detecting-kerberoasting-attacks

par mukul975

Le skill détecter les attaques Kerberoasting aide à traquer le Kerberoasting en repérant les requêtes Kerberos TGS suspectes, les chiffrages faibles des tickets et les schémas liés aux comptes de service. Utilisez-le pour des workflows SIEM, EDR et EVTX, ainsi que pour la détection des attaques Kerberoasting dans des workflows de Threat Modeling, avec des modèles de détection pratiques et des conseils d’ajustement.

Étoiles0

Favoris0

Commentaires0

Ajouté9 mai 2026

CatégorieThreat Modeling

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-kerberoasting-attacks

Score éditorial

Ce skill obtient un score de 78/100, ce qui en fait un candidat solide pour les utilisateurs du répertoire à la recherche d’un workflow ciblé de détection du Kerberoasting. Le dépôt fournit suffisamment de logique de détection concrète, d’orientation sur les sources de données et d’artefacts de chasse réutilisables pour justifier l’installation, même si les utilisateurs devront encore l’adapter à leur environnement SIEM/EDR.

78/100

Points forts

Cas d’usage et déclencheur très précis : chasse proactive au Kerberoasting via la surveillance de l’événement 4769/TGS et le mapping ATT&CK T1558.003.
Le support opérationnel est bien réel, avec une section workflow, des exemples Splunk SPL et KQL, ainsi qu’un script d’analyse EVTX pour l’examen de l’événement 4769.
Bon niveau de références et d’assets modèles : standards, workflows, exemples d’API et modèle de chasse réduisent les zones d’incertitude pour un agent.

Points de vigilance

L’extrait principal de SKILL.md reste assez large et le workflow est réparti entre plusieurs références ; un utilisateur devra donc probablement consulter plusieurs fichiers pour l’exécuter correctement.
Aucune commande d’installation ni point d’entrée packagé n’est fourni ; l’adoption dépend donc de la mise en place par l’utilisateur des scripts et des sources de logs.

Kerberos Threat Hunting Mitre Attack Active Directory Siem Splunk Kql

Vue d’ensemble

Présentation de la skill detecting-kerberoasting-attacks

Ce que fait cette skill

La skill detecting-kerberoasting-attacks vous aide à traquer le Kerberoasting en repérant les activités Kerberos TGS suspectes, les tickets chiffrés de façon faible et les schémas liés aux comptes de service. Elle est particulièrement adaptée aux équipes de défense qui ont besoin d’une méthode concrète pour détecter une activité T1558.003 dans des workflows SIEM, EDR ou basés sur des fichiers EVTX.

À qui elle s’adresse

Utilisez la skill detecting-kerberoasting-attacks si vous êtes threat hunter, analyste SOC, incident responder ou membre d’une purple team et que vous voulez vérifier si vos journaux permettent de faire ressortir le Kerberoasting. Elle est surtout utile si vous disposez déjà de télémétrie de sécurité Windows et que vous cherchez un workflow de chasse ciblé plutôt qu’une requête ATT&CK générique.

Pourquoi l’installer

Sa principale valeur vient du workflow de détection : le dépôt comprend des modèles de chasse, des références de champs d’événements et des exemples de requêtes qui réduisent les approximations. Pour la Threat Modeling et l’ingénierie de détection, detecting-kerberoasting-attacks est donc plus exploitable qu’un simple prompt vide, surtout si vous devez relier vos entrées à l’Event ID 4769 et à d’autres points de corrélation.

Comment utiliser la skill detecting-kerberoasting-attacks

Installer et ouvrir d’abord les bons fichiers

Installez-la avec npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-kerberoasting-attacks. Après l’installation, commencez par lire SKILL.md, puis references/workflows.md, references/api-reference.md et assets/template.md. Si vous voulez comprendre le fonctionnement concret, inspectez aussi scripts/agent.py et scripts/process.py pour voir quels champs et quels motifs la skill attend.

