detecting-golden-ticket-forgery
作成者 mukul975detecting-golden-ticket-forgery は、Windows Event ID 4769、RC4 ダウングレードの使用(0x17)、異常なチケット有効期間、そして Splunk と Elastic における krbtgt の異常を分析することで、Kerberos の Golden Ticket ふりかえりを検知します。Security Audit、インシデント調査、脅威ハンティング向けに実用的な検知ガイダンスを備えています。
この技能の評価は 78/100 で、Golden Ticket 検知に絞ったワークフローを求めるディレクトリ利用者にとって有力な掲載候補です。リポジトリには具体的な検知ロジック、クエリ例、実行可能な解析スクリプトが含まれており、汎用プロンプトよりも迷いを減らせます。一方で、運用上の前提条件とセットアップ手順は、もう少し明確だとより使いやすくなります。
- シグナルと用途が明確で、Event ID 4768/4769、RC4 へのダウングレード、チケット有効期間の異常、krbtgt の異常から Kerberos の Golden Ticket ふりかえりを検知できる。
- 運用面での実用性が高く、Splunk SPL の例と、エクスポートした Windows Security XML ログを解析する Python スクリプトが含まれている。
- 参考情報の粒度が十分で、API リファレンスが指標とイベントフィールド、検知パターンを対応付けているため、すぐに適用しやすい。
- 抜粋には前提条件が途中までしか載っていないため、必要なログソースや環境要件を完全には把握しにくい可能性があります。
- インストールコマンドやクイックスタート用のパッケージはないため、導入時にはスクリプトやリファレンスファイルを手作業で読み解く必要があるかもしれません。
detecting-golden-ticket-forgery skillの概要
このskillでできること
detecting-golden-ticket-forgery skillは、KerberosのGolden Ticket悪用を検知するために、実環境で本当に効くシグナルに絞って分析を支援します。具体的には、怪しいEvent ID 4769の活動、AES中心のドメインで見られるRC4ダウングレードの利用、異常に長いチケット有効期間、krbtgt関連の異常などを重点的に見ます。Security Audit、インシデント調査、検知エンジニアリングのように、一般的なATT&CK要約ではなく実務の起点が必要な場面に向いています。
どんな人に向いているか
SplunkやElasticでWindowsドメインのテレメトリを扱い、ノイズの多い認証データを実用的な検知フローに落とし込みたい人に向いています。SOCアナリスト、脅威ハンター、検知エンジニアで、Securityログにアクセスできていて、より明確なトリアージ基準が欲しい人に特に適しています。
インストールする価値
このskillの価値は、単に「Golden Ticketを見つける」ことではなく、何から確認すべきかを整理できる点にあります。たとえば、4769の暗号化方式、想定される4768コンテキストの有無、ドメインポリシーから外れた値などを先に見るべきか判断しやすくなります。そのため、detecting-golden-ticket-forgery のインストールは、一発回答ではなく再現性のあるハント手順が必要なときに有効です。
detecting-golden-ticket-forgery skillの使い方
インストールして、まず文脈をつかむ
detecting-golden-ticket-forgery skillは次のコマンドでインストールします。
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-golden-ticket-forgery
次に最初に読むべきなのは skills/detecting-golden-ticket-forgery/SKILL.md です。続いて references/api-reference.md と scripts/agent.py を確認してください。これらのファイルには、検知ロジック、skillが想定するイベントフィールド、自動解析やワークフロー流用を考える場合のスクリプトパスが示されています。
入力は最初から具体的に渡す
detecting-golden-ticket-forgery をうまく使うには、最初に3つを伝えるのが効果的です。1つ目はログソース、2つ目はSIEM、3つ目はドメイン内での「通常」の状態です。弱い依頼は「Golden Ticketsを調べて」です。より良い依頼は、「Event ID 4769でRC4 0x17 を使っているSplunk用のハントを作成し、既知のサービスアカウントは除外しつつ、同じユーザーに対して4768が存在するかどうか確認する方法も説明して」です。
検知ワークフローから始める
detecting-golden-ticket-forgery のガイドで最も役立つ進め方は次の通りです。
- 自分の環境がAES優先であるべきか確認する
- 4769で
TicketEncryptionType=0x17を調べる - 可能なら4768と4624を相関させる
- チケットの有効期間とアカウント挙動をポリシーと比較する
- 侵害の可能性と、古いKerberos設定やサービスアカウント由来のノイズを切り分ける
この流れにすると、skillを漠然とした疑いではなく、証拠ベースで使えます。
先に読むべきファイル
すばやく立ち上げたいなら、まず SKILL.md で検知の意図を確認し、references/api-reference.md で主要なEvent IDとSplunkクエリ例を見て、scripts/agent.py でリポジトリがイベント解析をどう扱っているかを把握してください。この順番なら、自分の環境で再利用する前にskillの考え方を理解しやすくなります。
detecting-golden-ticket-forgery skillのFAQ
Splunk専用ですか?
