detecting-t1003-credential-dumping-with-edr

von mukul975

Die Skill detecting-t1003-credential-dumping-with-edr unterstützt Threat Hunting mit EDR, Sysmon und Windows-Event-Korrelation, um LSASS-, SAM-, NTDS.dit-, LSA-Secret- und Cache-Credential-Dumping zu erkennen. Sie eignet sich, um Alarme zu validieren, Vorfälle einzugrenzen und Fehlalarme mit praxisnaher Workflow-Anleitung zu reduzieren.

Stars0

Favoriten0

Kommentare0

Hinzugefügt12. Mai 2026

KategorieThreat Hunting

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-t1003-credential-dumping-with-edr

Kurationswert

Diese Skill erreicht 82/100 und ist damit ein solider Kandidat für das Verzeichnis. Sie bietet einen konkreten, sicherheitsorientierten Workflow zum Erkennen von T1003 Credential Dumping auf Basis von EDR-/Sysmon-Evidenz, sodass Agents sie mit weniger Rätselraten auslösen und nutzen können als einen generischen Prompt. Gleichzeitig ist sie eher auf Hunting ausgelegt als auf einen sofort einsatzbereiten Turnkey-Use-Case.

82/100

Stärken

Präziser Trigger und klarer Scope für Credential-Dumping-Hunts rund um LSASS, SAM, NTDS.dit und gecachte Credentials.
Starke operative Leitplanken: Voraussetzungen, mehrstufiger Workflow und Detektionsbeispiele für Sysmon, Windows-Sicherheitsprotokolle und EDR-Abfragen.
Nützliche Begleitmaterialien wie zwei Skripte, Referenzen und eine wiederverwendbare Hunt-Vorlage, die den Nutzen für Agents erhöhen.

Hinweise

In SKILL.md fehlt ein Installationsbefehl, daher müssen Nutzer Einrichtungs- und Ausführungsablauf möglicherweise selbst ableiten.
Ein Teil der Repository-Inhalte ist stärker auf Hunt-Content als auf Agenten-Ausführung ausgerichtet, weshalb für jedes EDR/SIEM möglicherweise noch Analysten-Tuning nötig ist.

Credential Access Edr Sysmon Credential Theft Mimikatz Windows Artifacts Blue Team Credential Dumping

Überblick

Überblick über die detecting-t1003-credential-dumping-with-edr-Skill

Was diese Skill macht

Die detecting-t1003-credential-dumping-with-edr-Skill hilft Threat Huntern dabei, T1003 Credential Dumping zu erkennen, indem sie EDR-Telemetrie, Sysmon-Prozesszugriffe und Windows-Sicherheitsereignisse miteinander korreliert. Sie ist für Analysten gedacht, die nicht nur sehen wollen, ob ein einzelner Alarm ausgelöst wurde, sondern ob LSASS, SAM, NTDS.dit, LSA-Secrets oder zwischengespeicherte Anmeldeinformationen ins Visier genommen wurden.

Für wen sie gedacht ist

Nutzen Sie die detecting-t1003-credential-dumping-with-edr skill, wenn Sie bereits EDR-, Sysmon- oder Windows-Auditing-Daten haben und schneller von einem Verdacht zu validierten Hunting-Ergebnissen kommen möchten. Sie eignet sich für Incident Responder, Detection Engineers und detecting-t1003-credential-dumping-with-edr for Threat Hunting-Anwendungsfälle, bei denen Scoping, Bestätigung und Control Validation im Mittelpunkt stehen.

Warum sie nützlich ist

Der eigentliche Mehrwert liegt in der praktischen Korrelation: Verdächtiger LSASS-Zugriff, bekannte Dumping-Tools sowie Registry- oder Dateiaktivitäten werden als ein gemeinsames Hunting-Problem behandelt. Dadurch ist die Skill nützlicher als ein generischer Prompt, weil sie einen konkreten Workflow, Event-IDs, Access Masks und wahrscheinliche False-Positive-Filter als Ausgangspunkt mitliefert.

So verwenden Sie die detecting-t1003-credential-dumping-with-edr-Skill

Installieren und die richtigen Dateien öffnen

Für detecting-t1003-credential-dumping-with-edr install fügen Sie die Skill aus dem Repo hinzu, lesen dann zuerst SKILL.md und nutzen die unterstützenden Dateien als Belege, nicht als Dekoration. Die nützlichsten Pfade sind assets/template.md für die Berichtsstruktur, references/workflows.md für die Hunt-Phasen, references/api-reference.md für Event- und Abfragedetails sowie references/standards.md für den Kontext zu Access Masks und Controls.

