Active Directory

exploiting-kerberoasting-with-impacket 可協助授權測試人員使用 Impacket 的 GetUserSPNs.py 規劃 Kerberoasting 流程，涵蓋 SPN 枚舉、TGS 票證擷取、離線破解與具偵測意識的報告撰寫。這份 exploiting-kerberoasting-with-impacket 指南適用於滲透測試工作流程，提供清楚的安裝與使用脈絡。

configuring-active-directory-tiered-model 技能可協助設計與稽核 Microsoft ESAE 風格的 Active Directory 分層模型。使用這份 configuring-active-directory-tiered-model 指南，可更清楚地檢視 Tier 0/1/2 存取、PAWs、管理邊界、憑證暴露，以及資安稽核發現與實作情境的對應關係。

exploiting-nopac-cve-2021-42278-42287 技能是一份實用指南，用來評估 Active Directory 中的 noPac 攻擊鏈（CVE-2021-42278 與 CVE-2021-42287）。它可協助已授權的紅隊成員與安全稽核使用者檢查前置條件、檢閱工作流程檔案，並在較少猜測的情況下記錄是否可被利用。

exploiting-constrained-delegation-abuse 技能用於授權的 Active Directory 測試，聚焦 Kerberos constrained delegation abuse。內容涵蓋枚舉、S4U2self 與 S4U2proxy 票證請求，以及實際可行的橫向移動或權限提升路徑。當你需要一份可重複執行的滲透測試指南，而不是泛泛的 Kerberos 概述時，這項技能就很適合。

detecting-pass-the-ticket-attacks 可透過關聯 Windows 安全性事件 ID 4768、4769 與 4771，協助偵測 Kerberos Pass-the-Ticket 活動。適合在 Splunk 或 Elastic 中進行威脅狩獵，用來找出票證重用、RC4 降級與異常 TGS 流量，並提供實用查詢與欄位指引。

detecting-kerberoasting-attacks 技能可透過辨識可疑的 Kerberos TGS 請求、薄弱的票證加密，以及服務帳號特徵來協助追查 Kerberoasting。適合用於 SIEM、EDR、EVTX，以及威脅建模流程中的 detecting-kerberoasting-attacks，並提供實用的偵測範本與調校建議。

detecting-golden-ticket-forgery 透過分析 Windows Event ID 4769、RC4 降級使用（0x17）、異常票證存活時間，以及 Splunk 與 Elastic 中的 krbtgt 異常，偵測 Kerberos Golden Ticket 偽造。適合用於安全稽核、事件調查與威脅狩獵，並提供實用的偵測指引。

detecting-credential-dumping-techniques 技能可協助你偵測 LSASS 存取、SAM 匯出、NTDS.dit 竊取，以及透過 comsvcs.dll 的 MiniDump 濫用，並使用 Sysmon Event ID 10、Windows Security 記錄與 SIEM 關聯規則來進行分析。它是為威脅獵捕、偵測工程與 Security Audit 工作流程而設計。

deploying-active-directory-honeytokens 協助防守者規劃並產生 Active Directory honeytokens，適用於 Security Audit 工作，包括偽造特權帳號、用於 Kerberoasting 偵測的偽 SPN、誘餌 GPO 陷阱，以及具欺騙性的 BloodHound 路徑。它把偏安裝導向的指引與腳本、遙測提示結合起來，方便實際部署與檢視。

containing-active-breach 是一個用於即時入侵封控的 incident-response 技能。它能透過結構化的 containing-active-breach 指南，並搭配實用的 API 與腳本參考，協助隔離主機、封鎖可疑流量、停用遭入侵帳號，以及減緩橫向移動。

configuring-ldap-security-hardening 可協助資安工程師與稽核人員評估 LDAP 風險，包括匿名 bind、弱簽章、缺少 LDAPS，以及 channel binding 的缺口。使用這份 configuring-ldap-security-hardening 指南，先檢視參考文件、執行 Python 稽核輔助工具，並為 Security Audit 產出可落地的修補建議。

這份 conducting-domain-persistence-with-dcsync 指南適用於授權的 Active Directory 安全稽核工作。透過隨附的腳本、參考資料與報告範本，了解如何安裝、使用與規劃工作流程，以評估 DCSync 權限、KRBTGT 暴露、Golden Ticket 風險與修補步驟。

building-identity-governance-lifecycle-process 可協助設計身分治理與生命週期管理，涵蓋 joiner-mover-leaver 自動化、存取審查、以角色為基礎的佈建，以及孤兒帳號清理。它適合需要實用工作流程指引、而非通用政策草案的跨系統 Access Control 專案。

auditing-azure-active-directory-configuration 技能可協助檢視 Microsoft Entra ID 租戶的安全性，包括高風險驗證設定、管理員角色擴散、閒置帳號、Conditional Access 缺口、來賓暴露風險，以及 MFA 覆蓋率。它專為 Security Audit 工作流程設計，提供以 Graph 為基礎的證據與實用指引。

analyzing-windows-event-logs-in-splunk skill 協助 SOC 分析師在 Splunk 中調查 Windows Security、System 與 Sysmon 記錄，找出驗證攻擊、權限提升、持續化與橫向移動行為。適合用於事件初步研判、偵測工程與時間軸分析，並提供對應的 SPL 模式與 Event ID 指引。

analyzing-active-directory-acl-abuse 協助資安稽核人員與事件應變人員，使用 ldap3 檢視 Active Directory 的 nTSecurityDescriptor 資料，找出像是 GenericAll、WriteDACL、WriteOwner 這類在使用者、群組、電腦與 OU 上的濫用路徑。