いいえ。リポジトリにはSplunkの例がありますが、detecting-golden-ticket-forgery skillの本質はクエリそのものではなく、その背後にある検知ロジックです。Windows Securityイベントデータがあれば、Elastic、独自のPython解析、SIEMパイプラインにも同じ指標を応用できます。
主要な検知シグナルは何ですか?
最も一貫して強いシグナルは、怪しい4769の挙動です。とくに、AESを使うはずの環境でRC4 0x17 が出ている場合は要注意です。さらに、このskillは4768の不足や不整合、異常な有効期間、krbtgtの異常も重視します。単独のシグナルはノイズが多いことがあるためです。
初心者向けですか?
基本的なWindows認証用語を知っているアナリストには比較的取り組みやすいですが、Kerberosを平易に学ぶための入門書ではありません。Event ID、チケット種別、ドメインポリシーの前提を読み取れる人のほうが、detecting-golden-ticket-forgery のガイドを活かしやすいです。
どんなときは使わないほうがいいですか?
ログが部分的にしか取れていない場合、レガシー環境がかなり多い場合、あるいは正当な理由でRC4がまだ通常運用になっている場合は、これだけに頼らないでください。そうした状況でもレビューの流れを整理する助けにはなりますが、ローカルのベースラインなしに最終判断として扱うべきではありません。
detecting-golden-ticket-forgery skillの改善方法
環境固有のベースラインを与える
品質を最も大きく上げるのは、ドメイン内での「期待値」を具体的に伝えることです。AESポリシー、通常のチケット有効期間、特権サービスアカウント、既知のレガシーシステムなどを含めてください。これらがないと、detecting-golden-ticket-forgery の使い方によっては正当な活動まで過剰にフラグされます。
出力は一度に1種類だけ頼む
結果がよくなるのは、ハントクエリ、トリアージチェックリスト、誤検知フィルタ一覧、アナリストメモのように、依頼を絞ったときです。4種類をまとめて頼むと、Security Audit向けの detecting-golden-ticket-forgery 依頼としては、焦点がぼけて実行しづらい出力になりがちです。
よくある失敗パターンに注意する
ありがちなミスは、RC4チケットをすべて悪性とみなすこと、サービスアカウント例外を無視すること、4768との相関を飛ばすことです。反復するときは、各シグナルがなぜ重要なのか、どんな正当なケースが似た挙動を見せるのかをskillに説明させると精度が上がります。
2回目の出力で詰める
最初の結果を受け取ったら、足りない情報をフィードバックしてください。たとえば、SIEMのフィールド名、足りないログソース、すでに信頼しているアラートのサンプルなどです。そのうえで、detecting-golden-ticket-forgery skillに対して、クエリの絞り込み、ノイズ低減、調査手順の自環境向け書き換えを依頼すると、実運用に近づきます。