detecting-pass-the-ticket-attacks

por mukul975

detecting-pass-the-ticket-attacks ayuda a detectar actividad Kerberos Pass-the-Ticket correlando los Event IDs de Windows Security 4768, 4769 y 4771. Úsala para threat hunting en Splunk o Elastic y detectar reutilización de tickets, degradaciones a RC4 y volúmenes inusuales de TGS con consultas prácticas y guía de campos.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaThreat Hunting

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-pass-the-ticket-attacks

Puntuación editorial

Esta skill obtiene una puntuación de 78/100, lo que la convierte en una opción sólida para usuarios del directorio que buscan un flujo de detección de Pass-the-Ticket específico, en lugar de un prompt genérico de ciberseguridad. El repositorio aporta contenido de detección bastante concreto —event IDs, consultas de ejemplo y un script de ejecución— que ayuda a evaluar la instalación, aunque aun así conviene esperar cierta adaptación al SIEM y al esquema de logs de cada entorno.

78/100

Puntos fuertes

Trigger y alcance específicos: `SKILL.md` se centra claramente en la detección de Kerberos Pass-the-Ticket usando los Event IDs de Windows 4768, 4769 y 4771 en Splunk y Elastic SIEM.
Aporte operativo: incluye ejemplos concretos de SPL y KQL para degradación a RC4, reutilización de tickets entre hosts y anomalías en el volumen de TGS.
Soporte para ejecución por agente: `scripts/agent.py` analiza XML exportado de eventos de Windows Security y se enfoca solo en los eventos Kerberos relevantes.

Puntos a tener en cuenta

La preparación para instalarse es algo limitada por la ausencia de un comando de instalación y por la documentación recortada, así que puede que los usuarios tengan que inferir el flujo completo a partir del repositorio.
La lógica de detección parece depender del entorno y asume XML exportado de eventos de Windows, además de nombres de campos específicos del SIEM, lo que puede requerir ajustes antes de usarla.

Kerberos Active Directory Splunk Elastic Ntlm Pass The Hash Windows Security

Resumen

Descripción general de la skill detecting-pass-the-ticket-attacks

Qué hace esta skill detecting-pass-the-ticket-attacks

La skill detecting-pass-the-ticket-attacks te ayuda a detectar actividad Pass-the-Ticket (PtT) de Kerberos correlacionando los eventos de Seguridad de Windows 4768, 4769 y 4771. Resulta más útil cuando necesitas lógica práctica de threat hunting, no una explicación genérica de Kerberos.

Quién debería instalarla

Esta skill encaja con analistas SOC, detection engineers y personal de respuesta a incidentes que trabajan en dominios Windows con Splunk o Elastic. Es especialmente relevante para detecting-pass-the-ticket-attacks for Threat Hunting cuando quieres consultas repetibles para reutilización de tickets, degradaciones a RC4 y comportamiento inusual de tickets de servicio.

Por qué es distinta

La skill se apoya en campos de eventos concretos y patrones de detección, no en teoría abstracta de ATT&CK. Su valor real está en convertir registros ruidosos de controladores de dominio en señales accionables que puedas operacionalizar en flujos de trabajo de SIEM.

Cómo usar la skill detecting-pass-the-ticket-attacks

Instala e inspecciona primero los archivos correctos

Usa el flujo detecting-pass-the-ticket-attacks install para tu plataforma y luego lee primero SKILL.md, seguido de references/api-reference.md y scripts/agent.py. Esos dos archivos de apoyo muestran los campos de evento, las formas de las consultas y la lógica de parsing que realmente hacen funcionar la skill.

Construye un prompt de entrada completo

Para un mejor detecting-pass-the-ticket-attacks usage, dale a la skill cuatro cosas: tu SIEM, tu fuente de logs, tu objetivo y tus restricciones. Un buen prompt sería: “Usa detecting-pass-the-ticket-attacks para cazar PtT en Splunk Security logs de controladores de dominio, enfocándote en degradaciones RC4 de 4769 y reutilización de tickets entre hosts, y devuelve una consulta lista para triage con notas de falsos positivos”.

