detecting-pass-the-ticket-attacks

por mukul975

detecting-pass-the-ticket-attacks ajuda a detectar atividade Kerberos Pass-the-Ticket correlacionando os Event IDs 4768, 4769 e 4771 do Windows Security. Use-a para threat hunting no Splunk ou Elastic e identificar reutilização de tickets, downgrades para RC4 e volumes anormais de TGS com consultas práticas e orientação de campos.

Estrelas0

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaThreat Hunting

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-pass-the-ticket-attacks

Pontuação editorial

Esta skill tem nota 78/100, o que indica que é uma opção sólida para usuários do diretório que querem um fluxo de detecção de Pass-the-Ticket específico, e não um prompt genérico de cibersegurança. O repositório traz conteúdo concreto de detecção — event IDs, exemplos de consultas e um script de execução — suficiente para apoiar a decisão de instalação, embora ainda seja necessário adaptar a solução ao seu SIEM e ao esquema de logs.

78/100

Pontos fortes

Escopo e gatilho bem definidos: o SKILL.md mira diretamente a detecção de Kerberos Pass-the-Ticket usando os Event IDs 4768, 4769 e 4771 do Windows, em Splunk e Elastic SIEM.
Boa utilidade operacional: as referências incluem exemplos concretos de SPL e KQL para downgrade de RC4, reutilização de tickets entre hosts e anomalias de volume de TGS.
Suporte à execução por agente: o `scripts/agent.py` analisa XML exportado do Windows Security Event e foca apenas nos eventos Kerberos relevantes.

Pontos de atenção

A prontidão para instalação é um pouco limitada pela ausência de comando de instalação e pela documentação truncada, então o usuário pode precisar inferir o fluxo completo a partir do repositório.
A lógica de detecção parece depender do ambiente e pressupõe XML exportado de eventos do Windows e nomes de campos específicos do SIEM, o que pode exigir adaptação antes do uso.

Kerberos Active Directory Splunk Elastic Ntlm Pass The Hash Windows Security

Visão geral

Visão geral da skill detecting-pass-the-ticket-attacks

O que a skill detecting-pass-the-ticket-attacks faz

A skill detecting-pass-the-ticket-attacks ajuda a detectar atividade de Kerberos Pass-the-Ticket (PtT) correlacionando eventos de Segurança do Windows 4768, 4769 e 4771. Ela é mais útil quando você precisa de lógica prática de threat hunting, e não de uma explicação genérica sobre Kerberos.

Quem deve instalar

Essa skill é indicada para analistas de SOC, detection engineers e responders a incidentes que atuam em domínios Windows com Splunk ou Elastic. Ela é especialmente relevante para detecting-pass-the-ticket-attacks for Threat Hunting quando você quer consultas reproduzíveis para reutilização de tickets, downgrades para RC4 e comportamento incomum de service tickets.

Por que ela é diferente

A skill é baseada em campos concretos de eventos e em padrões de detecção, em vez de teoria abstrata de ATT&CK. O valor real está em transformar logs ruidosos de controladores de domínio em sinais acionáveis que você pode operacionalizar em fluxos de trabalho de SIEM.

Como usar a skill detecting-pass-the-ticket-attacks

Instale e inspecione primeiro os arquivos certos

Use o fluxo detecting-pass-the-ticket-attacks install para a sua plataforma e, em seguida, leia primeiro SKILL.md, depois references/api-reference.md e scripts/agent.py. Esses dois arquivos de suporte mostram os campos de evento, os formatos de consulta e a lógica de parsing que realmente movem a skill.

Monte um prompt de entrada completo

Para obter o melhor detecting-pass-the-ticket-attacks usage, dê à skill quatro coisas: seu SIEM, sua fonte de logs, seu objetivo e suas restrições. Um bom prompt seria: “Use detecting-pass-the-ticket-attacks para caçar PtT nos logs de Security do Splunk em controladores de domínio, focando em downgrades RC4 no 4769 e reutilização de tickets entre hosts, e devolva uma query pronta para triagem com notas de falso positivo.”

Comece pelo padrão de detecção, não pelo dashboard

Essa skill funciona melhor quando você parte de uma das hipóteses suportadas: downgrade de criptografia para RC4, solicitações TGS repetidas a partir de múltiplos IPs ou volume anormal de 4769 por usuário. Depois, adapte a saída aos nomes dos seus índices, aos mapeamentos de campos e aos limiares de alerta, em vez de copiar os exemplos do repositório literalmente.

