Active Directory

exploiting-kerberoasting-with-impacket aide les testeurs autorisés à préparer un Kerberoasting avec `GetUserSPNs.py` d’Impacket, de l’énumération des SPN à l’extraction des tickets TGS, au cassage hors ligne et au reporting tenant compte de la détection. Utilisez ce guide exploiting-kerberoasting-with-impacket pour des workflows de test d’intrusion, avec un contexte clair d’installation et d’utilisation.

La compétence configuring-active-directory-tiered-model aide à concevoir et à auditer la séparation des niveaux d’Active Directory selon le modèle ESAE de Microsoft. Servez-vous de ce guide configuring-active-directory-tiered-model pour examiner les accès Tier 0/1/2, les PAW, les frontières d’administration, l’exposition des identifiants et les conclusions d’audit de sécurité avec un contexte de mise en œuvre plus clair.

La skill d’exploitation noPac CVE-2021-42278-42287 est un guide pratique pour évaluer la chaîne noPac (CVE-2021-42278 et CVE-2021-42287) dans Active Directory. Elle aide les red teamers autorisés et les utilisateurs d’audit de sécurité à vérifier les prérequis, passer en revue les fichiers de workflow et documenter l’exploitabilité avec moins d’hésitation.

La skill d’abus de délégation contrainte guide des tests Active Directory autorisés autour de l’exploitation de la délégation contrainte Kerberos. Elle couvre l’énumération, les requêtes de tickets S4U2self et S4U2proxy, ainsi que des voies concrètes vers le mouvement latéral ou l’élévation de privilèges. Utilisez-la quand vous avez besoin d’un guide reproductible pour un test d’intrusion, et non d’un aperçu général de Kerberos.

detecting-pass-the-ticket-attacks aide à détecter les activités Kerberos Pass-the-Ticket en corrélant les identifiants d’événements Windows Security 4768, 4769 et 4771. Utilisez-le pour la threat hunting dans Splunk ou Elastic afin d’identifier la réutilisation de tickets, les rétrogradations vers RC4 et des volumes TGS inhabituels, avec des requêtes pratiques et des indications sur les champs.

Le skill détecter les attaques Kerberoasting aide à traquer le Kerberoasting en repérant les requêtes Kerberos TGS suspectes, les chiffrages faibles des tickets et les schémas liés aux comptes de service. Utilisez-le pour des workflows SIEM, EDR et EVTX, ainsi que pour la détection des attaques Kerberoasting dans des workflows de Threat Modeling, avec des modèles de détection pratiques et des conseils d’ajustement.

detecting-golden-ticket-forgery détecte la falsification d’un Kerberos Golden Ticket en analysant l’Event ID Windows 4769, l’usage d’un downgrade vers RC4 (0x17), des durées de ticket anormales et des anomalies krbtgt dans Splunk et Elastic. Conçu pour l’audit de sécurité, l’investigation d’incident et la chasse aux menaces, avec des indications de détection concrètes et exploitables.

La skill de détection des techniques de credential dumping vous aide à détecter les accès à LSASS, l’export SAM, le vol de NTDS.dit et l’abus de comsvcs.dll MiniDump à l’aide de l’Event ID 10 de Sysmon, des journaux de sécurité Windows et de règles de corrélation SIEM. Elle est conçue pour le threat hunting, l’ingénierie de détection et les workflows d’audit de sécurité.

deploying-active-directory-honeytokens aide les défenseurs à planifier et générer des honeytokens Active Directory pour des travaux d’audit de sécurité, notamment de faux comptes à privilèges, de faux SPN pour détecter le Kerberoasting, des appâts GPO et des chemins trompeurs dans BloodHound. Il associe des conseils orientés installation à des scripts et à des indices de télémétrie pour un déploiement et une vérification concrets.

containing-active-breach est une skill de réponse à incident dédiée au confinement d’une compromission en cours. Elle aide à isoler des hôtes, bloquer du trafic suspect, désactiver des comptes compromis et ralentir les mouvements latéraux grâce à un guide structuré contenant-active-breach, avec des références pratiques aux API et aux scripts.

configuring-ldap-security-hardening aide les ingénieurs sécurité et les auditeurs à évaluer les risques LDAP, notamment le bind anonyme, la signature faible, l’absence de LDAPS et les lacunes de channel binding. Utilisez ce guide configuring-ldap-security-hardening pour consulter les docs de référence, exécuter l’assistant d’audit Python et produire des mesures correctives concrètes pour un audit de sécurité.

Guide de persistence de domaine avec DCSync pour des audits de sécurité Active Directory autorisés. Découvrez l’installation, l’utilisation et les points de workflow pour évaluer les droits DCSync, l’exposition de KRBTGT, le risque de Golden Ticket et les mesures de remédiation à l’aide des scripts, références et du modèle de rapport inclus.

building-identity-governance-lifecycle-process aide à concevoir la gouvernance des identités et la gestion du cycle de vie pour l’automatisation du processus joiner-mover-leaver, les revues d’accès, le provisioning basé sur les rôles et le nettoyage des comptes orphelins. Il convient aux programmes de Contrôle d’accès multi-systèmes qui ont besoin de conseils pratiques sur les workflows, et non d’un simple brouillon de politique générique.

Le skill d’audit de la configuration Azure Active Directory aide à examiner la sécurité d’un tenant Microsoft Entra ID à la recherche de paramètres d’authentification risqués, d’une prolifération des rôles d’administration, de comptes obsolètes, de lacunes dans Conditional Access, d’une exposition des invités et de la couverture MFA. Il est conçu pour les workflows de Security Audit, avec des preuves basées sur Graph et des recommandations concrètes.

La compétence d’analyse des journaux d’événements Windows dans Splunk aide les analystes SOC à enquêter, dans Splunk, sur les journaux Windows Security, System et Sysmon afin d’identifier des attaques d’authentification, des escalades de privilèges, des mécanismes de persistance et des mouvements latéraux. Utilisez-la pour le triage d’incidents, l’ingénierie de détection et l’analyse chronologique, avec des modèles SPL cartographiés et des indications sur les Event ID.

analyzing-active-directory-acl-abuse aide les auditeurs sécurité et les intervenants en incident à inspecter les données nTSecurityDescriptor d’Active Directory avec ldap3 afin de repérer des chemins d’abus comme GenericAll, WriteDACL et WriteOwner sur les utilisateurs, groupes, ordinateurs et OU.