detecting-pass-the-ticket-attacks
作者 mukul975detecting-pass-the-ticket-attacks 可透過關聯 Windows 安全性事件 ID 4768、4769 與 4771,協助偵測 Kerberos Pass-the-Ticket 活動。適合在 Splunk 或 Elastic 中進行威脅狩獵,用來找出票證重用、RC4 降級與異常 TGS 流量,並提供實用查詢與欄位指引。
這個技能評分為 78/100,代表它很適合想要專注於 Pass-the-Ticket 偵測流程、而不是泛用資安提示詞的目錄使用者。儲存庫提供了足夠具體的偵測內容——事件 ID、範例查詢與執行腳本——足以支援安裝決策;但使用者仍應預期需要依自己的 SIEM 與日誌結構做調整。
- 目標明確、範圍清楚:`SKILL.md` 直接針對 Kerberos Pass-the-Ticket 偵測,並使用 Windows Event ID 4768、4769、4771,適用於 Splunk 與 Elastic SIEM。
- 可直接落地:內文提供 RC4 降級、跨主機票證重用與 TGS 流量異常的具體 SPL 與 KQL 範例。
- 支援代理執行:`scripts/agent.py` 會解析匯出的 Windows Security event XML,並只聚焦相關的 Kerberos 事件。
- 由於缺少安裝命令且文件有截斷,安裝準備度略受限制;使用者可能需要自行從儲存庫推敲完整流程。
- 偵測邏輯看起來高度依賴環境,假設已匯出的 Windows event XML 與 SIEM 專屬欄位名稱;正式使用前可能需要先做適配。
detecting-pass-the-ticket-attacks 技能總覽
detecting-pass-the-ticket-attacks 技能能做什麼
detecting-pass-the-ticket-attacks 技能可透過關聯 Windows Security 事件 4768、4769 與 4771,協助你偵測 Kerberos Pass-the-Ticket(PtT)活動。當你需要的是可直接用來威脅狩獵的實用邏輯,而不是一篇泛泛的 Kerberos 說明時,這個 detecting-pass-the-ticket-attacks 技能特別有用。
誰適合安裝
這個技能適合在 Windows 網域中使用 Splunk 或 Elastic 的 SOC 分析師、偵測工程師與事件應變人員。當你想針對票證重複使用、RC4 降級與異常服務票證行為建立可重複執行的查詢時,detecting-pass-the-ticket-attacks for Threat Hunting 尤其值得安裝。
為什麼它不一樣
這個技能是以具體事件欄位與偵測模式為基礎,而不是停留在抽象的 ATT&CK 理論。它真正的價值在於把雜訊很高的網域控制站記錄,轉成你可以在 SIEM 工作流程中實際落地的可行訊號。
如何使用 detecting-pass-the-ticket-attacks 技能
先安裝並檢查正確的檔案
先依你的平台執行 detecting-pass-the-ticket-attacks install 工作流程,接著先閱讀 SKILL.md,再看 references/api-reference.md 與 scripts/agent.py。這兩個支援檔案會說明真正驅動此技能的事件欄位、查詢形式與解析邏輯。
建立完整的輸入提示
要達到最佳的 detecting-pass-the-ticket-attacks usage,請一次提供四項資訊:你的 SIEM、記錄來源、目標,以及限制條件。好的提示例如:「使用 detecting-pass-the-ticket-attacks 針對來自網域控制站的 Splunk Security logs 進行 PtT 狩獵,重點放在 4769 的 RC4 降級與跨主機票證重複使用,並輸出可直接交由分流處理的 query 與誤報說明。」
從偵測模式開始,不要從儀表板開始
這個技能最適合先從其中一個支援的假設切入:RC4 加密降級、來自多個 IP 的重複 TGS 請求,或每位使用者異常偏高的 4769 量。接著再依你的 index 名稱、欄位對應與告警門檻調整輸出,而不是原封不動照抄 repo 範例。
把 repository 當成工作流程指南來用
如果你想最快走完整個 repo,建議照這個順序:先看 SKILL.md 確認範圍,再看 references/api-reference.md 找欄位名稱與 Splunk/KQL 範例模式,最後看 scripts/agent.py 理解事件邏輯如何標準化。這個順序能讓你從模糊想法最快走到可用的威脅狩獵邏輯。
detecting-pass-the-ticket-attacks 技能 FAQ
這只適用於 Splunk 或 Elastic 嗎?
不是。Splunk 與 Elastic 只是主要範例,但底層偵測邏輯是以 Windows Security 事件為核心。如果你的 SIEM 能查詢 4768、4769 與 4771 這些欄位,就可以把 detecting-pass-the-ticket-attacks 技能套用上去。
我需要先很懂 Kerberos 嗎?
不需要,但你至少要對網域控制站的驗證記錄有基本認識。這個技能適合用來帶著你做狩獵,但如果你已經知道要在哪裡找 TargetUserName、IpAddress、ServiceName 與 TicketEncryptionType,結果通常會更好。
什麼情況下不適合用這個技能?
如果你只需要廣泛的憑證竊取涵蓋範圍,或是你的環境沒有啟用網域控制站稽核,就不建議使用。detecting-pass-the-ticket-attacks 的設計範圍很窄:它是針對 PtT 的調查與偵測工程,不是通用的 Windows 安全監控。
這和一般提示詞有什麼不同?
一般提示詞通常只會給你一條一次性的 query。detecting-pass-the-ticket-attacks skill 提供的是可重複使用的結構:哪些證據重要、要關聯哪些事件 ID,以及如何把一個狩獵想法轉成偵測工作流程。
如何改進 detecting-pass-the-ticket-attacks 技能
先提供更完整的環境資訊
品質提升最大的一步,是在一開始就說清楚你的環境:Windows 版本、DC 記錄來源、SIEM,以及已知欄位名稱。若你的資料使用不同別名,也請在要求輸出前先說明,這樣技能才能正確對應 IpAddress 或 TicketEncryptionType。
一次只問一個假設
更好的 detecting-pass-the-ticket-attacks usage 來自更聚焦的需求。把「RC4 降級偵測」、「跨主機重複使用」與「TGS 量異常」分成不同次執行,輸出才會有更精準的門檻、更清楚的分流指引,也比較不會混入多種假設。
提供你預期的正常與異常行為範例
如果可以,請附上一筆你認為正常的事件模式,以及一筆可疑模式。這能幫助技能微調偵測邏輯,並降低誤報,尤其在合法服務帳號或舊系統看起來很像 PtT 指標時特別有用。
反覆調整門檻與分流輸出
拿到第一版結果後,請依你的雜訊程度再調整:可以要求更高或更低的門檻、改成分析師更容易閱讀的說明版本,或把偵測與調查分成不同版本。最好的 detecting-pass-the-ticket-attacks guide,應該是最後能交付你真正可以部署、也能持續調校的 queries。