Transformer une demande vague en prompt exploitable

Pour bien utiliser detecting-kerberoasting-attacks, donnez d’emblée le contexte, la source de données et l’objectif de chasse. Par exemple : « Traque le Kerberoasting dans Microsoft Sentinel à partir de Windows Security Event 4769, concentre-toi sur les tickets RC4, exclue les comptes machine et renvoie une requête de triage courte avec les faux positifs possibles. » C’est bien mieux que « détecte le Kerberoasting », parce que la skill sait ainsi quelles télémétries sont disponibles et quelle sortie vous attendez.

Les informations d’entrée les plus importantes

La skill donne les meilleurs résultats lorsque vous fournissez :

Plateforme et format des journaux : Splunk, Sentinel, Elastic, EVTX, CSV ou JSON
Identifiants d’événements pertinents : surtout 4769 et les événements de connexion corrélés
Exceptions de l’environnement : comptes de service, nommage des comptes machine, outils d’administration connus
Fenêtre temporelle et seuils : par exemple 5 minutes, 10 SPN ou RC4 uniquement
Sortie souhaitée : requête, plan de chasse, checklist d’investigation ou synthèse de triage

Workflow pratique pour de meilleurs résultats

Commencez par demander à la skill d’identifier la logique de détection, puis demandez une requête adaptée à votre plateforme, puis des conseils de tuning. Si vous avez déjà un événement d’exemple, ajoutez-le. Pour les décisions d’installation autour de detecting-kerberoasting-attacks, le dépôt est plus fort lorsqu’on l’utilise comme modèle de chasse et comme référence de détection, pas comme détecteur en un clic.

FAQ de la skill detecting-kerberoasting-attacks

Est-ce uniquement pour le Kerberoasting ?

Oui, la skill detecting-kerberoasting-attacks est étroitement centrée sur le Kerberoasting et les schémas d’abus Kerberos qui s’en rapprochent. Ce n’est pas une skill générale sur le vol d’identifiants ou la sécurité Active Directory ; utilisez-la donc quand T1558.003 est réellement la question à trancher.

Faut-il un SIEM pour l’utiliser ?

Non, mais il faut tout de même une télémétrie Windows exploitable. La skill est la plus efficace avec les journaux Windows Security, Sysmon ou des données EVTX exportées. Si vous n’avez que des alertes de haut niveau sans détail d’événement, la sortie sera nettement moins précise.

En quoi est-ce différent d’un prompt normal ?

Un prompt classique renvoie souvent des conseils génériques. Cette skill fournit une structure de chasse reproductible, des formes de requêtes exemples et le contexte au niveau des champs nécessaire au travail de détection. Cela la rend plus utile pour l’usage de detecting-kerberoasting-attacks dans des environnements opérationnels où les faux positifs et la couverture des journaux comptent.

Est-ce adapté aux débutants ?

Oui, si vous maîtrisez déjà les notions de base des journaux Windows. Si vous débutez avec Kerberos, prévoyez un peu de temps pour comprendre l’Event 4769, les types de chiffrement des tickets et le comportement des comptes de service. La skill convient mieux quand vous voulez une exécution guidée, pas un cours complet sur Kerberos.

Comment améliorer la skill detecting-kerberoasting-attacks

Fournir un contexte de journaux concret

Le plus gros gain de qualité vient du fait de donner à la skill de vraies précisions de télémétrie : exemples de champs 4769, schéma de votre SIEM et exclusions déjà en place. Si vous pouvez coller un ou deux événements représentatifs, la skill detecting-kerberoasting-attacks pourra produire des requêtes plus serrées et mieux gérer les faux positifs.

Demander un réglage spécifique à votre environnement

Les détections de Kerberoasting se dégradent vite si la skill reste trop générique. Dites-lui si votre domaine utilise encore RC4, quels comptes de service génèrent du bruit et si vous voulez des seuils de chasse stricts ou larges. Pour detecting-kerberoasting-attacks pour la Threat Modeling, précisez aussi quels systèmes métier et quelles classes de comptes seraient les plus importants en cas d’abus.

