Active Directory

exploiting-kerberoasting-with-impacket giúp người kiểm thử được ủy quyền lập kế hoạch Kerberoasting bằng `GetUserSPNs.py` của Impacket, từ liệt kê SPN đến trích xuất ticket TGS, bẻ khóa ngoại tuyến và báo cáo có xét đến khả năng bị phát hiện. Hãy dùng hướng dẫn exploiting-kerberoasting-with-impacket này cho quy trình kiểm thử xâm nhập với ngữ cảnh cài đặt và sử dụng rõ ràng.

Kỹ năng configuring-active-directory-tiered-model hỗ trợ thiết kế và kiểm tra phân tách tầng Active Directory theo kiểu Microsoft ESAE. Dùng hướng dẫn configuring-active-directory-tiered-model này để xem xét quyền truy cập Tier 0/1/2, PAW, ranh giới quản trị, phơi lộ thông tin xác thực và các phát hiện kiểm toán bảo mật trong ngữ cảnh triển khai rõ ràng hơn.

Kỹ năng exploiting-nopac-cve-2021-42278-42287 là một hướng dẫn thực hành để đánh giá chuỗi noPac (CVE-2021-42278 và CVE-2021-42287) trong Active Directory. Kỹ năng này giúp người làm red team được ủy quyền và người dùng Security Audit kiểm tra điều kiện tiên quyết, rà soát các tệp quy trình và ghi nhận khả năng khai thác với ít phỏng đoán hơn.

Skill exploiting-constrained-delegation-abuse hướng dẫn kiểm thử có ủy quyền trên Active Directory đối với việc lạm dụng Kerberos constrained delegation. Nội dung bao gồm bước liệt kê, yêu cầu vé S4U2self và S4U2proxy, cùng các hướng đi thực tế để di chuyển ngang hoặc leo thang đặc quyền. Phù hợp khi bạn cần một hướng dẫn lặp lại được cho pentest, chứ không phải một tổng quan chung về Kerberos.

detecting-pass-the-ticket-attacks giúp phát hiện hoạt động Kerberos Pass-the-Ticket bằng cách tương quan các Windows Security Event ID 4768, 4769 và 4771. Hãy dùng nó để threat hunting trong Splunk hoặc Elastic nhằm phát hiện việc tái sử dụng ticket, hạ cấp RC4 và lưu lượng TGS bất thường, kèm truy vấn thực tế và hướng dẫn về field.

Skill phát hiện Kerberoasting giúp săn tìm Kerberoasting bằng cách nhận diện các yêu cầu Kerberos TGS đáng ngờ, kiểu mã hóa vé yếu và các mẫu hành vi của service account. Phù hợp cho các workflow SIEM, EDR, EVTX và Threat Modeling với các mẫu phát hiện thực tế cùng hướng dẫn tinh chỉnh để giảm nhiễu.

detecting-golden-ticket-forgery phát hiện giả mạo Kerberos Golden Ticket bằng cách phân tích Windows Event ID 4769, việc hạ cấp sang RC4 (0x17), thời lượng ticket bất thường và các bất thường ở krbtgt trong Splunk và Elastic. Được xây dựng cho Security Audit, điều tra sự cố và threat hunting với hướng dẫn phát hiện thực tế.

Skill detecting-credential-dumping-techniques giúp bạn phát hiện truy cập LSASS, xuất SAM, đánh cắp NTDS.dit và lạm dụng comsvcs.dll MiniDump bằng Sysmon Event ID 10, Windows Security logs và các quy tắc tương quan SIEM. Skill này được xây dựng cho các quy trình threat hunting, detection engineering và Security Audit.

deploying-active-directory-honeytokens giúp đội phòng thủ lên kế hoạch và tạo honeytoken cho Active Directory phục vụ công việc Security Audit, bao gồm tài khoản đặc quyền giả, SPN giả để phát hiện Kerberoasting, bẫy GPO mồi nhử và các đường đi BloodHound đánh lạc hướng. Nội dung kết hợp hướng dẫn thiên về cài đặt với script và tín hiệu telemetry để triển khai và rà soát thực tế.

containing-active-breach là một kỹ năng ứng phó sự cố dành cho việc cô lập vi phạm đang diễn ra. Kỹ năng này giúp cô lập máy chủ, chặn lưu lượng đáng ngờ, vô hiệu hóa tài khoản bị xâm nhập và làm chậm chuyển động ngang bằng một hướng dẫn containing-active-breach có cấu trúc, kèm tham chiếu API và script thực tiễn.

configuring-ldap-security-hardening giúp kỹ sư bảo mật và kiểm toán viên đánh giá rủi ro LDAP, bao gồm anonymous bind, ký yếu, thiếu LDAPS và lỗ hổng channel binding. Hãy dùng hướng dẫn configuring-ldap-security-hardening này để rà soát tài liệu tham chiếu, chạy công cụ audit Python và tạo khuyến nghị khắc phục thực tế cho Security Audit.

Hướng dẫn conducting-domain-persistence-with-dcsync dành cho công việc kiểm tra an ninh Active Directory được ủy quyền. Tìm hiểu cách cài đặt, sử dụng và quy trình làm việc để đánh giá quyền DCSync, mức độ lộ KRBTGT, rủi ro Golden Ticket và các bước khắc phục bằng các script, tài liệu tham khảo và mẫu báo cáo đi kèm.

building-identity-governance-lifecycle-process giúp thiết kế quản trị danh tính và quản lý vòng đời cho tự động hóa joiner-mover-leaver, rà soát quyền truy cập, cấp quyền theo vai trò và dọn dẹp tài khoản mồ côi. Đây là lựa chọn phù hợp cho các chương trình Kiểm soát Truy cập liên hệ nhiều hệ thống, cần hướng dẫn quy trình thực tế chứ không phải một bản chính sách chung chung.

Kỹ năng auditing-azure-active-directory-configuration giúp rà soát bảo mật tenant Microsoft Entra ID để phát hiện các cài đặt xác thực rủi ro, tình trạng phân quyền admin tràn lan, tài khoản cũ không còn dùng, khoảng trống trong Conditional Access, mức độ lộ diện của guest, và phạm vi bao phủ MFA. Kỹ năng này được thiết kế cho quy trình Security Audit, với bằng chứng dựa trên Graph và hướng dẫn thực hành rõ ràng.

Kỹ năng analyzing-windows-event-logs-in-splunk giúp các nhà phân tích SOC điều tra log Windows Security, System và Sysmon trong Splunk để tìm các cuộc tấn công xác thực, leo thang đặc quyền, duy trì hiện diện và di chuyển ngang. Hãy dùng kỹ năng này cho phân loại sự cố ban đầu, kỹ thuật phát hiện và phân tích dòng thời gian với các mẫu SPL đã được ánh xạ cùng hướng dẫn event ID.

analyzing-active-directory-acl-abuse giúp kiểm toán viên bảo mật và nhóm ứng phó sự cố kiểm tra dữ liệu nTSecurityDescriptor trong Active Directory bằng ldap3 để phát hiện các đường dẫn lạm dụng như GenericAll, WriteDACL và WriteOwner trên user, group, computer và OU.