Stellen Sie der Skill eine echte Hunting-Frage

detecting-t1003-credential-dumping-with-edr usage funktioniert am besten, wenn Sie ein klar begrenztes Ziel, eine Datenquelle und einen Host-Umfang angeben. Ein starker Input sieht zum Beispiel so aus: „Jage in den letzten 24 Stunden nach LSASS-Dumping auf Windows-Endpunkten mit Sysmon Event 10 und Defender for Endpoint Alerts; priorisiere Admin-Workstations und gib verdächtige Quellprozesse, Command Lines und Access Masks zurück.“ Ein schwacher Input wie „such nach Malware“ zwingt die Skill zu Annahmen und verwässert die EDR-spezifische Logik.

Verwenden Sie den Workflow in der vorgesehenen Reihenfolge

Beginnen Sie mit LSASS-Prozesszugriff, prüfen Sie dann bekannte Command Lines für Credential-Dumping-Tools, schauen Sie anschließend nach NTDS.dit- oder Registry-Hive-Extraktion und weiten Sie erst danach auf laterale Bewegung aus. Diese Reihenfolge ist wichtig, weil sie direkten Beleg für Credential Access von nachgelagerten Auswirkungen trennt. Das reduziert Rauschen und hilft bei der Entscheidung, ob ein Eskalationsfall für den Incident Response vorliegt.

Feinjustieren Sie die Query-Eingaben, nicht nur den Prompt

Wenn Ihre Telemetrie laut oder lückenhaft ist, nennen Sie die Event-Quelle und die Felder, die Ihnen tatsächlich zur Verfügung stehen. Bitten Sie die Skill zum Beispiel, Sysmon Event ID 10, Windows 4688 oder EDR-Felder zur Prozessabstammung auf die Hunt-Vorlage abzubilden. Wenn Sie nur eine Quelle haben, sagen Sie das ausdrücklich; wenn Sie mehrere Quellen haben, verlangen Sie Korrelationsregeln zwischen ihnen, damit das Ergebnis nicht auf einen einzelnen Logtyp überangepasst wird.

FAQ zur detecting-t1003-credential-dumping-with-edr-Skill

Ist das nur für LSASS-Dumping?

Nein. Der detecting-t1003-credential-dumping-with-edr guide deckt auch SAM, NTDS.dit, LSA-Secrets, gecachte Domain-Anmeldeinformationen und DCSync-Indikatoren ab. LSASS-Zugriff ist zwar das schnellste Signal, aber die Skill ist breiter angelegt, weil Angreifer in der Praxis häufig Speicherzugriff mit Registry-Manipulation und Directory-Replication-Missbrauch kombinieren.

Worin unterscheidet sich das von einem normalen Prompt?

Ein normaler Prompt kann T1003-Konzepte zwar benennen, aber die Skill liefert eine wiederholbare Hunt-Struktur, konkrete Event-Referenzen und eine Vorlage für die Ergebnisberichterstattung. Das ist der zentrale Vorteil, wenn detecting-t1003-credential-dumping-with-edr usage verwertbare Ergebnisse statt einer generischen Zusammenfassung liefern soll.

Brauche ich ein bestimmtes EDR?

Nein, ein bestimmtes EDR ist nicht erforderlich. Die Skill ist jedoch am stärksten, wenn Ihre Plattform Felder für Prozesszugriff, Command Line und Alarmnachweise bereitstellt. Sie passt gut zu gängigen EDR-Stacks plus Sysmon und Windows Auditing; wenn in Ihrer Umgebung LSASS-Sichtbarkeit oder Prozess-Create-Logging fehlen, werden die Ergebnisse schwächer ausfallen.

Wann sollte ich sie nicht verwenden?

Verlassen Sie sich nicht darauf, wenn Sie nur eine breite Malware-Triage ohne Windows-Telemetrie zum Credential Access benötigen oder wenn Sie nicht genug Host-Kontext sammeln können, um legitime Admin-Tools von Dumping-Aktivität zu unterscheiden. In solchen Fällen ist ein schmalerer Prompt oder eine andere Detection-Skill schneller.

