detecting-t1003-credential-dumping-with-edr
por mukul975Skill detecting-t1003-credential-dumping-with-edr para threat hunting com EDR, Sysmon e correlação de eventos do Windows para detectar despejo de credenciais em LSASS, SAM, NTDS.dit, segredos do LSA e credenciais em cache. Use para validar alertas, delimitar incidentes e reduzir falsos positivos com orientação prática de fluxo de trabalho.
Este skill recebe 82/100, o que o coloca como um candidato sólido para o diretório. Ele oferece um fluxo de trabalho concreto e focado em segurança para detectar T1003 credential dumping com evidências de EDR/Sysmon, ajudando agentes a acionar e usar o conteúdo com menos suposições do que um prompt genérico, embora seja mais voltado a hunting do que a uma solução turnkey.
- Escopo e gatilho específicos para hunts de credential dumping em LSASS, SAM, NTDS.dit e credenciais em cache.
- Boa estrutura operacional: pré-requisitos, fluxo em fases e exemplos de detecção para Sysmon, logs de Segurança do Windows e consultas de EDR.
- Recursos de apoio úteis, incluindo dois scripts, referências e um template de hunt reutilizável que aumentam a eficácia do agente.
- Não há comando de instalação no SKILL.md, então os usuários podem precisar inferir a configuração e o fluxo de execução.
- Parte das evidências do repositório é mais centrada em conteúdo de hunting do que em execução por agentes, então a adoção ainda pode exigir ajustes de analista para cada EDR/SIEM.
Visão geral do skill detecting-t1003-credential-dumping-with-edr
O que este skill faz
O skill detecting-t1003-credential-dumping-with-edr ajuda threat hunters a detectar credential dumping T1003 correlacionando telemetria de EDR, acesso a processos via Sysmon e eventos de segurança do Windows. Ele foi criado para analistas que precisam descobrir se o LSASS, o SAM, o NTDS.dit, segredos do LSA ou credenciais em cache foram alvo — e não apenas se um alerta isolado disparou.
Quem deve usar
Use o skill detecting-t1003-credential-dumping-with-edr se você já tem dados de EDR, Sysmon ou auditoria do Windows e quer chegar mais rápido da suspeita a um resultado de hunt validado. Ele se encaixa bem em incident responders, detection engineers e casos de uso de detecting-t1003-credential-dumping-with-edr for Threat Hunting, quando o objetivo é delimitar escopo, confirmar o evento e validar controles.
Por que ele é útil
O principal valor está na correlação prática: acesso suspeito ao LSASS, ferramentas conhecidas de dumping e atividade de registro ou arquivo são tratados como um único problema de hunting. Isso torna o skill mais útil do que um prompt genérico, porque ele já entrega um fluxo de trabalho concreto, IDs de evento, máscaras de acesso e filtros prováveis de falso positivo para começar.
Como usar o skill detecting-t1003-credential-dumping-with-edr
Instale e abra os arquivos certos
Para detecting-t1003-credential-dumping-with-edr install, adicione o skill a partir do repositório e leia primeiro SKILL.md, usando os arquivos de apoio como evidência — não como enfeite. Os caminhos mais úteis são assets/template.md para a estrutura do relatório, references/workflows.md para as fases do hunt, references/api-reference.md para detalhes de eventos e consultas, e references/standards.md para contexto de máscaras de acesso e controles.
Dê ao skill uma pergunta real de hunting
O detecting-t1003-credential-dumping-with-edr usage funciona melhor quando você fornece um objetivo delimitado, uma fonte de dados e um escopo de hosts. Um input forte seria: “Hunt para dumping de LSASS em endpoints Windows nas últimas 24 horas usando Sysmon Event 10 e alertas do Defender for Endpoint; priorize estações administrativas e retorne processos de origem suspeitos, linhas de comando e máscaras de acesso.” Um input fraco como “procure malware” força chute e faz você perder a lógica específica de EDR.
Use o fluxo de trabalho na ordem em que ele foi pensado
Comece pelo acesso ao processo LSASS, depois verifique linhas de comando conhecidas de credential dumping, em seguida procure extração do NTDS.dit ou de hives do registro e só então amplie para movimento lateral. Essa ordem importa porque separa evidência direta de acesso a credenciais de impacto downstream, reduz o ruído e ajuda a decidir se vale escalar para incident response.