Use o repositório como guia de workflow

Se você quer o caminho mais curto pelo repo, siga esta ordem: SKILL.md para entender o escopo, references/api-reference.md para nomes de campos e exemplos de padrões em Splunk/KQL, e scripts/agent.py para ver como a lógica dos eventos é normalizada. Essa sequência leva você mais rápido de uma ideia inicial a uma lógica de hunting realmente utilizável.

FAQ da skill detecting-pass-the-ticket-attacks

Isso é só para Splunk ou Elastic?

Não. Splunk e Elastic são os exemplos principais, mas a lógica de detecção em si é orientada pelos eventos de Segurança do Windows. Se o seu SIEM consegue consultar os campos dos eventos 4768, 4769 e 4771, você pode adaptar a skill detecting-pass-the-ticket-attacks para ele.

Preciso ter conhecimento profundo de Kerberos antes?

Não, mas você precisa de uma familiaridade básica com logs de autenticação de controladores de domínio. A skill é amigável para iniciantes em hunting guiado, mas os resultados ficam bem melhores se você já souber onde encontrar TargetUserName, IpAddress, ServiceName e TicketEncryptionType.

Quando eu não devo usar essa skill?

Não use se você só precisa de cobertura ampla contra roubo de credenciais ou se não tiver auditoria de controladores de domínio. detecting-pass-the-ticket-attacks é estreita por design: ela serve para investigação e engineering de detecção voltadas a PtT, não para monitoramento geral de segurança no Windows.

Em que isso difere de um prompt normal?

Um prompt normal muitas vezes gera uma query isolada. A detecting-pass-the-ticket-attacks skill entrega uma estrutura reutilizável: quais evidências importam, quais Event IDs correlacionar e como transformar uma ideia de hunting em um fluxo de trabalho de detecção.

Como melhorar a skill detecting-pass-the-ticket-attacks

Forneça detalhes mais fortes do ambiente

O maior ganho de qualidade vem de especificar o ambiente logo de início: versão do Windows, fonte de logs do DC, SIEM e nomes de campos conhecidos. Se os seus dados usam aliases diferentes, diga isso antes de pedir a saída para que a skill consiga mapear IpAddress ou TicketEncryptionType corretamente.

Peça uma hipótese por vez

Um detecting-pass-the-ticket-attacks usage melhor vem de pedidos focados. Separe “detecção de downgrade RC4”, “reutilização entre hosts” e “anômala de volume de TGS” em execuções individuais para que a saída traga limites mais precisos, orientação de triagem mais clara e menos suposições misturadas.

Dê exemplos de comportamento esperado e comportamento ruim

Se puder, inclua um padrão de evento conhecido como bom e um padrão suspeito dos seus logs. Isso ajuda a skill a calibrar a lógica de detecção e reduz falsos positivos, especialmente quando contas de serviço legítimas ou sistemas legados se parecem com indicadores de PtT.

Itere nos limiares e na saída de triagem

Depois do primeiro resultado, refine de acordo com o seu nível de ruído: peça limiares mais baixos ou mais altos, uma versão com explicações amigáveis para analistas ou uma versão que diferencie detecção de investigação. O melhor detecting-pass-the-ticket-attacks guide é aquele que termina com queries que você realmente consegue implantar e ajustar.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ajuda a caçar process hollowing (T1055.012) em telemetria do Windows correlacionando execuções suspensas, adulteração de memória, anomalias entre processo pai e filho e evidências de API. Feita para threat hunters, detection engineers e responders que precisam de um detecting-process-hollowing-technique prático para o fluxo de trabalho de Threat Hunting.

Threat Hunting

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

O exploitng-kerberoasting-with-impacket ajuda testadores autorizados a planejar Kerberoasting com o `GetUserSPNs.py` do Impacket, desde a enumeração de SPNs até a extração de tickets TGS, crack offline e relatórios com foco em detecção. Use este guia de exploiting-kerberoasting-with-impacket para fluxos de teste de intrusão com contexto claro de instalação e uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

A skill detecting-shadow-it-cloud-usage ajuda a identificar uso não autorizado de SaaS e serviços de cloud a partir de logs de proxy, consultas DNS e netflow. Ela classifica domínios, compara com listas aprovadas e dá suporte a fluxos de auditoria de segurança com evidências estruturadas, conforme o guia da skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

Digital Forensics

Favoritos 0GitHub 6.2k