Surveiller les modes d’échec fréquents

Les erreurs les plus courantes consistent à sur-alerter sur du trafic de service légitime, à ignorer les filtres sur les comptes machine et à traiter chaque événement 0x17 comme malveillant. Améliorez la sortie en demandant des exclusions, des idées de corrélation et des étapes de validation. Si votre premier résultat est trop large, demandez à la skill de se recentrer sur des SPN uniques, un regroupement par adresse IP source ou une fenêtre temporelle plus courte.

Itérer avec des preuves, pas seulement des avis

Après le premier résultat, renvoyez ce que votre requête a produit : volume d’événements, faux positifs et comptes ou hôtes suspects. Demandez ensuite un seuil révisé, une requête de triage en second passage ou un modèle de chasse basé sur assets/template.md du dépôt. Cette boucle compte en général bien plus que la reformulation du prompt d’origine.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

security-threat-model

par openai

Compétence security-threat-model ancrée dans le dépôt pour la modélisation des menaces AppSec. Elle cartographie les frontières de confiance, les actifs, les objectifs des attaquants, les chemins d’abus et les mesures de mitigation dans un modèle de menaces Markdown concis. À utiliser lorsque vous avez besoin de security-threat-model pour une Threat Modeling sur un dépôt ou un chemin précis, et non d’une revue d’architecture générique ou d’une vérification de code.

Threat Modeling

Favoris 0GitHub 0

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

exploiting-insecure-data-storage-in-mobile

par mukul975

La skill d’exploitation du stockage de données non sécurisé sur mobile aide à évaluer et à extraire des preuves à partir d’un stockage local vulnérable dans les apps Android et iOS. Elle couvre SharedPreferences, les bases de données SQLite, les fichiers plist, les fichiers lisibles par tous, l’exposition via les sauvegardes et la gestion faible des clés dans le keychain/keystore, pour des workflows de pentest mobile et d’audit de sécurité.

Security Audit

Favoris 0GitHub 6.2k

algorand-vulnerability-scanner

par trailofbits

algorand-vulnerability-scanner est une skill d’audit de sécurité pour Algorand TEAL et PyTeal. Elle aide à repérer 11 problèmes courants, notamment les attaques de rekeying, les lacunes de validation des frais, les vérifications de champs et les failles de contrôle d’accès. Utilisez la skill algorand-vulnerability-scanner pour une première revue pratique avant un audit manuel.

Security Audit

Favoris 0GitHub 4.9k

evaluating-threat-intelligence-platforms

par mukul975

evaluating-threat-intelligence-platforms vous aide à comparer les produits TIP selon l’ingestion de flux, la prise en charge de STIX/TAXII, l’automatisation, les workflows analystes, les intégrations et le coût total de possession. Utilisez ce guide evaluating-threat-intelligence-platforms pour les achats, une migration ou la planification de maturité, y compris l’évaluation de evaluating-threat-intelligence-platforms pour le Threat Modeling lorsque le choix de la plateforme influence la traçabilité et le partage des preuves.

Threat Modeling

Favoris 0GitHub 0

detecting-insider-threat-behaviors

par mukul975

La compétence detecting-insider-threat-behaviors aide les analystes à repérer des signaux de risque interne comme des accès inhabituels aux données, des activités hors horaires, des téléchargements massifs, des abus de privilèges et des vols corrélés à une démission. Utilisez ce guide detecting-insider-threat-behaviors pour la threat hunting, le triage de type UEBA et la modélisation des menaces, avec des modèles de workflow, des exemples de requêtes SIEM et des pondérations de risque.

Threat Modeling

Favoris 0GitHub 0

detecting-credential-dumping-techniques

par mukul975

La skill de détection des techniques de credential dumping vous aide à détecter les accès à LSASS, l’export SAM, le vol de NTDS.dit et l’abus de comsvcs.dll MiniDump à l’aide de l’Event ID 10 de Sysmon, des journaux de sécurité Windows et de règles de corrélation SIEM. Elle est conçue pour le threat hunting, l’ingénierie de détection et les workflows d’audit de sécurité.

