detecting-golden-ticket-forgery
por mukul975A skill detecting-golden-ticket-forgery identifica falsificação de Kerberos Golden Ticket analisando o Windows Event ID 4769, uso de downgrade para RC4 (0x17), tempos de vida anormais dos tickets e anomalias em krbtgt no Splunk e no Elastic. Foi criada para Security Audit, investigação de incidentes e threat hunting, com orientação prática de detecção.
Esta skill recebe 78/100, o que a torna uma boa candidata para usuários de diretório que precisam de um fluxo focado de detecção de Golden Ticket. O repositório traz lógica de detecção concreta, exemplos de consulta e um script de parsing executável, reduzindo a adivinhação em comparação com um prompt genérico, embora ainda precise de limites operacionais e instruções de configuração mais claros.
- Sinal e caso de uso específicos: detecta falsificação de Kerberos Golden Ticket via Event IDs 4768/4769, downgrades para RC4, anomalias de tempo de vida do ticket e anomalias em krbtgt.
- Alavancagem operacional: inclui exemplos de Splunk SPL e um script em Python para analisar logs XML exportados do Windows Security.
- Boa profundidade de referência: a documentação da API mapeia indicadores para campos de evento e padrões de detecção, ajudando agentes a agir rapidamente com a skill.
- Os pré-requisitos estão truncados no trecho, então quem instalar pode não ter uma visão completa das fontes de log necessárias ou das suposições de ambiente.
- Não há comando de instalação nem empacotamento de quick start, então a adoção pode exigir interpretação manual do script e dos arquivos de referência.
Visão geral do skill detecting-golden-ticket-forgery
O que este skill faz
O skill detecting-golden-ticket-forgery ajuda analistas a detectar abuso de Kerberos Golden Ticket com foco nos sinais que realmente importam em ambientes reais: atividade suspeita do Event ID 4769, uso de downgrade para RC4 em domínios que deveriam priorizar AES, tempos de validade de ticket anormalmente longos e anomalias relacionadas ao krbtgt. Ele é mais indicado para trabalhos de Security Audit, investigação de incidentes e detection engineering, quando você precisa de um ponto de partida prático, e não de um resumo genérico do ATT&CK.
Quem deve usar
Use este skill detecting-golden-ticket-forgery se você trabalha com telemetria de domínios Windows no Splunk ou no Elastic e precisa transformar dados de autenticação ruidosos em um fluxo de detecção defensável. É uma boa opção para analistas de SOC, threat hunters e detection engineers que já têm acesso aos Security logs e querem uma lógica de triagem mais clara.
Por que vale instalar
O principal valor não é apenas “encontrar Golden Tickets”, e sim ajudar você a decidir o que verificar primeiro: o tipo de criptografia do 4769, a ausência do contexto esperado do 4768 e outliers de política de domínio. Isso torna a instalação do detecting-golden-ticket-forgery útil quando você precisa de uma lógica de hunting repetível, não só de um prompt pontual.
Como usar o skill detecting-golden-ticket-forgery
Instale e coloque em contexto
Instale o skill detecting-golden-ticket-forgery com:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-golden-ticket-forgery
Depois, leia primeiro skills/detecting-golden-ticket-forgery/SKILL.md, seguido de references/api-reference.md e scripts/agent.py. Esses arquivos mostram a lógica de detecção, os campos de evento que o skill espera e o caminho do script se você quiser automatizar parsing ou adaptar o fluxo.
Forneça a entrada certa
Para um uso forte do detecting-golden-ticket-forgery, diga ao skill três coisas logo de início: sua fonte de logs, seu SIEM e como é o comportamento “normal” no seu domínio. Um pedido fraco é “verifique Golden Tickets”. Um pedido melhor é: “Monte uma hunt no Splunk para o Event ID 4769 com RC4 0x17, exclua contas de serviço conhecidas e explique como confirmar se o 4768 existe para o mesmo usuário.”
Comece por um fluxo de detecção
O padrão mais útil para o guia detecting-golden-ticket-forgery é:
- confirmar se o seu ambiente deveria priorizar AES,
- inspecionar o 4769 em busca de
TicketEncryptionType=0x17, - correlacionar com 4768 e 4624 quando isso estiver disponível,
- comparar a validade do ticket e o comportamento da conta com a política,
- separar provável abuso de ruído de Kerberos legado ou de contas de serviço.
Esse fluxo mantém o skill ancorado em evidências, e não em suspeitas amplas.
Leia estes arquivos primeiro
Se você quer uma configuração rápida, veja SKILL.md para entender a intenção da detecção, references/api-reference.md para os principais Event IDs e exemplos de consultas no Splunk, e scripts/agent.py para ver como o repositório modela o parsing de eventos. Essa sequência ajuda você a entender o skill antes de tentar reaproveitá-lo no seu ambiente.
Perguntas frequentes sobre o skill detecting-golden-ticket-forgery
Isso é só para Splunk?
Não. O repositório traz exemplos para Splunk, mas o skill detecting-golden-ticket-forgery é, na prática, sobre a lógica de detecção por trás da query. Você pode adaptar os mesmos indicadores para Elastic, parsing em Python personalizado ou um pipeline de SIEM, desde que tenha dados de eventos de Windows Security.
Qual é o principal sinal de detecção?
O sinal recorrente mais forte é um comportamento suspeito no 4769, especialmente RC4 0x17 em ambientes que deveriam usar AES. O skill também considera contexto ausente ou divergente do 4768, durações anormais e anomalias do krbtgt, porque qualquer sinal isolado pode gerar ruído.
É amigável para iniciantes?
É amigável para analistas que já conhecem os termos básicos de autenticação no Windows, mas não para quem quer uma introdução em linguagem simples ao Kerberos. O guia detecting-golden-ticket-forgery é mais útil se você consegue interpretar Event IDs, tipos de ticket e premissas de política de domínio.
Quando eu não deveria usar?
Não dependa dele sozinho quando você tiver apenas logs parciais, ambientes muito legados ou casos em que RC4 ainda seja normal por motivos legítimos. Nessas situações, o skill ainda pode ajudar a estruturar a análise, mas não deve ser tratado como veredito final sem baselines locais.
Como melhorar o skill detecting-golden-ticket-forgery
Traga baselines específicos do seu ambiente
O maior salto de qualidade vem de dizer ao skill o que significa “esperado” no seu domínio: política de AES, tempo normal de validade do ticket, contas de serviço privilegiadas e sistemas legados conhecidos. Sem esses detalhes, o uso de detecting-golden-ticket-forgery pode apontar atividade legítima em excesso.
Peça um tipo de saída por vez
Os melhores resultados vêm de pedidos mais estreitos: uma query de hunting, um checklist de triagem, uma lista de filtros de falso positivo ou uma nota para analista. Se você pedir tudo ao mesmo tempo, a saída costuma ser menos acionável do que uma solicitação focada de detecting-golden-ticket-forgery para Security Audit.
Fique atento aos modos de falha comuns
Os erros mais comuns são tratar todo ticket RC4 como malicioso, ignorar exceções de contas de serviço e pular a correlação com o 4768. Ao iterar, peça ao skill para explicar por que cada indicador importa e quais casos benignos poderiam imitá-lo.
Melhore a segunda passada
Depois da primeira saída, devolva as lacunas: os nomes dos campos no seu SIEM, as fontes de log ausentes ou um exemplo de alerta em que você já confia. Em seguida, peça ao skill detecting-golden-ticket-forgery para refinar a query, reduzir ruído ou reescrever as etapas de investigação para o seu ambiente exato.