Empieza por el patrón de detección, no por el dashboard

Esta skill funciona mejor cuando comienzas con una de las hipótesis admitidas: degradación de cifrado RC4, solicitudes TGS repetidas desde varias IP, o volumen anormal de 4769 por usuario. Luego adapta la salida a tus nombres de índice, mapeos de campos y umbrales de alerta en lugar de copiar literalmente los ejemplos del repositorio.

Usa el repositorio como guía de trabajo

Si quieres el recorrido más corto por el repo, sigue este orden: SKILL.md para delimitar el alcance, references/api-reference.md para nombres de campos y ejemplos de patrones en Splunk/KQL, y scripts/agent.py para ver cómo se normaliza la lógica de eventos. Esa secuencia te lleva más rápido de una idea preliminar a una lógica de hunting utilizable.

Preguntas frecuentes sobre la skill detecting-pass-the-ticket-attacks

¿Esto es solo para Splunk o Elastic?

No. Splunk y Elastic son los ejemplos principales, pero la lógica de detección subyacente se basa en eventos de Seguridad de Windows. Si tu SIEM puede consultar los campos de 4768, 4769 y 4771, puedes adaptar a él la skill detecting-pass-the-ticket-attacks.

¿Necesito antes conocimientos profundos de Kerberos?

No, pero sí conviene tener una familiaridad básica con los logs de autenticación de controladores de dominio. La skill es apta para principiantes en hunting guiado, aunque los resultados mejoran mucho si ya sabes dónde encontrar TargetUserName, IpAddress, ServiceName y TicketEncryptionType.

¿Cuándo no debería usar esta skill?

No la uses si solo necesitas cobertura amplia de robo de credenciales o si no cuentas con auditoría de controladores de dominio. detecting-pass-the-ticket-attacks es deliberadamente específica: sirve para investigación y detección orientadas a PtT, no para supervisión general de seguridad en Windows.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele darte una consulta puntual. La detecting-pass-the-ticket-attacks skill te ofrece una estructura reutilizable: qué evidencia importa, qué IDs de evento correlacionar y cómo convertir una idea de hunting en un flujo de detección.

Cómo mejorar la skill detecting-pass-the-ticket-attacks

Aporta más detalles de tu entorno

La mayor mejora de calidad llega cuando especificas tu entorno desde el principio: versión de Windows, fuente de logs de los DC, SIEM y nombres de campos conocidos. Si tus datos usan alias distintos, dilo antes de pedir la salida para que la skill pueda mapear correctamente IpAddress o TicketEncryptionType.

Pide una hipótesis a la vez

Un mejor detecting-pass-the-ticket-attacks usage sale de peticiones más enfocadas. Separa “detección de downgrade a RC4”, “reutilización entre hosts” y “anomalía de volumen de TGS” en ejecuciones individuales para que la salida incluya umbrales más ajustados, una guía de triage más clara y menos supuestos mezclados.

Da ejemplos de comportamiento esperado y anómalo

Si puedes, incluye un patrón de evento conocido como bueno y otro sospechoso de tus logs. Eso ayuda a afinar la lógica de detección y reduce falsos positivos, especialmente cuando cuentas de servicio legítimas o sistemas antiguos se parecen a indicadores de PtT.

Itera sobre los umbrales y la salida de triage

Después del primer resultado, ajusta según tu nivel de ruido: pide umbrales más bajos o más altos, una versión con explicaciones pensadas para analistas o una versión que diferencie detección de investigación. La mejor detecting-pass-the-ticket-attacks guide es la que termina con consultas que realmente puedes desplegar y ajustar.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

Threat Hunting

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

Digital Forensics

Favoritos 0GitHub 6.2k