detecting-kerberoasting-attacks

por mukul975

La skill detectando-kerberoasting-attacks ayuda a cazar Kerberoasting al identificar solicitudes Kerberos TGS sospechosas, cifrado débil de tickets y patrones de cuentas de servicio. Úsala para SIEM, EDR, EVTX y flujos de trabajo de Threat Modeling con plantillas de detección prácticas y orientación para ajustar reglas.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaThreat Modeling

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-kerberoasting-attacks

Puntuación editorial

Esta skill obtiene 78/100, lo que la convierte en una candidata sólida para usuarios del directorio que buscan un flujo de detección de Kerberoasting enfocado. El repositorio aporta lógica de detección concreta, guía sobre fuentes de datos y artefactos reutilizables para la caza, suficientes para justificar la instalación, aunque conviene esperar cierta adaptación al entorno de SIEM/EDR.

78/100

Puntos fuertes

Caso de uso y disparador específicos: caza proactiva de Kerberoasting mediante monitoreo de Event 4769/TGS y mapeo a ATT&CK T1558.003.
El soporte operativo es real, con una sección de flujo de trabajo, ejemplos en Splunk SPL y KQL, y un script de parseo de EVTX para analizar Event 4769.
Buenos materiales de apoyo y plantillas: estándares, flujos de trabajo, ejemplos de API y una plantilla de hunting reducen la incertidumbre para un agente.

Puntos a tener en cuenta

El extracto principal de SKILL.md es algo amplio y el flujo de trabajo está repartido entre varias referencias, así que quizá el usuario tenga que revisar varios archivos para aplicarlo bien.
No se proporciona un comando de instalación ni un punto de entrada empaquetado, por lo que la adopción depende de que el usuario conecte por su cuenta los scripts y las fuentes de logs.

Kerberos Threat Hunting Mitre Attack Active Directory Siem Splunk Kql

Resumen

Descripción general de la skill detecting-kerberoasting-attacks

Qué hace esta skill

La skill detecting-kerberoasting-attacks te ayuda a buscar Kerberoasting detectando actividad sospechosa de Kerberos TGS, cifrado débil de tickets y patrones relacionados con cuentas de servicio. Es ideal para defensores que necesitan una forma práctica de detectar actividad T1558.003 en flujos de trabajo basados en SIEM, EDR o EVTX.

Quién debería usarla

Usa la skill detecting-kerberoasting-attacks si eres threat hunter, analista de SOC, incident responder o miembro de un purple team validando si tus registros pueden sacar a la luz Kerberoasting. Resulta especialmente útil cuando ya dispones de telemetría de seguridad de Windows y quieres un flujo de hunting concreto en lugar de un prompt genérico de ATT&CK.

Por qué merece la pena instalarla

El valor principal está en el flujo de detección: el repositorio incluye plantillas de hunting, referencias de campos de eventos y consultas de ejemplo que reducen las suposiciones. Eso hace que detecting-kerberoasting-attacks para Threat Modeling y detection engineering sea mucho más accionable que empezar desde un prompt vacío, sobre todo si necesitas mapear entradas a Event ID 4769 y a puntos de correlación relacionados.

Cómo usar la skill detecting-kerberoasting-attacks

Instala y abre primero los archivos correctos

Instala con npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-kerberoasting-attacks. Después de instalarla, lee primero SKILL.md, luego references/workflows.md, references/api-reference.md y assets/template.md. Si quieres ver detalles de implementación, revisa scripts/agent.py y scripts/process.py para entender qué campos y patrones espera la skill.

Convierte una búsqueda vaga en un prompt útil

Para sacar buen partido a detecting-kerberoasting-attacks, dale desde el principio el entorno, la fuente de datos y el objetivo de la búsqueda. Por ejemplo: “Busca Kerberoasting en Microsoft Sentinel usando Windows Security Event 4769, céntrate en tickets RC4, excluye cuentas de máquina y devuelve una consulta breve de triaje junto con notas sobre falsos positivos”. Eso es mucho mejor que “detect Kerberoasting”, porque indica qué telemetría tienes y qué salida quieres.

