detecting-kerberoasting-attacks

detecting-kerberoasting-attacks スキルの概要

このスキルでできること

detecting-kerberoasting-attacks スキルは、怪しい Kerberos TGS アクティビティ、弱いチケット暗号化、関連するサービスアカウントのパターンを見つけることで、Kerberoasting の検知を支援します。SIEM、EDR、または EVTX ベースのワークフローで T1558.003 の活動を実用的に検出したい防御側に向いています。

こんな人に向いています

脅威ハンター、SOC アナリスト、インシデントレスポンダー、またはログで Kerberoasting を検出できるか検証したい purple teamer におすすめです。Windows のセキュリティテレメトリをすでに持っていて、一般的な ATT&CK 用プロンプトではなく、絞り込んだハンティング手順がほしい場合に特に役立ちます。

インストールする価値がある理由

最大の価値は検知ワークフローにあります。リポジトリにはハント用テンプレート、イベントフィールドの参照、サンプルクエリが含まれており、試行錯誤を減らせます。そのため、detecting-kerberoasting-attacks を Threat Modeling や検知エンジニアリングに使う場合も、空のプロンプトから始めるより実務に直結します。特に Event ID 4769 や関連する相関ポイントへ入力をどう結びつけるかが必要なときに有効です。

detecting-kerberoasting-attacks スキルの使い方

まず適切なファイルをインストールして開く

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-kerberoasting-attacks でインストールします。インストール後は、まず SKILL.md を読み、その次に references/workflows.md、references/api-reference.md、assets/template.md を確認してください。実装の詳細を知りたい場合は、scripts/agent.py と scripts/process.py を見れば、このスキルがどのフィールドやパターンを前提にしているか分かります。

あいまいなハントを使えるプロンプトに変える

detecting-kerberoasting-attacks をうまく使うには、環境、データソース、ハントの目的を最初に伝えるのが重要です。たとえば、「Microsoft Sentinel で Windows Security Event 4769 を使って Kerberoasting を探したい。RC4 チケットに重点を置き、マシンアカウントは除外し、短いトリアージ用クエリと false positive の注意点を返してほしい」といった指定です。これは単に「Kerberoasting を検知して」よりはるかに有効です。使えるテレメトリと、欲しい出力が明確だからです。

どの入力品質が最も重要か

このスキルは、次の情報を入れると最も効果を発揮します。

• ログ基盤と形式: Splunk、Sentinel、Elastic、EVTX、CSV、JSON
• 関連するイベント ID: 特に 4769 と、相関させるログオンイベント
• 環境固有の例外: サービスアカウント、マシンアカウントの命名規則、既知の管理ツール
• 時間窓としきい値の希望: たとえば 5 分、10 SPN、RC4 のみに限定、など
• 欲しい出力: クエリ、ハント計画、調査チェックリスト、トリアージ要約

より良い結果を得るための実践的な流れ

まずスキルに検知ロジックを整理させ、次に自分のプラットフォーム向けに合わせたクエリを出させ、最後にチューニング指針を求めるのが効果的です。サンプルイベントがあるなら、最初から添付してください。detecting-kerberoasting-attacks の導入を判断するなら、このリポジトリはワンクリック検知器としてではなく、ハント用テンプレート兼検知リファレンスとして使うと最も強みが出ます。

detecting-kerberoasting-attacks スキル FAQ

これは Kerberoasting 専用ですか？

はい、detecting-kerberoasting-attacks スキルは Kerberoasting と、それに近い Kerberos 悪用パターンに絞って作られています。一般的な資格情報窃取や AD セキュリティ全般のスキルではないため、T1558.003 が本当に答えるべき問いになっているときに使ってください。

使うのに SIEM は必要ですか？

いいえ、ただし使える Windows テレメトリは必要です。最も効果的なのは Windows Security ログ、Sysmon、またはエクスポートした EVTX データです。高レベルのアラートしかなくイベント詳細がない場合、出力の具体性はかなり落ちます。

普通のプロンプトと何が違いますか？

普通のプロンプトは、しばしば一般論しか返しません。このスキルは、再現性のあるハント構造、クエリ形状の例、検知作業に必要なフィールドレベルの文脈を提供します。そのため、誤検知やログのカバレッジが重要な運用環境での detecting-kerberoasting-attacks に、より実用的です。

初心者にも向いていますか？

はい、基本的な Windows ログの考え方を知っていれば問題ありません。Kerberos に不慣れなら、Event 4769、チケット暗号化方式、サービスアカウントの挙動を少し理解する時間は必要です。Kerberos の講座を一通り受けるより、ガイド付きで実行したい人に向いています。

detecting-kerberoasting-attacks スキルの改善方法

具体的なログ文脈を与える

品質を最も大きく上げるのは、実際のテレメトリ詳細を渡すことです。たとえば、4769 のサンプルフィールド、SIEM のスキーマ、すでに使っている除外条件などです。代表的なイベントを 1〜2 件貼れれば、detecting-kerberoasting-attacks スキルはより絞り込まれたクエリと、より適切な false positive 対応を出せます。

環境に合わせたチューニングを依頼する

Kerberoasting の検知は、スキルを汎用的なまま使うと崩れやすいです。ドメインでまだ RC4 を使っているか、どのサービスアカウントがノイジーか、しきい値を厳しめにするか広めにするかを伝えてください。detecting-kerberoasting-attacks を Threat Modeling に使う場合は、悪用されたときに影響が大きい業務システムやアカウント種別も明示するとよいです。

よくある失敗パターンに注意する

典型的な失敗は、正当なサービス通信まで過検知すること、マシンアカウントのフィルタを無視すること、すべての 0x17 イベントを悪性と決めつけることです。除外条件、相関アイデア、検証手順を出すよう依頼すると、出力は改善します。最初の結果が広すぎるなら、ユニークな SPN、送信元 IP のクラスタリング、より短い時間窓に絞るよう指示してください。

意見ではなく証拠で反復する

最初の出力の後は、クエリの結果を返してください。イベント量、false positive、怪しいアカウントやホストなどです。そのうえで、しきい値の見直し、2段階目のトリアージ用クエリ、またはリポジトリの assets/template.md を使ったハントテンプレートを依頼します。この反復は、元のプロンプトを書き直すことよりずっと重要なことが多いです。