detecting-credential-dumping-techniques

por mukul975

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-credential-dumping-techniques

Puntuación editorial

Esta skill obtiene 84/100, lo que la convierte en una opción sólida para el directorio si buscas detección de amenazas en Windows. El repositorio aporta contenido de flujo de trabajo suficiente y concreto como para justificar su instalación, y conviene esperar una skill enfocada y operativa, no un prompt genérico.

84/100

Puntos fuertes

Señal clara de alcance y activación: detecta acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump usando Sysmon y registros de Windows Security.
El soporte operativo es real: incluye un analizador en `scripts/agent.py` y un archivo de referencia con campos de eventos, valores sospechosos de `GrantedAccess` y ejemplos de consultas SPL.
Buen indicador para decidir la instalación: frontmatter válido, sin marcadores de relleno y con metadatos claros de ciberseguridad y detección de amenazas.

Puntos a tener en cuenta

El extracto muestra prerrequisitos, pero no incluye un comando de instalación en `SKILL.md`, así que la incorporación puede requerir configuración manual o integración externa.
La evidencia de flujo de trabajo es más sólida que la de divulgación progresiva; puede que aún tengas que adaptar las reglas y consultas a tu propio SIEM y a tu línea base de registros.

Cybersecurity Windows Security Active Directory Sysmon Mimikatz

Resumen

Panorama general de la skill detecting-credential-dumping-techniques

La skill detecting-credential-dumping-techniques te ayuda a crear o validar detecciones de actividad de volcado de credenciales, como acceso a LSASS, exportación de hives de SAM, robo de NTDS.dit y métodos comunes de dump como el abuso de comsvcs.dll MiniDump. Es especialmente útil para analistas de SOC, threat hunters, detection engineers y cualquier persona que haga un detecting-credential-dumping-techniques for Security Audit y necesite una forma práctica de convertir telemetría de Windows en alertas utilizables.

Lo que suele importar no es la teoría del ataque, sino si la skill puede distinguir rápidamente un acceso sospechoso de una actividad administrativa normal. Esta skill se centra en evidencia observable de Windows, especialmente Sysmon Event ID 10, logs de creación de procesos y lógica de correlación en el SIEM. Eso la convierte en una mejor opción que un prompt genérico cuando necesitas lógica de detección concreta, no solo un resumen de ATT&CK T1003.

Para qué es más útil esta skill

Usa detecting-credential-dumping-techniques cuando necesites orientación estructurada para:

detección de acceso a memoria de LSASS
detección de exportación de hives del registro
rutas de recolección de NTDS.dit en controladores de dominio
consulta de telemetría con Sysmon y logs de Windows Security
traducción de líneas de comando sospechosas en reglas de hunt o alertas

Qué necesita para funcionar bien

La skill asume que tienes telemetría, no solo una descripción del incidente. Un buen input suele incluir:

qué logs están disponibles: Sysmon, Security 4688, EDR, SIEM
el entorno: estación de trabajo, servidor o controlador de dominio
cualquier nombre de proceso, hash o línea de comando conocida
la plataforma objetivo: Splunk, Elastic, Sentinel o logs de eventos en bruto

Diferenciadores principales

La skill detecting-credential-dumping-techniques es útil porque se centra en indicadores observables, no solo en una explicación narrativa. Su mayor valor está en la combinación de:

patrones GrantedAccess de LSASS
patrones sospechosos de proceso padre/hijo y de línea de comando
cobertura de varias rutas de dumping, no solo Mimikatz
salida orientada a detección que puede integrarse en un flujo de trabajo de SOC

Cómo usar la skill detecting-credential-dumping-techniques

Instala y lee primero los archivos correctos

Para instalar la skill detecting-credential-dumping-techniques, usa directamente la ruta del repositorio en tu gestor de skills y luego lee primero el punto de entrada de la skill:
skills/detecting-credential-dumping-techniques/SKILL.md

Después, revisa:

references/api-reference.md para ver campos, patrones y ejemplos de consultas
scripts/agent.py para la lógica de detección que probablemente la skill espera que reproduzcas o adaptes
SKILL.es.md solo si necesitas una versión traducida o quieres comparar el alcance

Convierte un objetivo difuso en un prompt útil

La skill funciona mejor cuando tu solicitud nombra con precisión la tarea de detección. Por ejemplo, en lugar de pedir “ayuda con credential dumping”, pide:

“Crea un hunt para acceso a LSASS usando Sysmon Event ID 10 en Splunk”
“Revisa esta línea de comando de Windows en busca de indicadores de exportación de SAM”
“Mapea esta actividad de recolección de NTDS.dit a reglas de detección”
“Construye una checklist de seguridad para cobertura de telemetría de credential dumping”

Ese nivel de detalle ayuda al detecting-credential-dumping-techniques usage porque la skill puede alinear la fuente de logs, el lenguaje de consulta y la táctica.

