detecting-golden-ticket-forgery
作者 mukul975detecting-golden-ticket-forgery 透過分析 Windows Event ID 4769、RC4 降級使用(0x17)、異常票證存活時間,以及 Splunk 與 Elastic 中的 krbtgt 異常,偵測 Kerberos Golden Ticket 偽造。適合用於安全稽核、事件調查與威脅狩獵,並提供實用的偵測指引。
這個技能評分為 78/100,代表它很適合需要聚焦 Golden Ticket 偵測流程的目錄使用者。這個儲存庫提供了足夠具體的偵測邏輯、查詢範例與可執行的解析腳本,比起泛用提示更能降低猜測成本;但在操作邊界與安裝說明上仍需要更清楚的補充。
- 觸發條件與使用場景明確:透過 Event IDs 4768/4769、RC4 降級、票證存活時間異常與 krbtgt 異常來偵測 Kerberos Golden Ticket 偽造。
- 具備實務操作助力:包含 Splunk SPL 範例,以及可解析匯出的 Windows Security XML logs 的 Python script。
- 參考深度不錯:API reference 將指標對應到事件欄位與偵測模式,方便代理快速上手並採取行動。
- 節錄內容中的 prerequisites 有截斷,安裝使用者可能無法完整掌握所需的 log sources 或環境前提。
- 未提供 install command 或快速開始的封裝,因此採用時可能需要手動解讀 script 與 reference files。
detecting-golden-ticket-forgery 技能總覽
這個技能能做什麼
detecting-golden-ticket-forgery 技能協助分析師偵測 Kerberos Golden Ticket 濫用,重點放在真實環境裡真正有價值的訊號:可疑的 Event ID 4769 活動、在以 AES 為主的網域中使用 RC4 降級、異常偏長的票證存活時間,以及與 krbtgt 相關的異常。它特別適合 Security Audit、事件調查與偵測工程,當你需要的是可直接上手的實務起點,而不是一份泛泛的 ATT&CK 摘要時,這個技能最有用。
誰應該使用它
如果你在 Splunk 或 Elastic 中處理 Windows 網域遙測,並且需要把雜訊很高的驗證資料整理成可辯護的偵測流程,就適合使用這個 detecting-golden-ticket-forgery 技能。對 SOC 分析師、威脅獵捕人員與偵測工程師來說,它很合適,前提是你已經能存取 Security log,並且希望有更清楚的分流判斷邏輯。
為什麼值得安裝
它的主要價值不只是「找出 Golden Ticket」,而是幫你決定先看什麼:4769 的加密類型、缺少預期的 4768 背景脈絡,以及偏離網域原則的異常值。也就是說,detecting-golden-ticket-forgery 的安裝價值在於它能提供可重複使用的獵捕邏輯,而不只是一次性的提示詞。
如何使用 detecting-golden-ticket-forgery 技能
安裝並先放回正確脈絡
使用以下指令安裝 detecting-golden-ticket-forgery 技能:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-golden-ticket-forgery
接著先閱讀 skills/detecting-golden-ticket-forgery/SKILL.md,再看 references/api-reference.md 和 scripts/agent.py。這些檔案會說明偵測邏輯、技能預期的事件欄位,以及如果你想自動化解析或調整流程時應該看的 script 路徑。
給它正確的輸入
要讓 detecting-golden-ticket-forgery 發揮效果,請先明確提供三件事:你的 log 來源、你的 SIEM,以及在你們網域裡什麼才算「正常」。較弱的請求會是:「幫我檢查 Golden Tickets。」較好的說法會像是:「為 Event ID 4769 建立一個 Splunk hunt,針對 RC4 0x17,排除已知 service account,並說明如何確認同一個使用者是否也有 4768。」
從偵測流程開始
最實用的 detecting-golden-ticket-forgery 指引模式如下:
- 先確認你的環境是否應以 AES 為優先,
- 檢查 4769 是否有
TicketEncryptionType=0x17, - 在可取得時關聯 4768 與 4624,
- 將票證存活時間與帳號行為對照原則基準,
- 把高機率濫用與舊式 Kerberos 或 service account 雜訊分開。
這個流程能讓技能一直圍繞證據,而不是停留在籠統懷疑。
先讀這些檔案
如果你想快速上手,先看 SKILL.md 了解偵測意圖,再看 references/api-reference.md 掌握關鍵事件 ID 與 Splunk 範例查詢,最後看 scripts/agent.py 了解 repository 如何建模事件解析。照這個順序讀,能幫你先理解技能本身,再把它套用到自己的環境。
detecting-golden-ticket-forgery 技能 FAQ
這個技能只支援 Splunk 嗎?
不是。這個 repository 雖然提供了 Splunk 範例,但 detecting-golden-ticket-forgery 技能真正關注的是查詢背後的偵測邏輯。只要你有 Windows Security event data,就可以把同樣的指標改用在 Elastic、自訂 Python 解析,或 SIEM pipeline 上。
主要偵測訊號是什麼?
最強而且反覆出現的訊號,是可疑的 4769 行為,特別是在本來應該使用 AES 的環境裡出現 RC4 0x17。這個技能也在意缺失或不一致的 4768 背景、異常存活時間,以及 krbtgt 異常,因為任何單一訊號單獨看都可能很吵雜。
這個技能適合初學者嗎?
對已經懂一些基本 Windows 驗證術語的分析師來說,它算是容易上手;但如果你想要的是 Kerberos 的白話入門,它就不算最適合。當你看得懂 event ID、ticket 類型與網域原則假設時,detecting-golden-ticket-forgery 指引才會真正發揮價值。
什麼情況下不該用它?
如果你只有部分 log、環境高度遺留,或者 RC4 在合法情況下仍然很正常,就不要只靠它下結論。在這些情境下,這個技能仍然可以幫你整理檢視流程,但不能在沒有本地基準的情況下把它當成最終判定。
如何改進 detecting-golden-ticket-forgery 技能
提供與環境相關的基準值
最大的品質提升來自你先告訴技能什麼才算「預期內」:AES 原則、正常票證存活時間、特權 service account,以及已知的舊系統。沒有這些細節,detecting-golden-ticket-forgery 的使用方式就容易把合法活動標成可疑。
一次只要求一種輸出
更好的結果來自更聚焦的請求:一條 hunt query、一份分流檢查清單、一份誤判過濾清單,或一則分析師備註。如果一次要求四種輸出,結果通常不如針對 Security Audit 的單一、明確 detecting-golden-ticket-forgery 請求來得可操作。
注意常見失敗模式
最常見的錯誤,是把每一個 RC4 票證都當成惡意、忽略 service account 例外,以及跳過與 4768 的關聯。當你要迭代時,可以要求技能說明每個指標為什麼重要,以及哪些良性情況可能會長得很像。
強化第二輪輸出
第一次輸出後,把缺口回饋回去:你的 SIEM 欄位名稱、缺少的 log 來源,或一筆你已經信任的範例 alert。接著再請 detecting-golden-ticket-forgery 技能收緊查詢、降低雜訊,或依你實際環境重寫調查步驟。