So verbessern Sie die detecting-t1003-credential-dumping-with-edr-Skill

Geben Sie ihr bessere Belege

Die besten Ergebnisse entstehen durch präzise Eingaben: Hostnamen, Zeitfenster, Parent Process, Command Line, Benutzerkontext, Access Mask und Alarmquelle. Wenn möglich, fügen Sie ein oder zwei verdächtige Beispiele wie mimikatz sekurlsa::logonpasswords, procdump -ma lsass.exe oder reg save hklm\sam hinzu, weil sie die Hunt an bekannte Muster ankern, ohne die Skill zu zwingen, diese selbst zu erfinden.

Reduzieren Sie False Positives früh

Sagen Sie der Skill, welche Prozesse in Ihrer Umgebung zu erwarten sind, insbesondere legitime Security-Tools, Admin-Utilities und Support-Agenten, die LSASS berühren oder Rauschen bei Prozesszugriffen erzeugen können. Das ist wichtig, weil detecting-t1003-credential-dumping-with-edr dann am besten funktioniert, wenn es normales Admin-Verhalten von verdächtigen Access Masks und ungewöhnlichen Parent-Child-Ketten trennen kann.

Iterieren Sie von der Erkennung zum Scoping

Bitten Sie nach dem ersten Durchlauf um die nächste Entscheidung, die Sie brauchen: Kompromittierung bestätigen, verwandte Hosts finden oder eine zeitlich belastbare Timeline für den Bericht extrahieren. Ein guter Follow-up lautet: „Fasse anhand derselben Telemetrie die wahrscheinlich kompromittierten Systeme, die Belege pro System und die Zuordnung zu T1003.001, T1003.002 oder T1003.003 zusammen.“ So wird aus der Skill nicht nur eine Suchhilfe, sondern ein Investigations-Workflow.

Nutzen Sie die Vorlage, um die Ausgabe zu standardisieren

Ordnen Sie die Findings in assets/template.md ein, damit jede Hunt dieselben Felder für Hypothese, LSASS-Zugriff, Tool-Erkennungen, Auswirkungen und Reaktion enthält. Standardisierung verbessert die detecting-t1003-credential-dumping-with-edr skill, weil sie die Ausgabe zwingt, die betrieblichen Kernfragen zu beantworten: Was wurde wo, wie und auf welchem Host zugegriffen, und was muss als Nächstes zurückgesetzt oder eingedämmt werden?

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

detecting-lateral-movement-with-zeek

von mukul975

detecting-lateral-movement-with-zeek ist eine Zeek-basierte Cybersecurity-Skill für Threat Hunting und Incident Response. Sie hilft dabei, SMB-Zugriffe auf Admin-Freigaben, DCE/RPC-Dienst-Erstellungen, NTLM-Spraying, Kerberos-Anomalien und verdächtige interne Übertragungen zu erkennen – mit Zeek-Logs wie `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` und `kerberos.log`.

Threat Hunting

Favoriten 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

analyzing-usb-device-connection-history

von mukul975

analyzing-usb-device-connection-history hilft dabei, den Verbindungsverlauf von USB-Geräten unter Windows mit Registry-Hives, Event Logs und setupapi.dev.log zu untersuchen – für Digital Forensics, Insider-Threat-Untersuchungen und Incident Response. Es unterstützt die Rekonstruktion von Zeitachsen, die Zuordnung von Geräten und die Analyse von Wechselmedien-Beweisen.

Digital Forensics

Favoriten 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

von mukul975

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Malware Analysis

Favoriten 0GitHub 6.2k

detecting-ransomware-encryption-behavior

von mukul975

detecting-ransomware-encryption-behavior hilft Verteidigern, ransomwareähnliche Verschlüsselung mithilfe von Entropieanalyse, File-I/O-Überwachung und Verhaltensheuristiken zu erkennen. Der Skill eignet sich für Incident Response, SOC-Tuning und Red-Team-Validierung, wenn massenhafte Dateiveränderungen, plötzliche Umbenennungswellen und verdächtige Prozessaktivitäten schnell erkannt werden müssen.

Incident Response

Favoriten 0GitHub 0

detecting-privilege-escalation-attempts

von mukul975

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

Threat Hunting

Favoriten 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

von mukul975

Die Skill „detecting-evasion-techniques-in-endpoint-logs“ hilft dabei, Verteidigungsumgehung in Windows-Endpunktprotokollen aufzuspüren, darunter das Löschen von Logs, Timestomping, Prozessinjektion und das Deaktivieren von Sicherheitstools. Sie eignet sich für Threat Hunting, Detection Engineering und Incident-Triage mit Sysmon-, Windows-Security- oder EDR-Telemetrie.