Flujo de trabajo práctico que mejora el resultado

Un flujo de trabajo sólido de detecting-credential-dumping-techniques guide es:

Identifica la telemetría que ya estás recopilando.
Pega uno o dos eventos o líneas de comando representativos.
Indica el SIEM o el formato de regla que necesitas.
Pide tanto detecciones como fuentes conocidas de falsos positivos.
Solicita orientación de ajuste para tu entorno.

Por ejemplo, un buen prompt podría ser: “Tengo Sysmon Event ID 10 y Security 4688 en Splunk. Construye una detección para acceso sospechoso a LSASS, excluye procesos comunes de Windows y explica qué valores de GrantedAccess importan más.”

Entradas que mejoran de forma material los resultados

La skill solo puede ser tan precisa como tu telemetría. Incluye:

valores exactos de GrantedAccess
SourceImage, TargetImage y CallTrace cuando estén disponibles
la técnica sospechada: dump de LSASS, exportación de SAM, robo de NTDS.dit o MiniDump
si el monitoreo es de endpoint, servidor o controlador de dominio

Si no tienes estos detalles, la salida será más amplia y menos accionable.

Preguntas frecuentes sobre la skill detecting-credential-dumping-techniques

¿Esta skill es solo para detection engineers avanzados?

No. La detecting-credential-dumping-techniques skill también es útil para principiantes que necesitan un punto de partida guiado, pero los mejores resultados llegan cuando el usuario puede aportar muestras de logs o una descripción del entorno. Sin telemetría, pasa a ser más una guía conceptual que una herramienta de implementación.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele generar consejos genéricos sobre credential dumping. Esta skill está pensada para empujar hacia artefactos de detección específicos: event IDs, patrones de línea de comando, máscaras de acceso sospechosas y lógica de correlación. Eso hace que la decisión de detecting-credential-dumping-techniques install valga la pena si necesitas resultados repetibles para un flujo de trabajo de SOC o auditoría.

¿Puedo usarla sin Sysmon?

Puedes, pero el valor disminuye. El repositorio funciona mejor cuando están disponibles Sysmon Event ID 10 y los logs de creación de procesos. Si solo tienes registros parciales de Windows, la skill aún puede ayudar, pero debes esperar detecciones más acotadas y más ajuste manual.

¿Cuándo no debería usar esta skill?

No la uses si solo necesitas una explicación de alto nivel sobre credential dumping sin trabajo de detección, o si tu entorno es mayoritariamente no Windows y no cuenta con la telemetría relevante. Tampoco encaja bien si buscas guía de explotación en lugar de monitorización defensiva.

Cómo mejorar la skill detecting-credential-dumping-techniques

Dale a la skill la forma real de tus logs

La forma más rápida de mejorar la salida es aportar los mismos campos que guarda tu SIEM. Para detecting-credential-dumping-techniques, eso suele significar event IDs, líneas de comando, nombres de proceso y máscaras de acceso. Una solicitud vaga como “detecta actividad mala” produce reglas genéricas; una solicitud específica como “marca valores de SourceImage que accedan a lsass.exe con 0x1010 o 0x1FFFFF” da mejores resultados.

Pide ajuste, no solo detección

El mejor detecting-credential-dumping-techniques usage incluye reducción de ruido. Pide:

procesos benignos conocidos que deban excluirse
excepciones específicas para controladores de dominio
herramientas administrativas del endpoint que puedan parecer volcado
lógica separada para hunt frente a severidad de alerta

Eso ayuda a evitar alertas excesivas por herramientas como agentes de backup, componentes de EDR o utilidades administrativas legítimas.

Usa la iteración para acotar la detección

Empieza amplio y luego afina. Una secuencia práctica es:

Pide una regla base.
Revisa qué detecta en tu entorno.
Devuelve falsos positivos y casos omitidos.
Solicita una versión ajustada para tu SIEM.

Esto es especialmente importante para trabajos de detecting-credential-dumping-techniques for Security Audit, donde necesitas evidencias de cobertura y no solo una consulta puntual.

Vigila los modos de fallo más comunes

Los principales modos de fallo son la falta de telemetría, la dependencia excesiva de los nombres de proceso e ignorar el contexto, como el rol del host o el privilegio del usuario. La detecting-credential-dumping-techniques skill funciona mejor cuando tratas las líneas de comando y las máscaras de acceso como indicadores que deben interpretarse con el contexto del entorno, no como prueba por sí solos.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k