detecting-dcsync-attack-in-active-directory

por mukul975

detecting-dcsync-attack-in-active-directory es una skill de threat hunting para detectar abuso de DCSync en Active Directory correlacionando eventos 4662, GUID de replicación y cuentas legítimas de DC. Úsala para confirmar, priorizar y documentar actividad de robo de credenciales con Splunk, KQL y scripts de análisis.

Estrellas0

Favoritos0

Comentarios0

Agregado12 may 2026

CategoríaThreat Hunting

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-dcsync-attack-in-active-directory

Puntuación editorial

Esta skill obtiene 78/100. Merece incluirse porque ofrece un flujo concreto de detección de DCSync, lógica de detección y scripts/plantillas de apoyo que ayudan a un agente a actuar con menos conjeturas que un prompt genérico. Quienes la consulten deberían verla como una skill de threat hunting especializada y sólida, con algunas salvedades de adopción, más que como un producto listo para usar sin ajustes.

78/100

Puntos fuertes

Casos de uso y disparadores explícitos para la caza de robo de credenciales en Active Directory, incluidos escenarios de DCSync, Mimikatz e Impacket secretsdump.
Contenido operativo amplio: requisitos previos, pasos del flujo, guía sobre el evento 4662, GUID de replicación y ejemplos de consultas SIEM en Splunk y KQL.
Los archivos de apoyo dan más capacidad a los agentes, con scripts para analizar registros y una plantilla de hunting para documentar hallazgos y acciones de respuesta.

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que puede que haga falta configuración manual antes de que la skill esté lista para ejecutarse.
El repositorio parece centrado en un único flujo de detección muy acotado, por lo que resulta menos útil fuera de contextos de respuesta a incidentes y hunting en Windows/Active Directory.

Active Directory Credential Theft Dcsync Domain Controller Kerberos Mimikatz Impacket Windows Security

Resumen

Descripción general de la skill detecting-dcsync-attack-in-active-directory

Para qué sirve esta skill

detecting-dcsync-attack-in-active-directory es una skill de threat hunting para detectar abuso de la replicación de Active Directory, especialmente actividad DCSync vinculada al robo de credenciales. Te ayuda a convertir eventos ruidosos de Windows Security, permisos de replicación e inventario de controladores de dominio en una búsqueda enfocada sobre cuentas que no son DC y que solicitan replicación del directorio.

Quién debería instalarla

Esta skill detecting-dcsync-attack-in-active-directory es ideal para analistas SOC, responders de incidentes y defensores de AD que ya recopilan logs de Security de los controladores de dominio y necesitan un flujo de trabajo práctico, no solo una idea de detección. También resulta útil para equipos que auditan permisos de replicación o validan si se usaron herramientas sospechosas como Mimikatz o Impacket secretsdump.

Qué la hace útil

El repo no se queda en la teoría: incluye plantillas de hunting, referencias de GUID de replicación, consultas de detección y scripts para analizar eventos. Eso hace que la skill sea especialmente valiosa cuando necesitas pasar de “sospechamos de DCSync” a “podemos confirmarlo, clasificarlo y documentarlo” con evidencia de 4662 y otras señales de acceso de AD relacionadas.

Cómo usar la skill detecting-dcsync-attack-in-active-directory

Instálala y confirma el alcance

Instálala con:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-dcsync-attack-in-active-directory

Antes de usarla, verifica que tu entorno cumple las suposiciones de la skill: que los logs de Security de los controladores de dominio se reenvían, que está habilitada la auditoría de Directory Service Access y que sabes qué cuentas están autorizadas legítimamente para replicar. Si faltan esas bases, la instalación de detecting-dcsync-attack-in-active-directory no dará resultados fiables.

Empieza por los archivos que importan

Lee primero SKILL.md y después revisa references/workflows.md, references/api-reference.md, references/standards.md y assets/template.md. Esos archivos te muestran la secuencia real de hunting, los GUID que debes buscar, los event IDs que debes correlacionar y el formato de informe que conviene usar. Si quieres la ruta más práctica de uso de detecting-dcsync-attack-in-active-directory, esos cuatro archivos importan más que un vistazo general al repo.

Convierte un objetivo vago en un prompt útil

Usa la skill cuando tu solicitud incluya el contexto del hunting, no solo “detect DCSync”. Un prompt más sólido sería: “Use detecting-dcsync-attack-in-active-directory para revisar estos eventos 4662 de dos DC, excluyendo las cuentas de máquina conocidas de los DC y Azure AD Connect, y devuélveme los abusos probables con campos de soporte, notas de falsos positivos y próximos pasos de triage.” Eso le da a la skill una entrada que realmente puede operacionalizar.

Cómo cambia la calidad de la entrada el resultado

Aporta al menos tres cosas: una lista de controladores de dominio conocidos, una lista de cuentas de replicación legítimas y datos de ejemplo de eventos o exportaciones de logs. Si además incluyes tu plataforma SIEM, puedes adaptar los patrones del repo para Splunk o KQL en lugar de forzar una respuesta genérica. En detecting-dcsync-attack-in-active-directory para Threat Hunting, la mejora real viene de exclusiones específicas del entorno y de campos exactos del evento.

