detecting-lateral-movement-in-network

por mukul975

detecting-lateral-movement-in-network ajuda a detectar movimentação lateral pós-comprometimento em redes corporativas usando logs de eventos do Windows, telemetria do Zeek, SMB, RDP e correlação com SIEM. É útil para threat hunting, resposta a incidentes e revisões de Security Audit com fluxos práticos de detecção.

Estrelas0

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-lateral-movement-in-network

Pontuação editorial

Este skill recebe nota 78/100 e vale ser listado: tem um caso de uso de cibersegurança bem definido, conteúdo substancial de workflow e um helper em Python incluído que pode analisar evidências do Zeek/Windows. Ainda assim, usuários do diretório devem esperar algum trabalho de configuração específico da implementação, porque o repositório não traz um comando de instalação nem um fluxo de onboarding end-to-end muito explícito.

78/100

Pontos fortes

Foco claro em detecção de movimentação lateral, com hunting em eventos do Windows, logs do Zeek, SMB e evidências de RDP.
Conteúdo operacional robusto, com IDs de eventos nomeados, fontes de log e exemplos de consultas para Zeek/Splunk, além de um script auxiliar.
Boa acionabilidade a partir dos metadados do SKILL e da seção 'When to Use', que delimita o skill a cenários concretos de resposta a incidentes e hunting.

Pontos de atenção

Não há comando de instalação em SKILL.md, então os usuários talvez precisem integrar o skill ao ambiente manualmente.
O workflow é útil, mas não é totalmente self-service; alguns pré-requisitos e detalhes de integração ficam implícitos em vez de totalmente documentados.

Cybersecurity Network Security Threat Detection Siem Lateral Movement Zeek Splunk Windows

Visão geral

## Visão geral do skill detecting-lateral-movement-in-network

### O que este skill faz
O skill `detecting-lateral-movement-in-network` ajuda você a detectar o movimento de um invasor dentro da rede depois da compromissão inicial. Ele foca em sinais práticos, como eventos de autenticação do Windows, telemetria de rede do Zeek, SMB, RDP e correlação em SIEM, para transformar atividade interna ruidosa em detecções acionáveis.

### Para quem ele é indicado
Use o `detecting-lateral-movement-in-network skill` se você atua com detection engineering, resposta a incidentes, threat hunting ou numa revisão de `detecting-lateral-movement-in-network for Security Audit` de tráfego east-west. Ele é mais útil quando você já tem acesso a logs e precisa de regras melhores de triagem, não quando está procurando uma substituição pura de EDR.

### O que o torna diferente
Este skill é voltado para detecção operacional, não para teoria. O repo inclui um agente Python de apoio e material de referência para event IDs, logs do Zeek e padrões de consulta, o que facilita sair da ideia para a implementação. Isso também significa que o skill funciona melhor quando você consegue fornecer fontes reais de logs e um ambiente-alvo.

## Como usar o skill detecting-lateral-movement-in-network

### Instale e inspecione o repo
Para `detecting-lateral-movement-in-network install`, use:
`npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-lateral-movement-in-network`

Depois da instalação, leia primeiro `SKILL.md`, depois `references/api-reference.md` e, em seguida, `scripts/agent.py`. Esses arquivos mostram os mapeamentos de eventos, as premissas de log e a lógica executável em torno da qual o skill foi construído. Se você quiser o caminho mais rápido, procure seções sobre pré-requisitos, fluxo de trabalho e exemplos de detecção.

### Dê a ele a entrada certa
O padrão de `detecting-lateral-movement-in-network usage` funciona melhor quando você especifica:
- as fontes de log que você tem: Windows Security logs, `conn.log` do Zeek, `smb_mapping.log`, `kerberos.log`, dados do SIEM
- o comportamento suspeito: PsExec, salto por RDP, pass-the-hash, WMI, criação de serviço
- o escopo: um host, uma sub-rede ou uma janela de tempo do incidente
- o formato de saída: ideias de detecção, checklist de validação ou rascunho de query para SIEM

Um prompt fraco diz: “encontre lateral movement”. Um prompt mais forte diz: “crie detecções de lateral movement usando Windows 4624/4648/7045 e tráfego east-west do Zeek para um domínio Windows nas últimas 24 horas”.

