containing-active-breach
执行遏制策略以阻止活跃对手的操作,并在已确认的安全攻陷期间防止横向移动。使用网络分段、端点隔离、凭据撤销和访问控制修改来实施短期和长期遏制。适用于攻陷遏制、横向移动防御、网络隔离、活跃威胁遏制或实时事件响应相关请求。
Best use case
containing-active-breach is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
执行遏制策略以阻止活跃对手的操作,并在已确认的安全攻陷期间防止横向移动。使用网络分段、端点隔离、凭据撤销和访问控制修改来实施短期和长期遏制。适用于攻陷遏制、横向移动防御、网络隔离、活跃威胁遏制或实时事件响应相关请求。
Teams using containing-active-breach should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/containing-active-breach/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How containing-active-breach Compares
| Feature / Agent | containing-active-breach | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
执行遏制策略以阻止活跃对手的操作,并在已确认的安全攻陷期间防止横向移动。使用网络分段、端点隔离、凭据撤销和访问控制修改来实施短期和长期遏制。适用于攻陷遏制、横向移动防御、网络隔离、活跃威胁遏制或实时事件响应相关请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 遏制活跃攻陷(Containing Active Breaches) ## 适用场景 - 已确认入侵正在进行,对手活跃于网络中 - 恶意软件正在跨端点或服务器横向传播 - 受攻陷账号被用于对系统的未授权访问 - 检测到勒索软件加密并正在活跃传播 - 攻击者已从内部主机建立命令与控制(C2)通信 **不适用于**对手已不再活跃的事件后清理工作;此类情况请使用根除流程。 ## 前置条件 - 来自分类的已确认 P1 或 P2 严重性事件分类 - 具有主机隔离能力的 EDR 控制台访问权限(CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne) - 用于分段的网络防火墙和交换机管理访问权限 - Active Directory 或身份提供商管理员访问权限(用于凭据操作) - 事件响应计划中记录的预先批准的遏制授权 - 证据保全计划,以避免在遏制过程中销毁取证产物 ## 工作流程 ### 步骤 1:评估遏制范围 在采取遏制措施前,完整映射攻陷范围,以避免部分遏制而提醒对手: - 通过 EDR 遥测和 SIEM 关联识别所有已确认受攻陷的主机 - 使用认证日志(Windows 事件 ID 4624 类型 3 和类型 10)映射横向移动路径 - 识别所有受攻陷凭据(检查哈希传递、Kerberoasting、DCSync 活动) - 确定 C2 通道(信标间隔、域名、IP、协议) - 评估对手是否拥有域管理员或同等权限 ``` 遏制范围评估: ━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 受攻陷主机: 5 台(WKSTN-042、WKSTN-087、SRV-FILE01、SRV-DC02、WKSTN-103) 受攻陷账号: 3 个(jsmith、svc-backup、admin-tier0) C2 通道: 每 60 秒 ±15% 抖动向 185.220.x.x 发起 HTTPS 信标 横向移动: 通过 svc-backup 使用 PsExec,通过 admin-tier0 使用 RDP 对手权限: 域管理员(admin-tier0 已受攻陷) 面临风险的数据:财务共享(\\SRV-FILE01\finance$)已被访问 ``` ### 步骤 2:执行短期遏制 在不销毁证据的情况下实施立即措施以阻止对手操作: **网络遏制:** - 通过 EDR 网络遏制隔离已确认受攻陷的端点(保持 Agent 通信) - 在边界防火墙和内部 DNS 处阻断 C2 IP 地址和域名 - 实施微分段规则以防止受攻陷主机之间的通信 - 在内部 DNS 处 Sinkhole C2 域名,以捕获未被发现的植入程序的连接尝试 **身份遏制:** - 在 Active Directory 中禁用受攻陷的用户账号(不要删除;保留审计跟踪) - 重置所有受攻陷账号的密码 - 撤销活跃会话和令牌(Azure AD:`Revoke-AzureADUserAllRefreshToken`) - 禁用受攻陷的服务账号并轮换其凭据 - 若域管理员被攻陷:双重重置 KRBTGT 密码(间隔 12 小时重置两次) **端点遏制:** - 使用 EDR 