und Bilder mit Azure AI Content Safety in TypeScript auf schädliche Inhalte zu prüfen. Nutzen Sie diese Skill für Moderations-Workflows, Blocklists und Sicherheitsprüfungen von Hassrede, Gewalt, sexuellen Inhalten und Selbstverletzung. Außerdem werden das Einrichten von Azure-Endpunkt und Authentifizierung abgedeckt.

Security Audit

Favoriten 0GitHub 2.3k

sharp-edges

von trailofbits

Die sharp-edges-Skill hilft dir, APIs, Konfigurationen und Schnittstellen zu finden, bei denen der naheliegende Weg zu unsicherer Nutzung führt. Nutze sie, um Authentifizierungsflüsse, kryptografische Wrapper, gefährliche Standardwerte, Null- oder Zero-Semantik und anfällige Designentscheidungen zu prüfen. Sie passt besonders gut für sharp-edges bei Security-Audit-Arbeiten, wenn du konkrete Fallstricke brauchst und keine allgemeinen Sicherheitsvermutungen.

Security Audit

Favoriten 0GitHub 5k

security-review

von affaan-m

Nutze die security-review Skill, um Authentifizierung, Nutzereingaben, Secrets, APIs, Zahlungen, Uploads und andere sensible Abläufe zu prüfen. Sie bietet einen praxisnahen Leitfaden für Security-Reviews mit klaren Pass-/Fail-Prüfpunkten, Beispielen riskanter Muster und einem fokussierten Ablauf, um typische Schwachstellen vor dem Release zu finden.

Security Audit

Favoriten 0GitHub 156.3k

django-security

von affaan-m

django-security ist ein praxisnaher Leitfaden zum Absichern von Django-Apps mit Authentifizierung, Autorisierung, CSRF, XSS, Schutz vor SQL-Injection, sicheren Cookies und Production-Settings. Er hilft Entwicklern und Reviewern dabei, einen fokussierten Security Audit durchzuführen, riskante Konfigurationen schnell zu erkennen und vor dem Deployment konkrete Korrekturen umzusetzen.

Security Audit

Favoriten 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

von mukul975

Das Skill „exploiting-insecure-data-storage-in-mobile“ unterstützt bei der Bewertung und Extraktion von Beweismitteln aus unsicherem lokalem Speicher in Android- und iOS-Apps. Es behandelt SharedPreferences, SQLite-Datenbanken, plist-Dateien, weltweit lesbare Dateien, Backup-Offenlegung sowie schwache Keychain-/Keystore-Verarbeitung für Mobile-Pentesting und Security-Audit-Workflows.

Security Audit

Favoriten 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

building-incident-response-playbook

von mukul975

building-incident-response-playbook hilft Security-Teams, wiederverwendbare Incident-Response-Playbooks mit klaren Phasen, Entscheidungsbäumen, Eskalationskriterien, RACI-Zuordnung und SOAR-tauglicher Struktur zu erstellen. Es ist für die Dokumentation von Incident-Response-Prozessen, Workflows zur Incident-Triage und auditfähige operative Reaktionspläne gedacht.

Incident Triage

Favoriten 0GitHub 6.1k

building-patch-tuesday-response-process

von mukul975

building-patch-tuesday-response-process hilft Teams dabei, einen wiederholbaren Microsoft Patch Tuesday-Prozess aufzubauen, um Advisories zu triagieren, Risiken zu priorisieren, Patches zu testen, Rollouts freizugeben und Compliance nachzuverfolgen. Nützlich für Security Operations, Vulnerability Management und building-patch-tuesday-response-process für Projektmanagement.

Project Management

Favoriten 0GitHub 6.1k

ossfuzz

von trailofbits

Lerne die ossfuzz-Skill für Continuous Fuzzing-Setup, Projektanmeldung, Harness-Planung und die Prüfung des Build-Workflows kennen. Dieser Leitfaden hilft Security Engineers und Maintainers dabei, die Einsatzbereitschaft einzuschätzen, Build-Blocker zu erkennen und einen praktischen Weg vom Source Tree zu OSS-Fuzz oder einer privaten Fuzzing-Infrastruktur vorzubereiten.

Security Audit

Favoriten 0GitHub 5k

codeql

von trailofbits

Die codeql-Skill hilft dir, CodeQL bei einem Security Audit mit weniger blinden Flecken einzusetzen. Der Fokus liegt auf Datenbankqualität, Suite-Auswahl, Data Extensions und SARIF-Review, damit du codeql zuverlässiger über unterstützte Sprachen hinweg verwenden kannst. Nutze sie für wiederholbare codeql-Anleitungsschritte bei der Analyse realer Repositories.

Security Audit

Favoriten 0GitHub 5k

semgrep-rule-creator

von trailofbits

semgrep-rule-creator erstellt Semgrep-Regeln in Produktionsqualität für Sicherheitslücken, Bug-Muster, Taint-Flow-Erkennungen und Coding-Standards. Verwenden Sie den semgrep-rule-creator Skill für Security-Audit-Aufgaben, wenn Sie präzise Regeln, Testfälle und Validierung statt eines generischen Entwurfs brauchen.

Security Audit

Favoriten 0GitHub 5k

insecure-defaults

von trailofbits

Die insecure-defaults Skill hilft dabei, Fail-Open-Konfigurationsmuster zu erkennen, bei denen Software mit unsicheren Einstellungen weiterläuft, statt abzubrechen. Verwenden Sie sie für ein Security Audit von Produktionscode, Deployment-Konfigurationen und Logik zur Secret-Verarbeitung, um schwache Authentifizierung, hartcodierte Geheimnisse und zu freizügige Standardwerte aufzudecken.

Security Audit

Favoriten 0GitHub 5k

constant-time-analysis

von trailofbits

constant-time-analysis ist eine Security-Audit-Skill zum Finden von Timing-Side-Channel-Risiken in kryptografischem Code, bevor sie zu ausnutzbaren Bugs werden. Nutze sie, um geheimnisabhängige Mathematik, Verzweigungen, Vergleiche und kompilierten Output zu prüfen, wenn du C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python oder Ruby analysierst.

Security Audit

Favoriten 0GitHub 5k

secure-workflow-guide

von trailofbits

secure-workflow-guide führt durch einen 5-stufigen Solidity-Security-Workflow: Slither-Triage, funktionsspezifische Checks, visuelle Prüfung, Notizen zu Security-Properties und manuelle Review. Die Skill ist für Smart-Contract-Teams, Auditoren und Entwickler gedacht, die vor Deployment oder Release einen wiederholbaren secure-workflow-guide benötigen.

Security Audit

Favoriten 0GitHub 4.9k