Security Audit

Favoris 0GitHub 0

collecting-threat-intelligence-with-misp

par mukul975

La compétence collecting-threat-intelligence-with-misp vous aide à collecter, normaliser, rechercher et exporter la threat intelligence dans MISP. Utilisez ce guide collecting-threat-intelligence-with-misp pour les flux, les workflows PyMISP, le filtrage d’événements, la réduction des warninglists et des usages concrets de collecting-threat-intelligence-with-misp pour le Threat Modeling et les opérations CTI.

Threat Modeling

Favoris 0GitHub 0

analyzing-threat-intelligence-feeds

par mukul975

Analyzing-threat-intelligence-feeds vous aide à ingérer des flux CTI, normaliser des indicateurs, évaluer la qualité des flux et enrichir des IOC pour des workflows STIX 2.1. Ce skill analyzing-threat-intelligence-feeds est conçu pour les opérations de renseignement sur les menaces et l’analyse de données, avec des conseils pratiques pour TAXII, MISP et les flux commerciaux.

Data Analysis

Favoris 0GitHub 0

cosmos-vulnerability-scanner

par trailofbits

cosmos-vulnerability-scanner détecte les bugs critiques pour le consensus dans les modules Cosmos SDK, les contrats CosmWasm, les intégrations IBC et les stacks Cosmos EVM. Utilisez ce guide cosmos-vulnerability-scanner pour vos audits de sécurité, l’analyse des risques de blocage de chaîne, les scénarios de perte de fonds et les revues pré‑lancement.

Security Audit

Favoris 0GitHub 4.9k

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

detecting-email-forwarding-rules-attack

par mukul975

Le skill de détection des attaques par règles de transfert d’e-mail aide les équipes d’audit sécurité, de threat hunting et de réponse à incident à repérer les règles de transfert de boîtes aux lettres malveillantes utilisées pour la persistance et la collecte de courriels. Il guide les analystes à travers les indices Microsoft 365 et Exchange, les schémas de règles suspects et un triage pratique des comportements de transfert, de redirection, de suppression et de masquage.

Security Audit

Favoris 0GitHub 0

analyzing-ios-app-security-with-objection

par mukul975

La skill d’analyse de sécurité iOS avec Objection aide les testeurs autorisés à réaliser des vérifications de sécurité à l’exécution sur des apps iOS avec Objection et Frida. Utilisez-la pour examiner l’exposition du trousseau, le stockage sur le système de fichiers, les cookies, le SSL pinning, la détection de jailbreak et d’autres défenses côté client dans le cadre d’un audit de sécurité. Elle inclut des indications de workflow, des étapes d’installation et des conseils d’utilisation concrets.

Security Audit

Favoris 0GitHub 0

analyzing-heap-spray-exploitation

par mukul975

analyzing-heap-spray-exploitation aide à analyser l’exploitation par heap spray dans des dumps mémoire avec Volatility3. Il identifie les motifs de NOP sled, les allocations volumineuses suspectes, les zones d’atterrissage du shellcode et les indices VAD du processus pour les audits de sécurité, le triage de malware et la validation d’exploits.

Security Audit

Favoris 0GitHub 0

detecting-supply-chain-attacks-in-ci-cd

par mukul975

Skill de détection d'attaques de la chaîne d'approvisionnement en CI/CD pour auditer les configurations GitHub Actions et CI/CD. Il aide à repérer les actions non verrouillées, les injections de scripts, la confusion de dépendances, l’exposition de secrets et les autorisations risquées dans les workflows d’audit de sécurité. Utilisez-le pour examiner un dépôt, un fichier de workflow ou un changement de pipeline suspect avec des constats clairs et des correctifs concrets.

Security Audit

Favoris 0GitHub 0

detecting-api-enumeration-attacks

par mukul975

detecting-api-enumeration-attacks aide les équipes de Security Audit à détecter le probing d’API, les attaques BOLA et les IDOR en analysant les IDs séquentiels, les rafales de 404, les échecs d’autorisation et les chemins de découverte de la documentation. Conçu pour guider une détection pilotée par les logs, rédiger des règles et passer en revue concrètement les schémas d’abus d’API.

Security Audit

Favoris 0GitHub 0