Mimikatz

detecting-t1003-credential-dumping-with-edr 是一项面向威胁狩猎的 skill，结合 EDR、Sysmon 和 Windows 事件关联，检测 LSASS、SAM、NTDS.dit、LSA secrets 以及缓存凭据转储。可用于验证告警、梳理事件范围，并借助实用流程指导降低误报。

detecting-dcsync-attack-in-active-directory 是一项威胁狩猎技能，用于通过关联 4662 事件、复制 GUID 和合法的 DC 账户，识别 Active Directory 中的 DCSync 滥用。可用它借助 Splunk、KQL 和解析脚本来确认、分诊并记录凭据窃取活动。

extracting-credentials-from-memory-dump 这个技能帮助你使用 Volatility 3 和 pypykatz 工作流分析 Windows 内存转储，提取 NTLM 哈希、LSA secrets、Kerberos 材料和 token。它适用于数字取证和事件响应场景，在你需要从有效转储中获得可作为证据的结果、评估账户影响并给出修复建议时尤其有用。

detecting-mimikatz-execution-patterns 帮助分析人员通过命令行模式、LSASS 访问信号、二进制特征和内存痕迹来检测 Mimikatz 执行。适合在安全审计、威胁狩猎和事件响应中安装和使用该 detecting-mimikatz-execution-patterns 技能，配有模板、参考资料和工作流指引。

detecting-golden-ticket-forgery 通过分析 Windows Event ID 4769、RC4 降级使用（0x17）、异常票据生命周期以及 Splunk 和 Elastic 中的 krbtgt 异常，检测 Kerberos Golden Ticket 伪造。面向 Security Audit、事件调查和威胁狩猎，提供实用的检测指引。

detecting-credential-dumping-techniques 技能可帮助你利用 Sysmon Event ID 10、Windows Security 日志和 SIEM 关联规则，检测 LSASS 访问、SAM 导出、NTDS.dit 窃取以及 comsvcs.dll MiniDump 滥用。它面向威胁狩猎、检测工程和 Security Audit 工作流。

deploying-active-directory-honeytokens 帮助防守者为安全审计工作规划并生成 Active Directory honeytokens，包括伪造特权账户、用于 Kerberoasting 检测的伪 SPN、诱饵 GPO 陷阱，以及欺骗性的 BloodHound 路径。它将偏安装导向的指导与脚本和遥测线索结合起来，便于实际部署与复盘。

conducting-pass-the-ticket-attack 是一项用于安全审计和红队的技能，适合规划和记录 Pass-the-Ticket 工作流。它可以帮助你审查 Kerberos 票据、梳理检测信号，并使用 conducting-pass-the-ticket-attack 技能产出结构化的验证或报告流程。

面向经授权的 Active Directory 安全审计工作的 conducting-domain-persistence-with-dcsync 指南。了解安装、使用和工作流说明，借助随附脚本、参考资料和报告模板，评估 DCSync 权限、KRBTGT 暴露、Golden Ticket 风险及修复步骤。