Qué calidad de entrada importa más

La skill funciona mejor cuando proporcionas:

Plataforma y formato de logs: Splunk, Sentinel, Elastic, EVTX, CSV o JSON
IDs de evento relevantes: especialmente 4769 y cualquier evento de logon correlacionado
Excepciones del entorno: cuentas de servicio, nomenclatura de cuentas de máquina, herramientas de administración conocidas
Ventana temporal y umbrales preferidos: por ejemplo, 5 minutos, 10 SPN o solo RC4
Salida deseada: consulta, plan de hunting, checklist de investigación o resumen de triaje

Flujo práctico para obtener mejores resultados

Empieza pidiéndole a la skill que identifique la lógica de detección, luego solicita una consulta ajustada a tu plataforma y después pide orientación de tuning. Si ya tienes un evento de muestra, inclúyelo. En decisiones de instalación de detecting-kerberoasting-attacks, el repositorio rinde más cuando lo usas como plantilla de hunting y referencia de detección, no como un detector de un solo clic.

Preguntas frecuentes sobre la skill detecting-kerberoasting-attacks

¿Es solo para Kerberoasting?

Sí, la skill detecting-kerberoasting-attacks está centrada de forma muy específica en Kerberoasting y en patrones de abuso de Kerberos estrechamente relacionados. No es una skill general de robo de credenciales ni de seguridad de AD, así que úsala cuando T1558.003 sea la pregunta real que necesitas responder.

¿Necesito un SIEM para usarla?

No, pero sí necesitas telemetría útil de Windows. La skill es más eficaz con registros de seguridad de Windows, Sysmon o datos EVTX exportados. Si solo tienes alertas de alto nivel y no detalle de eventos, la salida será mucho menos específica.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele devolver consejos genéricos. Esta skill te da una estructura repetible de hunting, formas de consulta de ejemplo y el contexto a nivel de campo necesario para trabajar en detección. Eso la hace más útil para el uso de detecting-kerberoasting-attacks en entornos operativos donde importan los falsos positivos y la cobertura de logs.

¿Es apta para principiantes?

Sí, si ya conoces conceptos básicos de logging en Windows. Si eres nuevo en Kerberos, espera dedicar algo de tiempo a entender Event 4769, los tipos de cifrado de tickets y el comportamiento de las cuentas de servicio. La skill encaja mejor cuando buscas una ejecución guiada, no un curso completo de Kerberos.

Cómo mejorar la skill detecting-kerberoasting-attacks

Aporta contexto concreto de los logs

La mejora más grande llega cuando le das a la skill detalles reales de la telemetría: campos de muestra de 4769, el esquema de tu SIEM y cualquier exclusión que ya uses. Si puedes pegar uno o dos eventos representativos, la skill detecting-kerberoasting-attacks puede generar consultas más precisas y gestionar mejor los falsos positivos.

Pide ajustes específicos para tu entorno

Las detecciones de Kerberoasting se rompen cuando la skill se ve obligada a quedarse en lo genérico. Indica si tu dominio sigue usando RC4, qué cuentas de servicio generan ruido y si quieres umbrales de hunting estrictos o amplios. Para detecting-kerberoasting-attacks para Threat Modeling, especifica también qué sistemas de negocio y qué clases de cuentas serían más relevantes si se abusara de ellas.

Vigila los modos de fallo más comunes

Los errores más habituales son alertar de más por tráfico legítimo de servicio, ignorar filtros de cuentas de máquina y tratar cada evento 0x17 como malicioso. Mejora la salida pidiendo exclusiones, ideas de correlación y pasos de validación. Si tu primer resultado es demasiado amplio, pide a la skill que se estreche sobre SPN únicos, agrupación por IP de origen o una ventana temporal más corta.

Itera con evidencia, no solo con opiniones

Después de la primera salida, devuelve lo que arrojó tu consulta: volumen de eventos, falsos positivos y cualquier cuenta u host sospechoso. Luego pide un umbral revisado, una consulta de triaje de segunda pasada o una plantilla de hunting usando assets/template.md del repositorio. Ese ciclo suele importar más que reescribir el prompt original.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k

evaluating-threat-intelligence-platforms

por mukul975

evaluating-threat-intelligence-platforms te ayuda a comparar productos TIP por ingesta de feeds, compatibilidad con STIX/TAXII, automatización, flujo de trabajo de analistas, integraciones y coste total de propiedad. Usa esta guía de evaluating-threat-intelligence-platforms para compras, migraciones o planificación de madurez, incluida la evaluación de evaluating-threat-intelligence-platforms para Threat Modeling cuando la elección de plataforma afecta a la trazabilidad y al intercambio de evidencias.

