Mimikatz

extracting-credentials-from-memory-dump は、Volatility 3 と pypykatz のワークフローを使って、Windows のメモリダンプから NTLM ハッシュ、LSA シークレット、Kerberos 資材、トークンを分析するためのスキルです。有効なダンプから、証拠として耐えうる情報、アカウントへの影響範囲、是正の指針を得たいデジタル・フォレンジックやインシデント対応向けに設計されています。

detecting-mimikatz-execution-patterns は、コマンドラインのパターン、LSASS へのアクセス संकेत、バイナリ指標、メモリ上の痕跡を使って Mimikatz の実行を検知するのに役立ちます。Security Audit、ハンティング、インシデント対応で使うなら、この detecting-mimikatz-execution-patterns スキルをテンプレート、参考情報、ワークフローガイダンス付きで導入できます。

detecting-golden-ticket-forgery は、Windows Event ID 4769、RC4 ダウングレードの使用（0x17）、異常なチケット有効期間、そして Splunk と Elastic における krbtgt の異常を分析することで、Kerberos の Golden Ticket ふりかえりを検知します。Security Audit、インシデント調査、脅威ハンティング向けに実用的な検知ガイダンスを備えています。

detecting-credential-dumping-techniques スキルは、Sysmon のイベント ID 10、Windows のセキュリティログ、SIEM の相関ルールを使って、LSASS へのアクセス、SAM のエクスポート、NTDS.dit の窃取、comsvcs.dll を使った MiniDump の悪用を検知するのに役立ちます。脅威ハンティング、検知エンジニアリング、Security Audit のワークフロー向けに設計されています。

deploying-active-directory-honeytokens は、Security Audit 向けに Active Directory のハニートークンを計画・生成するのに役立つ技能です。偽の特権アカウント、Kerberoasting 検知用の偽 SPN、デコイ GPO の罠、BloodHound を欺くパスなどを含みます。インストール観点のガイダンスに、実運用で役立つスクリプトとテレメトリの着眼点を組み合わせ、導入判断とレビューをしやすくします。

conducting-pass-the-ticket-attack は、Pass-the-Ticket の手順を計画し、記録するための Security Audit／レッドチーム向けスキルです。Kerberos チケットの確認、検知シグナルの整理、そして conducting-pass-the-ticket-attack スキルを使った構造化された検証フローやレポート作成を支援します。

許可された Active Directory セキュリティ監査業務向けの conducting-domain-persistence-with-dcsync ガイドです。付属のスクリプト、参考資料、レポートテンプレートを使って、DCSync 権限、KRBTGT の露出、Golden Ticket リスク、対処手順を評価するためのインストール手順、使い方、ワークフローの要点を学べます。