Active Directory

exploiting-kerberoasting-with-impacket는 권한이 있는 테스터가 Impacket의 GetUserSPNs.py를 사용해 Kerberoasting을 계획할 수 있도록 돕습니다. SPN 열거부터 TGS 티켓 추출, 오프라인 크래킹, 탐지 고려 보고까지 한 흐름으로 안내합니다. 이 exploiting-kerberoasting-with-impacket 가이드는 명확한 설치 및 사용 맥락이 필요한 침투 테스트 워크플로에 적합합니다.

configuring-active-directory-tiered-model 스킬은 Microsoft ESAE 방식의 Active Directory 계층 분리를 설계하고 점검하는 데 도움을 줍니다. 이 configuring-active-directory-tiered-model 가이드를 사용하면 Tier 0/1/2 접근, PAW, 관리 경계, 자격 증명 노출, 보안 감사 결과를 더 명확한 구현 맥락에서 검토할 수 있습니다.

exploiting-nopac-cve-2021-42278-42287 skill은 Active Directory에서 noPac 체인(CVE-2021-42278 및 CVE-2021-42287)을 점검할 때 참고하는 실용 가이드입니다. 승인된 레드팀과 Security Audit 사용자가 사전 조건을 확인하고, 워크플로 파일을 검토하며, 추측을 줄이면서 익스플로잇 가능성을 문서화하는 데 도움을 줍니다.

exploiting-constrained-delegation-abuse 스킬은 Kerberos 제약 위임(constrained delegation) 악용에 대한 Active Directory의 허가된 테스트를 돕는 안내서입니다. 열거, S4U2self 및 S4U2proxy 티켓 요청, 그리고 측면 이동이나 권한 상승으로 이어질 수 있는 실무 경로를 다룹니다. 일반적인 Kerberos 개요가 아니라, 반복 가능한 침투 테스트 가이드가 필요할 때 적합합니다.

detecting-pass-the-ticket-attacks는 Windows 보안 이벤트 ID 4768, 4769, 4771을 상호 연관해 Kerberos Pass-the-Ticket 활동을 탐지하도록 돕습니다. Splunk 또는 Elastic에서 위협 헌팅에 사용해 티켓 재사용, RC4 다운그레이드, 비정상적인 TGS 증가를 실용적인 쿼리와 필드 안내로 찾아낼 수 있습니다.

detecting-kerberoasting-attacks skill은 의심스러운 Kerberos TGS 요청, 약한 티켓 암호화, 서비스 계정 패턴을 찾아 Kerberoasting을 헌팅하는 데 도움을 줍니다. SIEM, EDR, EVTX, Threat Modeling 워크플로에서 실용적인 탐지 템플릿과 튜닝 가이드를 활용할 때 적합합니다.

detecting-golden-ticket-forgery는 Windows 이벤트 ID 4769, RC4 다운그레이드 사용(0x17), 비정상적인 티켓 수명, 그리고 Splunk와 Elastic에서의 krbtgt 이상 징후를 분석해 Kerberos Golden Ticket 위조를 탐지합니다. Security Audit, 사고 조사, 위협 헌팅을 위해 실용적인 탐지 가이드를 제공합니다.

detecting-credential-dumping-techniques 스킬은 Sysmon Event ID 10, Windows Security 로그, 그리고 SIEM 상관관계 규칙을 사용해 LSASS 접근, SAM 내보내기, NTDS.dit 탈취, comsvcs.dll MiniDump 악용을 탐지하는 데 도움을 줍니다. 위협 헌팅, 탐지 엔지니어링, Security Audit 워크플로우에 맞춰 설계되었습니다.

deploying-active-directory-honeytokens는 보안 감사 업무를 위해 Active Directory 허니토큰을 계획하고 생성하는 데 도움을 줍니다. 여기에는 가짜 특권 계정, Kerberoasting 탐지를 위한 가짜 SPN, 미끼 GPO 트랩, 기만적인 BloodHound 경로가 포함됩니다. 설치 중심의 안내와 스크립트, 텔레메트리 단서를 함께 제공해 실제 배포와 검토에 바로 활용할 수 있습니다.

containing-active-breach는 진행 중인 침해를 신속히 차단하기 위한 사고 대응 스킬입니다. 체계적인 containing-active-breach 가이드를 통해 호스트 격리, 의심스러운 트래픽 차단, 침해된 계정 비활성화, 횡적 이동 억제를 지원하며, 실무에 바로 쓰는 API와 스크립트 참고 정보도 제공합니다.

configuring-ldap-security-hardening은 보안 엔지니어와 감사자가 익명 바인드, 약한 서명, LDAPS 미구성, 채널 바인딩 누락 같은 LDAP 리스크를 점검하는 데 도움을 줍니다. 이 configuring-ldap-security-hardening 가이드를 활용해 참고 문서를 검토하고, Python 감사 헬퍼를 실행한 뒤, Security Audit에 바로 쓸 수 있는 실질적인 개선 권고안을 정리하세요.

허가받은 Active Directory 보안 감사 작업을 위한 DCSync를 활용한 도메인 지속성 가이드입니다. 포함된 스크립트, 참고 자료, 보고서 템플릿을 사용해 DCSync 권한, KRBTGT 노출, Golden Ticket 위험, 그리고 대응 절차를 점검하는 데 필요한 설치, 사용법, 워크플로 노트를 확인할 수 있습니다.

building-identity-governance-lifecycle-process는 입사자-이동자-퇴사자(JML) 자동화, 접근 검토, 역할 기반 프로비저닝, 고아 계정 정리를 위한 아이덴티티 거버넌스와 라이프사이클 관리를 설계하는 데 도움을 줍니다. 범용 정책 초안이 아니라, 실무적인 워크플로 안내가 필요한 크로스 시스템 Access Control 프로그램에 적합합니다.

auditing-azure-active-directory-configuration skill은 Microsoft Entra ID 테넌트의 보안 구성을 검토해 위험한 인증 설정, 관리자 역할 과다 부여, 오래된 계정, Conditional Access 누락, 게스트 노출, MFA 적용 범위를 점검하는 데 도움을 줍니다. Graph 기반 증거와 실무적인 가이드를 갖춘 Security Audit 워크플로용으로 설계되었습니다.

analyzing-windows-event-logs-in-splunk skill은 SOC 분석가가 Splunk에서 Windows Security, System, Sysmon 로그를 조사해 인증 공격, 권한 상승, 지속성, 측면 이동을 파악하도록 돕습니다. 인시던트 분류, 탐지 엔지니어링, 타임라인 분석에 활용할 수 있으며, 매핑된 SPL 패턴과 이벤트 ID 가이드를 함께 제공합니다.

analyzing-active-directory-acl-abuse는 보안 감사자와 사고 대응자가 ldap3로 Active Directory의 nTSecurityDescriptor 데이터를 점검해, 사용자·그룹·컴퓨터·OU에서 GenericAll, WriteDACL, WriteOwner 같은 악용 경로를 찾아내도록 돕습니다.