creator/Anthropic-Cybersecurity-Skills
1
0
Fork 0
mirror of https://github.com/mukul975/Anthropic-Cybersecurity-Skills.git synced 2026-06-12 22:24:56 +03:00
Code Issues Packages Projects Releases Wiki Activity
Files
d5f3fa32486ea335db802d68fe2147fa2da69583
Anthropic-Cybersecurity-Skills/skills/detecting-credential-dumping-techniques/SKILL.es.md
T
juliosuas 2967d69d48 Translate top skills to Spanish 
Adds Spanish translations for 7 cybersecurity skills.
2026-03-19 10:06:13 +01:00

2.3 KiB
Raw Blame History

name, description, domain, subdomain, tags, version, author, license, language
name description domain subdomain tags version author license language
detecting-credential-dumping-techniques Detect LSASS credential dumping, SAM database extraction, and NTDS.dit theft using Sysmon Event ID 10, Windows Security logs, and SIEM correlation rules cybersecurity threat-detection
credential-dumping
lsass
mimikatz
sysmon
active-directory
windows-security
defense-evasion
1.0 mahipal Apache-2.0 es

Detección de Técnicas de Volcado de Credenciales

Descripción General

El volcado de credenciales (MITRE ATT&CK T1003) es una técnica de post-explotación donde los adversarios extraen credenciales de autenticación de la memoria del sistema operativo, hives del registro o bases de datos del controlador de dominio. Esta habilidad cubre la detección de acceso a la memoria de LSASS mediante Sysmon Event ID 10 (ProcessAccess), la exportación del hive del registro SAM mediante reg.exe, la extracción de NTDS.dit mediante ntdsutil/vssadmin, y el abuso de MiniDump con comsvcs.dll. Las reglas de detección analizan bitmasks de GrantedAccess, procesos invocantes sospechosos y firmas de herramientas conocidas.

Requisitos Previos

  • Sysmon v14+ desplegado con registro de ProcessAccess (Event ID 10) para lsass.exe
  • Política de auditoría de seguridad de Windows habilitando la creación de procesos (Event ID 4688) con registro de línea de comandos
  • SIEM Splunk o Elastic ingiriendo registros de Sysmon y de seguridad de Windows
  • Python 3.8+ para análisis de registros

Pasos

  1. Configurar Sysmon para registrar eventos ProcessAccess dirigidos a lsass.exe
  2. Reenviar Sysmon Event ID 10 y Windows Event ID 4688 al SIEM
  3. Crear reglas de detección para patrones de GrantedAccess conocidos (0x1010, 0x1FFFFF)
  4. Detectar MiniDump con comsvcs.dll y procdump.exe apuntando al PID de LSASS
  5. Alertar sobre comandos de exportación de hives SAM/SECURITY/SYSTEM mediante reg.exe
  6. Detectar creación de shadow copy con ntdsutil/vssadmin para robo de NTDS.dit
  7. Correlacionar detecciones con contexto de usuario/host para puntuación de riesgo

Salida Esperada

Informe JSON que contiene indicadores detectados de volcado de credenciales con clasificación de técnica, calificaciones de severidad, detalles del proceso, mapeo a MITRE ATT&CK, y consultas de detección para Splunk/Elastic.

Reference in New Issue View Git Blame Copy Permalink