detecting-pass-the-ticket-attacks

detecting-pass-the-ticket-attacks skill の概要

detecting-pass-the-ticket-attacks skill でできること

detecting-pass-the-ticket-attacks skill は、Windows Security のイベント 4768、4769、4771 を相関させることで、Kerberos の Pass-the-Ticket（PtT）活動を検知するのに役立ちます。Kerberos の一般的な解説ではなく、実運用で使える脅威ハンティングのロジックが欲しいときに特に有用です。

どんな人に向いているか

この skill は、Splunk または Elastic を使って Windows ドメインを運用している SOC アナリスト、検知エンジニア、インシデント対応担当者に向いています。チケットの再利用、RC4 へのダウングレード、不自然なサービスチケット挙動について再現性のあるクエリを作りたいときは、detecting-pass-the-ticket-attacks for Threat Hunting として特に相性が良いです。

ほかと何が違うのか

この skill は、抽象的な ATT&CK 理論ではなく、具体的なイベントフィールドと検知パターンに基づいています。価値があるのは、ノイズの多いドメインコントローラーのログを、SIEM ワークフローで運用できる実用的なシグナルに変えられる点です。

detecting-pass-the-ticket-attacks skill の使い方

まずは正しいファイルをインストールして確認する

まずはご自身の環境に合わせて detecting-pass-the-ticket-attacks install のワークフローを使い、そのあとで SKILL.md を最初に読み、続けて references/api-reference.md と scripts/agent.py を確認してください。これら 2 つの補助ファイルには、実際にこの skill を動かしているイベントフィールド、クエリの形、パースロジックが示されています。

完全な入力プロンプトを作る

detecting-pass-the-ticket-attacks usage を最大化するには、SIEM、ログソース、目的、制約の 4 点を skill に渡してください。たとえば、次のようなプロンプトが有効です: “Use detecting-pass-the-ticket-attacks to hunt for PtT in Splunk Security logs from domain controllers, focusing on 4769 RC4 downgrades and cross-host ticket reuse, and return a triage-ready query with false-positive notes.”

ダッシュボードではなく検知パターンから始める

この skill は、対応している仮説のどれかから始めると最も効果的です。たとえば、RC4 暗号へのダウングレード、複数 IP からの TGS リクエストの繰り返し、ユーザーごとの異常な 4769 件数などです。そのうえで、リポジトリ内の例をそのままコピペするのではなく、インデックス名、フィールドマッピング、アラートしきい値に合わせて出力を調整してください。

リポジトリはワークフローの道しるべとして使う

リポジトリを最短で理解したいなら、次の順で進めてください: SKILL.md でスコープを把握し、references/api-reference.md でフィールド名と Splunk/KQL のサンプルパターンを確認し、scripts/agent.py でイベントロジックの正規化方法を見ます。この順番なら、ざっくりしたアイデアから実用的なハンティングロジックまで最短でたどれます。

detecting-pass-the-ticket-attacks skill よくある質問

Splunk や Elastic 専用ですか？

いいえ。Splunk と Elastic は主な例ですが、根本の検知ロジックは Windows Security のイベント駆動です。SIEM で 4768、4769、4771 の各フィールドを検索できるなら、detecting-pass-the-ticket-attacks skill を適用できます。

事前に深い Kerberos 知識が必要ですか？

いいえ。ただし、ドメインコントローラーの認証ログに関する基本的な知識は必要です。ガイド付きのハンティングとしては初心者にも使いやすい一方で、TargetUserName、IpAddress、ServiceName、TicketEncryptionType の場所をすでに把握しているほど、結果の精度は上がります。

どんな場合には使わないほうがいいですか？

認証情報窃取全般を広くカバーしたいだけの場合や、ドメインコントローラーの監査が取れていない場合は使わないでください。detecting-pass-the-ticket-attacks は意図的に対象を絞った skill です。PtT を軸にした調査と検知エンジニアリング向けであり、Windows セキュリティ監視全般向けではありません。

通常のプロンプトとどう違いますか？

通常のプロンプトは、単発のクエリを返すことが多いです。一方で detecting-pass-the-ticket-attacks skill は再利用可能な構造を提供します。つまり、どの証拠が重要か、どのイベント ID を相関させるべきか、そしてハンティングの発想をどう検知ワークフローに落とし込むか、まで含めて案内します。

detecting-pass-the-ticket-attacks skill の改善方法

環境情報をより具体的に伝える

最も効果が大きいのは、環境情報を最初に明示することです。Windows のバージョン、DC のログソース、SIEM、既知のフィールド名を伝えてください。データ内で別名が使われているなら、出力を求める前にその旨を伝えると、skill が IpAddress や TicketEncryptionType を正しく対応付けやすくなります。

仮説は 1 つずつ依頼する

detecting-pass-the-ticket-attacks usage を改善するには、依頼を絞るのが有効です。「RC4 ダウングレードの検知」「クロスホスト再利用」「TGS 件数の異常」を別々に実行すると、しきい値をより厳密にしやすく、トリアージの指針も明確になり、前提条件の混在も減ります。

期待される挙動と不審な挙動の例を示す

可能であれば、ログの中から正常なイベントパターンを 1 つと、不審なパターンを 1 つ入れてください。そうすると skill が検知ロジックを調整しやすくなり、特に正規のサービスアカウントやレガシーシステムが PtT の指標に似ている場合でも、誤検知を減らしやすくなります。

しきい値とトリアージ出力を反復調整する

最初の結果が出たら、自分のノイズレベルに合わせて調整してください。しきい値を下げる、または上げる、アナリスト向けの説明を追加する、検知と調査を分けた版を作る、などを依頼します。最終的に、実際に展開してチューニングできるクエリで終わることが、最良の detecting-pass-the-ticket-attacks guide です。