detecting-t1003-credential-dumping-with-edr

por mukul975

Skill detecting-t1003-credential-dumping-with-edr para threat hunting con EDR, Sysmon y correlación de eventos de Windows para detectar volcado de credenciales de LSASS, SAM, NTDS.dit, secretos de LSA y credenciales en caché. Úsalo para validar alertas, acotar incidentes y reducir falsos positivos con una guía práctica de trabajo.

Estrellas0

Favoritos0

Comentarios0

Agregado12 may 2026

CategoríaThreat Hunting

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-t1003-credential-dumping-with-edr

Puntuación editorial

Este skill obtiene 82/100, lo que lo convierte en un candidato sólido para usuarios del directorio. Ofrece un flujo de trabajo concreto, orientado a seguridad, para detectar T1003 y volcado de credenciales con evidencia de EDR/Sysmon, de modo que los agentes puedan activarlo y usarlo con menos ambigüedad que un prompt genérico, aunque está más enfocado al hunting que a una experiencia totalmente llave en mano.

82/100

Puntos fuertes

Trigger y alcance específicos para hunts de volcado de credenciales en LSASS, SAM, NTDS.dit y credenciales en caché.
Sólida estructura operativa: requisitos previos, flujo por fases y ejemplos de detección para Sysmon, registros de Seguridad de Windows y consultas de EDR.
Material de apoyo útil, con dos scripts, referencias y una plantilla de hunt reutilizable que facilitan el trabajo del agente.

Puntos a tener en cuenta

No hay un comando de instalación en SKILL.md, así que los usuarios pueden tener que deducir el flujo de configuración y ejecución.
Parte de la evidencia del repositorio está más centrada en contenido de hunting que en ejecución por agentes, por lo que la adopción puede seguir requiriendo ajustes por parte del analista para cada EDR/SIEM.

Credential Access Edr Sysmon Credential Theft Mimikatz Windows Artifacts Blue Team Credential Dumping

Resumen

Resumen del skill detecting-t1003-credential-dumping-with-edr

Qué hace este skill

El skill detecting-t1003-credential-dumping-with-edr ayuda a los threat hunters a detectar credential dumping T1003 correlacionando telemetría de EDR, acceso a procesos de Sysmon y eventos de seguridad de Windows. Está pensado para analistas que necesitan determinar si se apuntó a LSASS, SAM, NTDS.dit, secretos de LSA o credenciales en caché, no solo si saltó una alerta aislada.

Quién debería usarlo

Usa el skill detecting-t1003-credential-dumping-with-edr si ya cuentas con datos de EDR, Sysmon o auditoría de Windows y quieres llegar más rápido de la sospecha a resultados de hunt validados. Encaja en incident responders, detection engineers y casos de uso de detecting-t1003-credential-dumping-with-edr for Threat Hunting donde el objetivo es delimitar el alcance, confirmar y validar controles.

Por qué es útil

El valor principal es la correlación práctica: el acceso sospechoso a LSASS, las herramientas conocidas de dumping y la actividad de registro o archivos se tratan como un solo problema de hunting. Eso lo hace más útil que un prompt genérico, porque te da un flujo de trabajo concreto, IDs de evento, access masks y filtros probables de falsos positivos para partir de ahí.

Cómo usar el skill detecting-t1003-credential-dumping-with-edr

Instala y abre los archivos correctos

Para detecting-t1003-credential-dumping-with-edr install, añade el skill desde el repo y luego lee primero SKILL.md; usa los archivos de apoyo como evidencia, no como adorno. Las rutas más útiles son assets/template.md para la estructura del informe, references/workflows.md para las fases del hunt, references/api-reference.md para detalles de eventos y consultas, y references/standards.md para contexto de access masks y controles.

Dale al skill una pregunta real de hunting

El detecting-t1003-credential-dumping-with-edr usage funciona mejor cuando aportas un objetivo acotado, una fuente de datos y un alcance de hosts. Un buen input sería: “Busca dumping de LSASS en endpoints Windows durante las últimas 24 horas usando Sysmon Event 10 y alertas de Defender for Endpoint; prioriza estaciones de trabajo de administradores y devuelve procesos fuente sospechosos, líneas de comando y access masks”. Un input débil como “busca malware” obliga a adivinar y hace perder la lógica específica del EDR.

Usa el flujo en el orden en que fue diseñado

Empieza por el acceso al proceso LSASS, luego revisa líneas de comando conocidas de credential dumping, después busca extracción de NTDS.dit o de hives del registro, y solo entonces amplía a movimiento lateral. Ese orden importa porque separa la evidencia directa de acceso a credenciales del impacto posterior, lo que reduce ruido y ayuda a decidir si escalar a incident response.