### Siga um fluxo de trabalho prático
Um bom `detecting-lateral-movement-in-network guide` é:
1. Confirme quais telemetrias existem e o que está faltando.
2. Mapeie o comportamento suspeito para event IDs e logs de rede.
3. Estabeleça uma linha de base da comunicação interna normal antes de caçar anomalias.
4. Converta o padrão suspeito em uma regra de SIEM ou query de hunting.
5. Valide contra atividade administrativa legítima para não gerar alertas em excesso.

Se você só tiver logs north-south, o skill ficará limitado. Ele foi feito para detecção de movimento interno, então a visibilidade east-west importa mais do que o monitoramento amplo de perímetro.

### O que ler primeiro para obter uma saída melhor
Comece por `references/api-reference.md` para ver os event IDs do Windows e os nomes de logs do Zeek que o skill espera. Depois, inspecione `scripts/agent.py` para entender como ele classifica conexões internas suspeitas e tipos de logon. Em geral, isso gera uma saída mais útil do que tentar ler o repositório inteiro de uma vez.

## FAQ do skill detecting-lateral-movement-in-network

### Isso é só um prompt ou um skill de verdade?
É um `detecting-lateral-movement-in-network skill` de verdade, com estrutura de repositório, material de referência e um helper em Python. Isso o torna mais confiável do que um prompt genérico quando você precisa de lógica de detecção repetível.

### Preciso já ter ferramentas de segurança em funcionamento?
Sim, pelo menos alguma telemetria. O skill é mais forte com Windows event logs, Zeek e acesso a SIEM. Se você não tiver visibilidade da rede interna, os resultados serão mais fracos e mais especulativos.

### É amigável para iniciantes?
Ele pode ser usado por iniciantes que conseguem descrever seu ambiente e seus logs, mas os melhores resultados vêm de quem sabe quais sistemas, portas e eventos de autenticação quer inspecionar. Se você está começando, foque em uma técnica suspeita por vez em vez de pedir uma cobertura ampla de hunting.

### Quando não devo usá-lo?
Não o use para forense de endpoint sem contexto de rede ou de logs, nem para análise genérica de malware sem relação com lateral movement. Também é uma má escolha se você só quer uma explicação em alto nível, sem saída de detecção.

## Como melhorar o skill detecting-lateral-movement-in-network

### Forneça telemetria concreta e uma janela de tempo
O maior ganho de qualidade vem de nomear as fontes e o intervalo reais. Diga se você tem Zeek `conn.log`, Windows 4624/4625/4648/7045 ou exports do SIEM, e inclua o intervalo de tempo. Isso ajuda o skill a evitar recomendações genéricas e a focar em evidências que você realmente consegue validar.

### Nomeie o caminho de lateral movement que importa para você
Se quiser um `detecting-lateral-movement-in-network usage` melhor, especifique a técnica: RDP, PsExec, SMB admin shares, WMI, abuso de Kerberos ou pass-the-hash. Cada uma se mapeia para sinais diferentes, e o skill consegue gerar detecções mais precisas quando sabe qual é o caminho provável.

### Peça uma saída que possa ser executada
Em vez de pedir “análise”, solicite um destes itens:
- uma hunt query para Splunk ou outro SIEM
- uma lista enxuta de event IDs de alto sinal
- um plano de validação para atividade administrativa legítima
- um checklist de triagem para um par de hosts suspeito

Isso aumenta a chance de a saída apoiar o trabalho de Security Audit em vez de soar como um resumo.

