Active Directory

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

La skill configuring-active-directory-tiered-model ayuda a diseñar y auditar la separación por niveles de Active Directory al estilo Microsoft ESAE. Usa esta guía de configuring-active-directory-tiered-model para revisar el acceso a los niveles 0/1/2, las PAW, los límites de administración, la exposición de credenciales y los hallazgos de auditoría de seguridad con un contexto de implementación más claro.

La skill exploiting-nopac-cve-2021-42278-42287 es una guía práctica para evaluar la cadena noPac (CVE-2021-42278 y CVE-2021-42287) en Active Directory. Ayuda a los equipos rojos autorizados y a los usuarios de Security Audit a comprobar requisitos previos, revisar archivos de flujo de trabajo y documentar la explotabilidad con menos suposiciones.

La skill de abuso de delegación restringida guía pruebas autorizadas en Active Directory sobre el abuso de la delegación restringida de Kerberos. Cubre el reconocimiento, las solicitudes de tickets S4U2self y S4U2proxy, y rutas prácticas para movimiento lateral o escalada de privilegios. Úsala cuando necesites una guía repetible para pruebas de penetración, no una visión general genérica de Kerberos.

detecting-pass-the-ticket-attacks ayuda a detectar actividad Kerberos Pass-the-Ticket correlando los Event IDs de Windows Security 4768, 4769 y 4771. Úsala para threat hunting en Splunk o Elastic y detectar reutilización de tickets, degradaciones a RC4 y volúmenes inusuales de TGS con consultas prácticas y guía de campos.

La skill detectando-kerberoasting-attacks ayuda a cazar Kerberoasting al identificar solicitudes Kerberos TGS sospechosas, cifrado débil de tickets y patrones de cuentas de servicio. Úsala para SIEM, EDR, EVTX y flujos de trabajo de Threat Modeling con plantillas de detección prácticas y orientación para ajustar reglas.

detecting-golden-ticket-forgery detecta la falsificación de Kerberos Golden Ticket mediante el análisis del Event ID 4769 de Windows, el uso de degradación a RC4 (0x17), duraciones anómalas de los tickets y anomalías de krbtgt en Splunk y Elastic. Está pensado para auditorías de seguridad, investigación de incidentes y threat hunting, con orientación práctica para la detección.

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

deploying-active-directory-honeytokens ayuda a los defensores a planificar y generar honeytokens de Active Directory para trabajos de auditoría de seguridad, incluidos cuentas privilegiadas falsas, SPN falsos para detectar Kerberoasting, trampas de GPO señuelo y rutas engañosas en BloodHound. Combina una guía orientada a la instalación con scripts y señales de telemetría para facilitar una implementación y revisión prácticas.

containing-active-breach es una skill de respuesta a incidentes para contener una brecha activa en tiempo real. Ayuda a aislar hosts, bloquear tráfico sospechoso, deshabilitar cuentas comprometidas y frenar el movimiento lateral mediante una guía estructurada de containing-active-breach con referencias prácticas a APIs y scripts.

configuring-ldap-security-hardening ayuda a ingenieros de seguridad y auditores a evaluar riesgos de LDAP, incluido el bind anónimo, la firma débil, la ausencia de LDAPS y las brechas en channel binding. Usa esta guía de configuring-ldap-security-hardening para revisar la documentación de referencia, ejecutar el asistente de auditoría en Python y generar remediaciones prácticas para un Security Audit.

Guía de conducting-domain-persistence-with-dcsync para trabajos autorizados de auditoría de seguridad en Active Directory. Aprende notas de instalación, uso y flujo de trabajo para evaluar permisos de DCSync, exposición de KRBTGT, riesgo de Golden Ticket y pasos de remediación con los scripts, referencias y plantilla de informe incluidos.

building-identity-governance-lifecycle-process ayuda a diseñar el gobierno de identidades y la gestión del ciclo de vida para la automatización de joiners, movers y leavers, revisiones de acceso, aprovisionamiento basado en roles y limpieza de cuentas huérfanas. Encaja con programas de Access Control que operan entre sistemas y necesitan orientación práctica sobre flujos de trabajo, no un borrador genérico de políticas.

La skill de auditoría de configuración de Azure Active Directory ayuda a revisar la seguridad de inquilinos de Microsoft Entra ID en busca de ajustes de autenticación riesgosos, exceso de roles de administrador, cuentas inactivas, lagunas en Conditional Access, exposición de invitados y cobertura de MFA. Está pensada para flujos de trabajo de Security Audit, con evidencia basada en Graph y orientación práctica.

La skill de análisis de logs de Windows en Splunk ayuda a analistas SOC a investigar logs de Security, System y Sysmon en Splunk para detectar ataques de autenticación, escalada de privilegios, persistencia y movimiento lateral. Úsala para triage de incidentes, ingeniería de detecciones y análisis de líneas de tiempo con patrones SPL mapeados y guía de Event ID.

analyzing-active-directory-acl-abuse ayuda a auditores de seguridad y a equipos de respuesta a incidentes a inspeccionar datos de nTSecurityDescriptor de Active Directory con ldap3 para detectar rutas de abuso como GenericAll, WriteDACL y WriteOwner en usuarios, grupos, equipos y OUs.