detecting-golden-ticket-forgery
作者 mukul975detecting-golden-ticket-forgery 通过分析 Windows Event ID 4769、RC4 降级使用(0x17)、异常票据生命周期以及 Splunk 和 Elastic 中的 krbtgt 异常,检测 Kerberos Golden Ticket 伪造。面向 Security Audit、事件调查和威胁狩猎,提供实用的检测指引。
该技能得分为 78/100,说明它很适合需要聚焦 Golden Ticket 检测流程的目录用户。仓库提供了足够具体的检测逻辑、查询示例和可运行的解析脚本,相比通用提示能明显减少猜测,但运维边界和配置说明仍然不够清晰。
- 触发点和使用场景明确:可通过 Event IDs 4768/4769、RC4 降级、票据生命周期异常和 krbtgt 异常来检测 Kerberos Golden Ticket 伪造。
- 具备实际落地价值:包含 Splunk SPL 示例,以及用于解析导出的 Windows Security XML 日志的 Python 脚本。
- 参考深度不错:API reference 将指标映射到事件字段和检测模式,帮助使用者快速把技能用起来。
- 摘录中的前置条件被截断,安装用户可能无法完整了解所需日志源或环境假设。
- 没有安装命令或快速开始打包内容,因此采用时可能需要手动解读脚本和参考文件。
detect-golden-ticket-forgery 技能概览
这个技能能做什么
detecting-golden-ticket-forgery 技能帮助分析人员检测 Kerberos Golden Ticket 滥用,重点关注真实环境里最有价值的信号:可疑的 Event ID 4769 活动、在以 AES 为主的域中出现的 RC4 降级使用、异常过长的票据生命周期,以及与 krbtgt 相关的异常。它更适合 Security Audit、事件调查和检测工程场景,适合先拿到一个实用起点,而不是一份泛泛的 ATT&CK 摘要。
适合谁使用
如果你在 Splunk 或 Elastic 中处理 Windows 域遥测,并且需要把杂乱的认证数据转化为可辩护的检测流程,那么就适合使用这个 detecting-golden-ticket-forgery 技能。它很适合已经能访问 Security 日志、希望获得更清晰分诊逻辑的 SOC 分析师、威胁狩猎人员和检测工程师。
为什么值得安装
它的核心价值不只是“找 Golden Ticket”,而是帮助你决定先看什么:4769 的加密类型、是否缺少预期中的 4768 上下文、以及是否存在偏离域策略的异常值。对于需要可重复狩猎逻辑,而不是一次性提示词的场景,这会让 detecting-golden-ticket-forgery 的安装更有用。
如何使用 detect-golden-ticket-forgery 技能
安装并放到正确的上下文里
使用以下命令安装 detecting-golden-ticket-forgery 技能:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-golden-ticket-forgery
然后先阅读 skills/detecting-golden-ticket-forgery/SKILL.md,再看 references/api-reference.md 和 scripts/agent.py。这些文件会展示检测逻辑、技能预期的事件字段,以及如果你想自动化解析或调整工作流时可参考的脚本路径。
提供正确的输入
想把 detecting-golden-ticket-forgery 用好,最好一开始就告诉技能三件事:日志来源、SIEM,以及你域里“正常”的样子。差的提问是“帮我检查 Golden Ticket”。更好的提问是:“为 Event ID 4769、RC4 0x17 编写一个 Splunk hunt,排除已知服务账号,并说明如何确认同一用户是否存在 4768。”
从检测流程开始
最实用的 detecting-golden-ticket-forgery 指南模式是:
- 先确认你的环境是否应优先使用 AES,
- 检查 4769 中的
TicketEncryptionType=0x17, - 在可用时与 4768 和 4624 进行关联,
- 将票据生命周期和账号行为与策略进行对比,
- 把大概率的滥用与旧版 Kerberos 或服务账号噪声区分开。
这样做能让技能始终围绕证据,而不是停留在笼统怀疑上。
先读这些文件
如果你想快速上手,可以先看 SKILL.md 了解检测意图,再看 references/api-reference.md 了解关键 Event ID 和示例 Splunk 查询,最后看 scripts/agent.py 了解仓库如何建模事件解析。按这个顺序看,能帮助你在复用到自己的环境之前先真正理解这个技能。
detect-golden-ticket-forgery 技能 FAQ
这只适用于 Splunk 吗?
不是。仓库里确实包含 Splunk 示例,但 detecting-golden-ticket-forgery 技能本质上是在讲查询背后的检测逻辑。只要你有 Windows Security 事件数据,就可以把同样的指标迁移到 Elastic、自定义 Python 解析,或者 SIEM 管道中。
最主要的检测信号是什么?
最稳定的重复信号是可疑的 4769 行为,尤其是在本应使用 AES 的环境里出现 RC4 0x17。这个技能也关注缺失或不匹配的 4768 上下文、异常生命周期和 krbtgt 异常,因为任何单一信号本身都可能噪声很大。
适合新手吗?
如果你已经懂一点 Windows 认证相关术语,它对新手是友好的;但如果你想要一份用通俗英语讲 Kerberos 的入门,它就不太合适。detecting-golden-ticket-forgery 指南更适合能够理解 Event ID、票据类型和域策略假设的分析人员。
什么时候不该用它?
如果你只有不完整的日志、环境非常老旧,或者 RC4 在合法场景下仍然是正常行为,就不要只依赖它。在这些情况下,这个技能仍然可以帮助你组织审查思路,但在没有本地基线的前提下,不应把它当作最终结论。
如何改进 detect-golden-ticket-forgery 技能
提供与你环境相关的基线
提升效果最大的办法,是告诉技能你所在域里“预期中的正常情况”是什么:AES 策略、正常票据生命周期、特权服务账号,以及已知的旧系统。没有这些信息时,detecting-golden-ticket-forgery 的使用可能会把合法活动误报得过多。
一次只要一种输出类型
更好的结果来自更明确的请求:要么是 hunt 查询,要么是分诊清单,要么是假阳性过滤列表,要么是分析员备注。如果一次把四种都要了,输出通常不如聚焦的 detecting-golden-ticket-forgery Security Audit 请求那样可操作。
注意常见失败模式
最常见的错误,是把所有 RC4 票据都当成恶意、忽略服务账号例外,以及跳过与 4768 的关联。迭代时,可以让技能解释每个指标为什么重要,以及哪些良性场景会模仿它。
做好第二轮优化
拿到第一版结果后,把缺口反馈回去:你的 SIEM 字段名、缺失的日志源,或者一个你已经信任的样例告警。然后让 detecting-golden-ticket-forgery 技能收紧查询、减少噪声,或按你的真实环境重写调查步骤。