### Itere contra falsos positivos
O principal modo de falha em detectar lateral movement é disparar demais por causa de ferramentas administrativas e atividade normal de suporte remoto. Se o primeiro resultado vier ruidoso demais, informe o que é legítimo no seu ambiente: jump hosts, ferramentas de patching, service accounts conhecidas ou sub-redes administrativas. Isso permite que o skill afine o conjunto de regras em vez de ampliá-lo.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

security-threat-model

por openai

Skill security-threat-model baseada no repositório para threat modeling em AppSec. Ela mapeia fronteiras de confiança, ativos, objetivos do atacante, caminhos de abuso e mitigações em um threat model conciso em Markdown. Use quando precisar de security-threat-model para Threat Modeling em um repositório ou caminho específico, e não de uma revisão genérica de arquitetura ou de uma checagem de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ajuda a analisar textos e imagens em busca de conteúdo nocivo com o Azure AI Content Safety em TypeScript. Use esta skill para fluxos de moderação, blocklists e verificações de auditoria de segurança para ódio, violência, conteúdo sexual e autoagressão. Ela também cobre a configuração do endpoint e da autenticação no Azure.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

A skill sharp-edges ajuda você a encontrar APIs, configurações e interfaces em que o caminho mais fácil leva a um uso inseguro. Use-a para revisar fluxos de autenticação, wrappers criptográficos, padrões perigosos de default, semântica de null ou zero e escolhas de design propensas a uso indevido. É uma ótima opção para trabalhos de sharp-edges em Auditoria de Segurança quando você precisa de armadilhas concretas, não de palpites genéricos sobre segurança.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

A skill de exploração de armazenamento inseguro em mobile ajuda a avaliar e extrair evidências de armazenamento local inseguro em apps Android e iOS. Ela cobre SharedPreferences, bancos SQLite, arquivos plist, arquivos legíveis por todos, exposição por backup e tratamento fraco de keychain/keystore, apoiando fluxos de mobile pentesting e Security Audit.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ajuda equipes a criar um processo repetível para Microsoft Patch Tuesday, com triagem de advisories, priorização de risco, testes de patches, aprovação de rollout e acompanhamento de conformidade. É útil para operações de segurança, gestão de vulnerabilidades e para building-patch-tuesday-response-process em gestão de projetos.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprenda a skill ossfuzz para configuração de fuzzing contínuo, inscrição de projetos, planejamento de harnesses e revisão do fluxo de build. Este guia ajuda engenheiros de segurança e mantenedores a avaliar a prontidão, identificar bloqueios de build e preparar um caminho prático do código-fonte até o OSS-Fuzz ou uma infraestrutura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

O skill codeql ajuda você a usar o CodeQL com menos pontos cegos durante uma auditoria de segurança. Ele foca na qualidade do banco de dados, na seleção de suites, em extensões de dados e na revisão de SARIF, para que você possa usar o codeql de forma mais confiável entre as linguagens compatíveis. Use-o para seguir etapas repetíveis do guia codeql ao analisar repositórios reais.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

O semgrep-rule-creator cria regras do Semgrep com qualidade de produção para vulnerabilidades de segurança, padrões de bugs, detecções de taint-flow e padrões de codificação. Use o skill semgrep-rule-creator para trabalho de Auditoria de Segurança quando precisar de regras precisas, casos de teste e validação, em vez de um rascunho genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

A skill insecure-defaults ajuda a identificar padrões de configuração fail-open que fazem o software continuar executando com definições inseguras em vez de parar. Use em uma Security Audit de código em produção, configurações de deployment e lógica de tratamento de secrets para detectar autenticação fraca, secrets hardcoded e defaults permissivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis é uma skill de auditoria de segurança para encontrar riscos de side-channel de tempo em código criptográfico antes que virem bugs exploráveis. Use-a para revisar matemática, branches, comparações e saída compilada dependentes de segredo ao analisar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide orienta um fluxo de trabalho de segurança em 5 etapas para Solidity: triagem com Slither, checagens específicas por recurso, inspeção visual, anotações de propriedades de segurança e revisão manual. Foi feito para equipes de smart contracts, auditores e builders que querem um guia repeatable de secure-workflow-guide antes do deploy ou do release.

Security Audit

Favoritos 0GitHub 4.9k