detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaThreat Hunting

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-privilege-escalation-attempts

Puntuación editorial

Esta skill obtiene 84/100 y es una ficha sólida del directorio: ofrece un propósito de detección claro, un flujo de hunting concreto y scripts y referencias utilizables, por lo que se puede instalar con buena confianza. Aun así, conviene tener en cuenta que es más un paquete guiado de hunting/detección que una skill llave en mano de un solo comando, aunque aporta valor operativo real más allá de un prompt genérico.

84/100

Puntos fuertes

Trigger y alcance claros para hunting de escalada de privilegios en Windows y Linux, con orientación sobre cuándo usarla y requisitos en SKILL.md
Buen soporte operativo: referencia de flujo de trabajo, mapeo a estándares, referencia de API y dos scripts que muestran lógica de detección ejecutable y uso por CLI
Buen valor para decidir la instalación gracias a la cobertura concreta de técnicas y al mapeo de telemetría, incluidos IDs de ATT&CK, event IDs y consultas SPL/KQL de ejemplo

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que su adopción requiere integración manual y no una ruta de instalación simple y empaquetada
Algunas secciones del flujo de trabajo aparecen truncadas en la vista previa del repositorio, por lo que quizá haya que revisar los archivos completos para confirmar su alcance y encaje

Mitre Attack Privilege Escalation Windows Security Sysmon Splunk Microsoft Defender Linux Detection Engineering

Resumen

Descripción general de la habilidad de detectar intentos de escalada de privilegios

Qué hace esta habilidad

La habilidad detecting-privilege-escalation-attempts ayuda a buscar actividad de escalada de privilegios en Windows y Linux, incluida la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits de kernel y abuso de sudo/doas. Es especialmente útil para equipos de threat hunting que necesitan un punto de partida práctico, no solo una página teórica.

Quién debería instalarla

Instala la detecting-privilege-escalation-attempts skill si trabajas en SIEM, EDR, IR u operaciones de purple team y necesitas una forma repetible de convertir telemetría sospechosa en una caza. Encaja con analistas que ya tienen logs de procesos y de seguridad y quieren mejor estructura de consultas, mapeo de técnicas y señales de triaje.

Por qué es diferente

Esto no es solo un prompt genérico sobre escalada. La habilidad incluye estructura de hunting, cobertura de técnicas alineada con ATT&CK, consultas de referencia y scripts auxiliares, lo que hace más fácil decidir por detecting-privilege-escalation-attempts install para equipos que buscan algo operativo. Destaca especialmente cuando necesitas un flujo guiado para detecting-privilege-escalation-attempts for Threat Hunting.

Cómo usar la habilidad detecting-privilege-escalation-attempts

Instala e inspecciona primero los archivos correctos

Usa la ruta del repositorio skills/detecting-privilege-escalation-attempts y empieza leyendo SKILL.md, assets/template.md, references/standards.md y references/workflows.md. Después revisa references/api-reference.md para detecciones concretas y scripts/agent.py o scripts/process.py si quieres automatizar el análisis de logs.

Convierte una idea vaga en un prompt útil

Un prompt flojo dice: “Encuentra escalada de privilegios.” Un prompt más sólido dice: “Busca intentos de bypass de UAC y modificación de servicios en los logs de Windows Security y Sysmon de los últimos 7 días; céntrate en fodhelper.exe, eventvwr.exe, sc config binpath=, y actividad inusual de 4672; devuelve hosts, usuarios, marcas temporales y posibles falsos positivos.” Ese tipo de entrada mejora el detecting-privilege-escalation-attempts usage porque le indica a la habilidad qué telemetría, rango temporal y familia de técnicas importan.

Mejor flujo de trabajo para la primera ejecución

Usa la plantilla de hunting como estructura de salida: define hipótesis, técnicas objetivo, fuentes de datos, consultas, hallazgos y notas de IOC. Para detecting-privilege-escalation-attempts usage, dale a la habilidad un entorno cada vez—Windows o Linux, luego la fuente de logs, luego la técnica—para que los resultados sigan siendo específicos y no amplios ni ruidosos.

Encaje práctico y limitaciones

La habilidad funciona mejor cuando tienes Sysmon, logs de Windows Security, telemetría de EDR o visibilidad de shell/procesos en Linux. Es menos útil si solo cuentas con logs de auditoría escasos, no capturas la línea de comandos o no tienes una línea base del comportamiento normal de administración, porque las señales de escalada de privilegios suelen depender del contexto.

Preguntas frecuentes sobre la habilidad detecting-privilege-escalation-attempts

¿Es mejor que un prompt normal?

Sí, cuando quieres una estructura repetible de threat hunting. Un prompt normal puede producir ideas aisladas; la detecting-privilege-escalation-attempts skill te da un camino más claro desde la hipótesis hasta la consulta y los hallazgos, algo importante para investigaciones consistentes.

¿Sirve para principiantes?

Es bastante amigable para principiantes si ya entiendes qué logs recoge tu stack. La principal curva de aprendizaje no es la habilidad en sí, sino saber si tu fuente de datos puede soportar la búsqueda. Si no puedes nombrar tu EDR, SIEM o IDs de evento, el resultado será genérico.

¿Cuándo no debería usarla?

No uses detecting-privilege-escalation-attempts for Threat Hunting como sustituto del hardening de endpoints, el triaje forense o la validación de exploits. Si el incidente ya está confirmado y necesitas pasos de contención, una habilidad centrada en respuesta encaja mejor.

¿Qué la convierte en una buena decisión de instalación?

El repositorio incluye plantillas de hunting, mapeos de referencia y scripts, así que es más accionable que una simple lista de comprobación en markdown. Eso hace que detecting-privilege-escalation-attempts install valga la pena cuando tu equipo quiere material reutilizable para hunting en lugar de una respuesta puntual.

Cómo mejorar la habilidad detecting-privilege-escalation-attempts

Da contexto más preciso desde el inicio

La mejora de calidad más grande viene de especificar plataforma, fuente de logs y familia de técnicas. Por ejemplo: “Windows, Sysmon + Security logs, últimas 72 horas, busca manipulación de tokens y bypass de UAC.” Eso es más sólido que “busca escalada”, porque acota el espacio de búsqueda y reduce los falsos positivos.

Incluye indicadores concretos y exclusiones

Si ya conoces herramientas de administración probables, nombres de servicios o scripts autorizados, inclúyelos. Por ejemplo: “Excluir ventanas de mantenimiento de SCCM, uso aprobado de sudo -l por ops y lanzamientos conocidos de eventvwr.exe por parte del equipo de despliegue de software.” Esto mejora el detecting-privilege-escalation-attempts usage al ayudar a que la salida separe el comportamiento benigno de administración del abuso.

Pide una salida que permita actuar

Solicita hosts, usuarios, marcas temporales, IDs de evento, líneas de comando y un veredicto breve para cada coincidencia. Si la primera respuesta es demasiado amplia, itera pidiendo solo una técnica a la vez y luego compara los resultados con references/standards.md y la plantilla de hunting para afinar la siguiente pasada.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

Threat Hunting

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

Digital Forensics

Favoritos 0GitHub 6.2k

detecting-network-anomalies-with-zeek

por mukul975

La skill de detectar anomalías de red con Zeek ayuda a desplegar Zeek para la monitorización pasiva de redes, revisar logs estructurados y crear detecciones personalizadas para beaconing, DNS tunneling y actividad inusual de protocolos. Está pensada para threat hunting, respuesta a incidentes, metadatos de red listos para SIEM y flujos de trabajo de auditoría de seguridad; no para prevención en línea.

Security Audit

Favoritos 0GitHub 6.1k