Preguntas frecuentes sobre la skill detecting-dcsync-attack-in-active-directory

¿Sirve solo para incidentes confirmados?

No. Es útil tanto para respuesta activa a incidentes como para hunting de línea base. Si estás comprobando si se abusó de permisos de replicación, o si una nueva cuenta de servicio obtuvo silenciosamente esos derechos, esta skill encaja bien.

¿Necesito un SIEM para usarla?

No, pero un SIEM ayuda. El repo ofrece hunting sobre logs de eventos con ejemplos para Splunk y Microsoft Sentinel, y también incluye scripts para analizar exportaciones de eventos de Windows. Si solo tienes EVTX o CSV en bruto, aun así puedes usar la guía de detecting-dcsync-attack-in-active-directory para estructurar la búsqueda.

¿En qué se diferencia de un prompt genérico?

Un prompt genérico puede describir DCSync en términos amplios, pero esta skill aporta anclas de detección concretas: Event ID 4662, GUID de replicación, requisitos de SACL, nombres conocidos de permisos y una plantilla de hunting. Eso reduce la improvisación y hace que la salida sea más fácil de validar contra telemetría real de AD.

¿Es apta para principiantes?

Sí, si ya conoces lo básico del logging de AD. Es menos adecuada si no tienes acceso a eventos de auditoría de los DC o no sabes qué cuentas deberían replicar. En ese caso, el principal bloqueo es la preparación de datos, no la skill en sí.

Cómo mejorar la skill detecting-dcsync-attack-in-active-directory

Entrégale las exclusiones correctas

La mayor mejora de calidad llega cuando proporcionas desde el inicio los principales actores de replicación legítima: controladores de dominio, cuentas de sincronización de Azure AD Connect, cuentas de backup o de herramientas de identidad y cualquier servicio administrativo delegado. Sin esas exclusiones, la skill detecting-dcsync-attack-in-active-directory puede marcar como sospechosa una replicación legítima.

Dale campos de evento, no solo resúmenes

Si quieres un triage mejor, incluye campos en bruto o normalizados como SubjectUserName, SubjectDomainName, Computer, ObjectName y Properties. La lógica de detección del repo depende de GUID de replicación, así que los resúmenes de evento son menos útiles que los registros completos. Esto importa sobre todo cuando usas detecting-dcsync-attack-in-active-directory en un informe real de hunting.

Itera de la detección a la validación

Después de la primera pasada, pide una de estas tres refinaciones: “muestra los falsos positivos probables”, “ordena los hallazgos por nivel de confianza” o “mapea cada alerta a una acción de respuesta”. Eso te ayuda a pasar de detectar a decidir. Para detecting-dcsync-attack-in-active-directory for Threat Hunting, el mejor bucle de iteración es: detectar, comparar con los derechos de replicación autorizados y luego confirmar si el origen es un DC o una estación de trabajo rogue.

Vigila los modos de fallo más comunes

El error más común es tratar cualquier evento 4662 como DCSync. Otro es olvidar que la replicación legítima puede venir de infraestructura de identidad híbrida o de cuentas de servicio delegadas. Por eso, una buena guía de detecting-dcsync-attack-in-active-directory debería pedir primero el inventario del entorno, después aplicar los filtros basados en GUID y, por último, revisar el contexto de privilegios antes de concluir que hay abuso.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-lateral-movement-with-zeek

por mukul975

detecting-lateral-movement-with-zeek es una habilidad de ciberseguridad basada en Zeek para threat hunting y respuesta a incidentes. Ayuda a detectar acceso a recursos compartidos de administración SMB, creación de servicios DCE/RPC, spray de NTLM, anomalías de Kerberos y transferencias internas sospechosas usando logs de Zeek como conn.log, smb_mapping.log, smb_files.log, dce_rpc.log, ntlm.log y kerberos.log.

Threat Hunting

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-t1003-credential-dumping-with-edr

por mukul975

Skill detecting-t1003-credential-dumping-with-edr para threat hunting con EDR, Sysmon y correlación de eventos de Windows para detectar volcado de credenciales de LSASS, SAM, NTDS.dit, secretos de LSA y credenciales en caché. Úsalo para validar alertas, acotar incidentes y reducir falsos positivos con una guía práctica de trabajo.

Threat Hunting

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

Threat Hunting

Favoritos 0GitHub 0

analyzing-cobaltstrike-malleable-c2-profiles

por mukul975

analyzing-cobaltstrike-malleable-c2-profiles ayuda a analizar perfiles Cobalt Strike Malleable C2 y convertirlos en indicadores de C2, rasgos de evasión e ideas de detección para flujos de trabajo de análisis de malware, threat hunting y auditoría de seguridad. Usa dissect.cobaltstrike y pyMalleableC2 para analizar perfiles y configuraciones de beacon.

Security Audit

Favoritos 0GitHub 6.2k

detecting-rdp-brute-force-attacks

por mukul975

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

Penetration Testing

Favoritos 0GitHub 6.2k