Ajusta las entradas de la consulta, no solo el prompt

Si tu telemetría es ruidosa, especifica la fuente del evento y los campos que realmente tienes. Por ejemplo, pide al skill que mapee Event ID 10 de Sysmon, 4688 de Windows o los campos de process lineage del EDR a la plantilla del hunt. Si solo tienes una fuente, dilo desde el principio; si tienes varias, pide reglas de correlación entre ellas para que la salida no se sobreajuste a un solo tipo de log.

Preguntas frecuentes sobre el skill detecting-t1003-credential-dumping-with-edr

¿Esto es solo para dumping de LSASS?

No. La guía detecting-t1003-credential-dumping-with-edr también cubre SAM, NTDS.dit, secretos de LSA, credenciales de dominio en caché e indicadores de DCSync. El acceso a LSASS es la señal más rápida, pero el skill es más amplio porque los atacantes reales suelen mezclar acceso a memoria con actividad sobre el registro y abuso de replicación de directorio.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede identificar conceptos de T1003, pero el skill te da una estructura de hunt repetible, referencias concretas de eventos y una plantilla para documentar hallazgos. Esa es la principal ventaja cuando necesitas que detecting-t1003-credential-dumping-with-edr usage produzca resultados accionables en vez de un resumen genérico.

¿Necesito un EDR específico?

No se requiere un EDR concreto, pero el skill es más fuerte cuando tu plataforma expone campos de process access, command line y evidencias de alertas. Encaja bien con stacks de EDR comunes más Sysmon y auditoría de Windows; si tu entorno no tiene visibilidad de LSASS o logging de creación de procesos, los resultados serán más débiles.

¿Cuándo no debería usarlo?

No lo uses cuando solo necesites una triage amplia de malware sin telemetría de acceso a credenciales en Windows, o cuando no puedas reunir suficiente contexto del host para distinguir herramientas administrativas legítimas de actividad de dumping. En esos casos, un prompt más acotado o un skill de detección distinto será más rápido.

Cómo mejorar el skill detecting-t1003-credential-dumping-with-edr

Dale mejores evidencias

Las mejores salidas vienen de entradas precisas: nombres de host, ventana temporal, proceso padre, línea de comandos, contexto de usuario, access mask y fuente de la alerta. Si puedes, incluye uno o dos ejemplos sospechosos como mimikatz sekurlsa::logonpasswords, procdump -ma lsass.exe o reg save hklm\sam, porque eso ancla el hunt en patrones conocidos sin obligar al skill a inventarlos.

Reduce antes los falsos positivos

Dile al skill qué procesos son esperables en tu entorno, sobre todo herramientas legítimas de seguridad, utilidades de administración y agentes de soporte que puedan tocar LSASS o generar ruido de acceso a procesos. Esto importa porque detecting-t1003-credential-dumping-with-edr funciona mejor cuando puede separar el comportamiento administrativo normal de access masks sospechosas y cadenas padre-hijo inusuales.

Itera de la detección al alcance

Después de la primera pasada, pide la siguiente decisión que necesitas: confirmar compromiso, encontrar hosts relacionados o extraer una línea de tiempo lista para informe. Un buen seguimiento sería: “Usando la misma telemetría, resume los sistemas probablemente comprometidos, la evidencia de cada uno y si la señal apunta a T1003.001, T1003.002 o T1003.003”. Eso convierte el skill de ayuda de búsqueda en un flujo de trabajo de investigación.

Usa la plantilla para estandarizar la salida

Mapea los hallazgos en assets/template.md para que cada hunt tenga los mismos campos de hipótesis, acceso a LSASS, detecciones de herramientas, impacto y respuesta. La estandarización mejora el detecting-t1003-credential-dumping-with-edr skill porque obliga a que la salida responda a las preguntas operativas: qué se accedió, cómo, en qué host y qué se debe restablecer o contener después.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-lateral-movement-with-zeek

por mukul975

detecting-lateral-movement-with-zeek es una habilidad de ciberseguridad basada en Zeek para threat hunting y respuesta a incidentes. Ayuda a detectar acceso a recursos compartidos de administración SMB, creación de servicios DCE/RPC, spray de NTLM, anomalías de Kerberos y transferencias internas sospechosas usando logs de Zeek como conn.log, smb_mapping.log, smb_files.log, dce_rpc.log, ntlm.log y kerberos.log.

Threat Hunting

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

Threat Hunting

Favoritos 0GitHub 0

analyzing-cobaltstrike-malleable-c2-profiles

por mukul975

analyzing-cobaltstrike-malleable-c2-profiles ayuda a analizar perfiles Cobalt Strike Malleable C2 y convertirlos en indicadores de C2, rasgos de evasión e ideas de detección para flujos de trabajo de análisis de malware, threat hunting y auditoría de seguridad. Usa dissect.cobaltstrike y pyMalleableC2 para analizar perfiles y configuraciones de beacon.

Security Audit

Favoritos 0GitHub 6.2k

detecting-rdp-brute-force-attacks

por mukul975

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k