Ajuste os inputs da consulta, não só o prompt
Se sua telemetria for ruidosa, especifique a origem do evento e os campos que você realmente tem. Por exemplo, peça ao skill para mapear Event ID 10 do Sysmon, 4688 do Windows ou campos de process lineage do EDR para o template do hunt. Se você tiver apenas uma fonte, diga isso logo no início; se tiver várias, peça regras de correlação entre elas para que a saída não fique superajustada a um único tipo de log.
Perguntas frequentes sobre o skill detecting-t1003-credential-dumping-with-edr
Isso serve só para dumping de LSASS?
Não. O guia detecting-t1003-credential-dumping-with-edr também cobre SAM, NTDS.dit, segredos do LSA, credenciais de domínio em cache e indicadores de DCSync. O acesso ao LSASS é o sinal mais rápido, mas o skill vai além disso porque, na prática, atacantes costumam combinar acesso à memória com manipulação de registro e abuso de replicação de diretório.
Em que ele é diferente de um prompt normal?
Um prompt normal pode identificar conceitos de T1003, mas o skill oferece uma estrutura de hunt repetível, referências concretas de eventos e um template para reportar os achados. Essa é a principal vantagem quando você precisa de detecting-t1003-credential-dumping-with-edr usage para gerar saída acionável, e não um resumo genérico.
Preciso de um EDR específico?
Não é obrigatório usar um EDR específico, mas o skill fica mais forte quando sua plataforma expõe campos de acesso a processo, linha de comando e evidências de alerta. Ele se encaixa bem em stacks comuns de EDR, além de Sysmon e auditoria do Windows; se o seu ambiente não tiver visibilidade de LSASS ou logging de criação de processo, os resultados serão mais fracos.
Quando eu não deveria usar?
Não dependa dele quando você só precisa de uma triagem ampla de malware sem telemetria de acesso a credenciais no Windows, ou quando não consegue coletar contexto suficiente do host para diferenciar ferramentas legítimas de administração de atividade de dumping. Nesses casos, um prompt mais estreito ou outro skill de detecção será mais rápido.
Como melhorar o skill detecting-t1003-credential-dumping-with-edr
Alimente com evidências melhores
Os melhores resultados vêm de inputs precisos: nomes de host, janela de tempo, processo pai, linha de comando, contexto de usuário, máscara de acesso e origem do alerta. Se puder, inclua um ou dois exemplos suspeitos como mimikatz sekurlsa::logonpasswords, procdump -ma lsass.exe ou reg save hklm\sam, porque isso ancora o hunt em padrões conhecidos sem obrigar o skill a inventá-los.
Reduza falsos positivos cedo
Diga ao skill quais processos são esperados no seu ambiente, especialmente ferramentas legítimas de segurança, utilitários administrativos e agentes de suporte que podem tocar o LSASS ou gerar ruído de acesso a processo. Isso importa porque o detecting-t1003-credential-dumping-with-edr é mais forte quando consegue separar comportamento administrativo normal de máscaras de acesso suspeitas e cadeias pai-filho incomuns.
Itere da detecção para o escopo
Depois da primeira passada, peça a próxima decisão de que você precisa: confirmar comprometimento, encontrar hosts relacionados ou extrair uma linha do tempo pronta para relatório. Um bom follow-up é: “Usando a mesma telemetria, resuma os sistemas provavelmente comprometidos, a evidência de cada um e se o sinal aponta para T1003.001, T1003.002 ou T1003.003.” Isso transforma o skill de um apoio de busca em um fluxo de trabalho de investigação.
Use o template para padronizar a saída
Mapeie os achados em assets/template.md para que cada hunt use os mesmos campos de hipótese, acesso ao LSASS, detecções de ferramentas, impacto e resposta. A padronização melhora o detecting-t1003-credential-dumping-with-edr skill porque obriga a saída a responder às perguntas operacionais: o que foi acessado, como, em qual host e o que deve ser resetado ou contido em seguida.