Active Directory

O exploitng-kerberoasting-with-impacket ajuda testadores autorizados a planejar Kerberoasting com o `GetUserSPNs.py` do Impacket, desde a enumeração de SPNs até a extração de tickets TGS, crack offline e relatórios com foco em detecção. Use este guia de exploiting-kerberoasting-with-impacket para fluxos de teste de intrusão com contexto claro de instalação e uso.

A skill de modelo em camadas do Active Directory ajuda a projetar e auditar a separação por camadas no Microsoft ESAE. Use este guia de configuring-active-directory-tiered-model para revisar acesso das Camadas 0/1/2, PAWs, limites administrativos, exposição de credenciais e achados de auditoria de segurança com mais contexto de implementação.

A skill exploiting nopac cve-2021-42278-42287 é um guia prático para avaliar a cadeia noPac (CVE-2021-42278 e CVE-2021-42287) no Active Directory. Ela ajuda red teamers autorizados e usuários de Security Audit a verificar pré-requisitos, revisar arquivos de fluxo de trabalho e documentar a explorabilidade com menos tentativa e erro.

A skill exploiting-constrained-delegation-abuse orienta testes autorizados em Active Directory sobre abuso de delegação restrita do Kerberos. Ele cobre enumeração, solicitações de tickets S4U2self e S4U2proxy, e caminhos práticos para movimentação lateral ou escalonamento de privilégios. Use quando precisar de um guia repetível para pentest, e não de uma visão geral genérica do Kerberos.

detecting-pass-the-ticket-attacks ajuda a detectar atividade Kerberos Pass-the-Ticket correlacionando os Event IDs 4768, 4769 e 4771 do Windows Security. Use-a para threat hunting no Splunk ou Elastic e identificar reutilização de tickets, downgrades para RC4 e volumes anormais de TGS com consultas práticas e orientação de campos.

A skill detecting-kerberoasting-attacks ajuda a caçar Kerberoasting ao identificar solicitações suspeitas de TGS do Kerberos, criptografia fraca de tickets e padrões de contas de serviço. Use-a em fluxos de trabalho de SIEM, EDR, EVTX e Threat Modeling com modelos práticos de detecção e orientações de ajuste.

A skill detecting-golden-ticket-forgery identifica falsificação de Kerberos Golden Ticket analisando o Windows Event ID 4769, uso de downgrade para RC4 (0x17), tempos de vida anormais dos tickets e anomalias em krbtgt no Splunk e no Elastic. Foi criada para Security Audit, investigação de incidentes e threat hunting, com orientação prática de detecção.

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

deploying-active-directory-honeytokens ajuda defensores a planejar e gerar honeytokens de Active Directory para trabalhos de Auditoria de Segurança, incluindo contas privilegiadas falsas, SPNs falsos para detecção de Kerberoasting, armadilhas com GPOs isca e caminhos enganosos no BloodHound. Ele combina orientação voltada à instalação com scripts e sinais de telemetria para implantação e revisão práticas.

containing-active-breach é uma skill de resposta a incidentes para contenção de violações em andamento. Ela ajuda a isolar hosts, bloquear tráfego suspeito, desativar contas comprometidas e desacelerar o movimento lateral usando um guia estruturado de containing-active-breach com referências práticas de API e scripts.

A skill configuring-ldap-security-hardening ajuda engenheiros e auditores de segurança a avaliar riscos em LDAP, incluindo bind anônimo, assinatura fraca, ausência de LDAPS e lacunas em channel binding. Use este guia de configuring-ldap-security-hardening para revisar a documentação de referência, executar o auxiliar de auditoria em Python e gerar recomendações práticas de remediação para uma Auditoria de Segurança.

Guia de conducting-domain-persistence-with-dcsync para trabalho autorizado de auditoria de segurança no Active Directory. Aprenda a instalar, usar e seguir o fluxo para avaliar permissões de DCSync, exposição do KRBTGT, risco de Golden Ticket e etapas de remediação com os scripts, referências e modelo de relatório incluídos.

building-identity-governance-lifecycle-process ajuda a desenhar governança de identidade e gestão de ciclo de vida para automação de joiner-mover-leaver, revisões de acesso, provisionamento baseado em papéis e limpeza de contas órfãs. É ideal para programas de Access Control entre sistemas que precisam de orientação prática de workflow, e não de um rascunho genérico de política.

A skill de auditoria da configuração do Azure Active Directory ajuda a revisar a segurança do tenant do Microsoft Entra ID em busca de configurações de autenticação arriscadas, excesso de funções administrativas, contas desatualizadas, lacunas no Conditional Access, exposição de contas guest e cobertura de MFA. Ela foi pensada para fluxos de trabalho de Security Audit, com evidências baseadas em Graph e orientações práticas.

A skill de análise de logs de eventos do Windows no Splunk ajuda analistas de SOC a investigar logs de Security, System e Sysmon no Splunk para ataques de autenticação, elevação de privilégio, persistência e movimento lateral. Use-a para triagem de incidentes, engenharia de detecção e análise de linha do tempo, com padrões SPL mapeados e orientação por IDs de evento.

analyzing-active-directory-acl-abuse ajuda auditores de segurança e equipes de resposta a incidentes a inspecionar dados de nTSecurityDescriptor no Active Directory com ldap3 para identificar caminhos de abuso como GenericAll, WriteDACL e WriteOwner em usuários, grupos, computadores e OUs.