Threat Hunting

Favoriten 0GitHub 0

analyzing-network-traffic-for-incidents

von mukul975

analyzing-network-traffic-for-incidents hilft Incident Respondern dabei, PCAPs, Flow-Logs und Paketmitschnitte zu analysieren, um C2, laterale Bewegung, Exfiltration und Exploit-Versuche zu bestätigen. Entwickelt für analyzing-network-traffic-for-incidents im Incident Response mit Wireshark, Zeek und NetFlow-ähnlicher Analyse.

Incident Response

Favoriten 0GitHub 0

detecting-process-injection-techniques

von mukul975

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

Security Audit

Favoriten 0GitHub 0

detecting-process-hollowing-technique

von mukul975

detecting-process-hollowing-technique hilft dabei, Process Hollowing (T1055.012) in Windows-Telemetrie aufzuspüren, indem es Suspend-Starts, Speicher-Manipulation, Anomalien in Parent-Child-Beziehungen und API-Hinweise miteinander korreliert. Entwickelt für Threat Hunter, Detection Engineers und Incident Responder, die einen praxisnahen detecting-process-hollowing-technique für den Threat-Hunting-Workflow brauchen.

Threat Hunting

Favoriten 0GitHub 0

analyzing-cobaltstrike-malleable-c2-profiles

von mukul975

analyzing-cobaltstrike-malleable-c2-profiles hilft dabei, Cobalt Strike Malleable C2-Profile in C2-Indikatoren, Tarnungsmerkmale und Erkennungsansätze zu zerlegen – für Malware-Analyse, Threat Hunting und Security-Audit-Workflows. Es nutzt dissect.cobaltstrike und pyMalleableC2 für die Analyse von Profilen und Beacon-Konfigurationen.

Security Audit

Favoriten 0GitHub 6.2k

detecting-rdp-brute-force-attacks

von mukul975

detecting-rdp-brute-force-attacks hilft bei der Analyse von Windows Security Event Logs auf RDP-Brute-Force-Muster, darunter wiederholte 4625-Fehler, 4624-Erfolge nach Fehlschlägen, NLA-bezogene Anmeldungen und Konzentration auf einzelne Quell-IPs. Geeignet für Security Audits, Threat Hunting und reproduzierbare Untersuchungen auf EVTX-Basis.

Security Audit

Favoriten 0GitHub 6.2k

analyzing-linux-kernel-rootkits

von mukul975

analyzing-linux-kernel-rootkits unterstützt DFIR- und Threat-Hunting-Workflows dabei, Linux-Kernel-Rootkits mit Volatility3 Cross-View-Prüfungen, rkhunter-Scans und /proc-vs-/sys-Analysen aufzudecken – etwa versteckte Module, gehookte Syscalls und manipulierte Kernel-Strukturen. Es ist ein praxisnaher Leitfaden zu analyzing-linux-kernel-rootkits für die forensische Triage.

Digital Forensics

Favoriten 0GitHub 0

detecting-mimikatz-execution-patterns

von mukul975

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Security Audit

Favoriten 0GitHub 0

exploiting-kerberoasting-with-impacket

von mukul975

exploiting-kerberoasting-with-impacket unterstützt autorisierte Tester bei der Planung von Kerberoasting mit Impacket GetUserSPNs.py – von der SPN-Aufzählung über das Extrahieren von TGS-Tickets bis hin zu Offline-Cracking und erkennungsbewusster Berichterstattung. Nutzen Sie diesen exploiting-kerberoasting-with-impacket-Leitfaden für Penetrationstests mit klarem Installations- und Nutzungskontext.

Penetration Testing

Favoriten 0GitHub 6.2k

detecting-shadow-it-cloud-usage

von mukul975

detecting-shadow-it-cloud-usage hilft dabei, nicht autorisierte SaaS- und Cloud-Nutzung anhand von Proxy-Logs, DNS-Queries und Netflow zu erkennen. Es klassifiziert Domains, vergleicht sie mit freigegebenen Listen und unterstützt Security-Audit-Workflows mit strukturierten Belegen aus dem detecting-shadow-it-cloud-usage skill guide.

Security Audit

Favoriten 0GitHub 6.2k