Threat Modeling

Favoritos 0GitHub 0

detecting-insider-threat-behaviors

por mukul975

detecting-insider-threat-behaviors ayuda a los analistas a buscar señales de riesgo interno como acceso inusual a datos, actividad fuera de horario, descargas masivas, abuso de privilegios y robo asociado a una renuncia. Usa esta guía de detecting-insider-threat-behaviors para threat hunting, triaje al estilo UEBA y modelado de amenazas, con plantillas de flujo de trabajo, ejemplos de consultas SIEM y pesos de riesgo.

Threat Modeling

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

Security Audit

Favoritos 0GitHub 0

collecting-threat-intelligence-with-misp

por mukul975

La skill collecting-threat-intelligence-with-misp te ayuda a recopilar, normalizar, buscar y exportar inteligencia de amenazas en MISP. Usa esta guía de collecting-threat-intelligence-with-misp para feeds, flujos de trabajo con PyMISP, filtrado de eventos, reducción de warninglists y uso práctico de collecting-threat-intelligence-with-misp para Threat Modeling y operaciones de CTI.

Threat Modeling

Favoritos 0GitHub 0

analyzing-threat-intelligence-feeds

por mukul975

analyzing-threat-intelligence-feeds te ayuda a ingerir feeds de CTI, normalizar indicadores, evaluar la calidad de los feeds y enriquecer IOCs para flujos de trabajo STIX 2.1. Esta skill de analyzing-threat-intelligence-feeds está pensada para operaciones de inteligencia de amenazas y análisis de datos, con orientación práctica para TAXII, MISP y feeds comerciales.

Data Analysis

Favoritos 0GitHub 0

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-email-forwarding-rules-attack

por mukul975

La skill de detección de ataques por reglas de reenvío de correo ayuda a los equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a encontrar reglas maliciosas de reenvío en buzones usadas para persistencia y recolección de correos. Guía a los analistas a través de evidencias de Microsoft 365 y Exchange, patrones sospechosos de reglas y una triage práctica para comportamientos de reenvío, redirección, eliminación y ocultación.

Security Audit

Favoritos 0GitHub 0

analyzing-ios-app-security-with-objection

por mukul975

La skill analyzing-ios-app-security-with-objection ayuda a testers autorizados a ejecutar comprobaciones de seguridad en tiempo de ejecución de apps iOS con Objection y Frida. Úsala para revisar la exposición del llavero, el almacenamiento en el sistema de archivos, las cookies, el SSL pinning, la detección de jailbreak y otras defensas del lado del cliente durante una auditoría de seguridad. Incluye guía de flujo de trabajo, pasos de instalación y notas prácticas de uso.

Security Audit

Favoritos 0GitHub 0

analyzing-heap-spray-exploitation

por mukul975

analyzing-heap-spray-exploitation ayuda a analizar la explotación por heap spray en volcados de memoria con Volatility3. Identifica patrones de NOP sled, asignaciones grandes sospechosas, zonas de aterrizaje de shellcode y evidencias de VAD de procesos para auditorías de seguridad, triaje de malware y validación de exploits.

Security Audit

Favoritos 0GitHub 0

detecting-supply-chain-attacks-in-ci-cd

por mukul975

Skill de detección de ataques a la cadena de suministro en CI/CD para auditar GitHub Actions y configuraciones de CI/CD. Ayuda a detectar acciones sin fijar versión, inyección de scripts, confusión de dependencias, exposición de secretos y permisos riesgosos en flujos de trabajo de auditoría de seguridad. Úsalo para revisar un repositorio, un archivo de workflow o un cambio sospechoso en un pipeline con hallazgos y correcciones claras.

Security Audit

Favoritos 0GitHub 0

detecting-api-enumeration-attacks

por mukul975

detecting-api-enumeration-attacks ayuda a equipos de auditoría de seguridad a detectar sondeos de API, BOLA e IDOR mediante el análisis de IDs secuenciales, ráfagas de 404, fallos de autorización y rutas de descubrimiento de documentación. Está pensada para orientar la detección basada en logs, redactar reglas y revisar de forma práctica patrones de abuso de API.

Security Audit

Favoritos 0GitHub 0