在被遏制主机上终止恶意进程 - 在 EDR 阻断策略中阻断已知恶意哈希 - 隔离已识别的恶意软件样本 - 在尚未受攻陷的关键服务器上禁用远程服务(WinRM、RDP、SMB) ### 步骤 3:执行长期遏制 在调查继续进行时实施可持续的遏制措施: - 创建网络 ACL 隔离受攻陷的 VLAN/子网,同时允许业务关键流量 - 为管理员部署临时跳板机以访问被遏制系统进行调查 - 在受攻陷主机相邻网络段上部署增强监控(完整数据包捕获) - 在所有域控制器上启用高级审计策略(4768、4769、4771 用于 Kerberos 攻击) - 部署金丝雀令牌和蜜罐账号以检测对手尝试从遏制中扩展 ### 步骤 4:验证遏制有效性 确认遏制措施已阻止对手操作: - 监控任何内部主机向已知对手基础设施发起的新 C2 回调 - 检查新的横向移动尝试(来自已禁用账号的认证失败) - 验证被遏制主机除 EDR Agent 外无法访问互联网 - 确认受攻陷凭据产生认证失败 - 在 SIEM 中审查是否有与对手已知 TTP 匹配的新告警 ``` 遏制验证清单: [x] 所有已知受攻陷主机的 C2 信标流量已停止 [x] 已禁用账号产生预期的 4625 失败事件(无新成功) [x] 被遏制主机从相邻子网的网络扫描中无法到达 [x] 没有新的主机表现出初始攻陷的 IOC [x] 蜜罐账号未被访问(对手可能处于休眠状态) [ ] 完整数据包捕获在财务 VLAN 上运行(待交换机配置) ``` ### 步骤 5:在遏制期间保全证据 遏制不能销毁取证证据: - 在任何修复之前从受攻陷主机采集内存转储(使用 WinPmem 或 Magnet RAM Capture) - 采集易失性数据:运行中的进程、网络连接、已登录用户、计划任务 - 在事件日志轮转前导出相关日志(安全、系统、PowerShell、Sysmon) - 捕获受攻陷主机与 C2 基础设施之间的网络流量 - 为事件时间线记录所有带时间戳的遏制措施 ### 步骤 6:沟通遏制状态 向事件指挥官和利益相关方提供结构化状态更新: - 当前遏制有效性(对手活动被阻止的百分比) - 剩余风险(未发现的植入程序、尚未识别的持久化机制) - 遏制措施的业务影响(哪些系统离线、用户影响) - 根除阶段的预计时间线 - 升级需求(执法部门通知、外部 IR 顾问激活) ## 核心概念 | 术语 | 定义 | |------|------| | **短期遏制(Short-Term Containment)** | 阻止活跃对手操作的立即措施;通常是网络隔离和凭据禁用 | | **长期遏制(Long-Term Containment)** | 在调查继续进行时防止对手重新访问的可持续措施 | | **KRBTGT 双重重置(KRBTGT Double Reset)** | 两次重置 KRBTGT 密码以使所有现有 Kerberos 票据失效,包括黄金票据 | | **网络遏制(Network Containment)** | EDR 功能,将端点与除 EDR 管理通道外的所有网络通信隔离 | | **横向移动(Lateral Movement)** | 对手使用窃取的凭据或漏洞利用在网络中从一个受攻陷系统移动到另一个系统的技术 | | **C2 Sinkholing** | 将 C2 域名的 DNS 查询重定向到内部服务器,以防止对手通信并检测其他受害者 | | **微分段(Microsegmentation)** | 工作负载之间限制横向通信路径的细粒度网络访问控制 | ## 工具与系统 - **CrowdStrike Falcon**:具有一键网络隔离的端点遏制,保持 Agent 连接 - **Microsoft Defender for Endpoint**:用于远程遏制措施和证据收集的实时响应控制台 - **Palo Alto Networks NGFW**:用于 C2 流量阻断和微分段的应用感知防火墙规则 - **Velociraptor**:用于遏制期间产物采集的开源端点监控和响应工具 - **BloodHound**:Active Directory 攻击路径映射,用于识别对手可能利用的潜在横向移动路径 ## 常见场景 ### 场景:通过 SMB 横向传播的勒索软件 **背景**:EDR 告警三台文件服务器显示快速文件加密。勒索软件通过使用受攻陷域服务账号的 SMB 传播。 **处理方法**: 1. 立即通过 EDR 网络遏制隔离三台文件服务器 2. 在 Active Directory 中禁用受攻陷的服务账号 3. 在网络交换机层面阻断所有服务器 VLAN 之间的 SMB(TCP 445) 4. 部署紧急 GPO 在非关键端点禁用 SMB 服务 5. 在服务器重启前从一台被加密的服务器采集内存 6. 使用 EDR 威胁狩猎在所有端点搜索勒索软件二进制哈希 **常见陷阱**: - 立即关闭服务器,销毁易失性内存证据 - 只禁用已知受攻陷账号,而不检查其他持久化机制 - 在确认对手的访问已被完全撤销之前从备份恢复 ## 输出格式 ``` 遏制状态报告 ========================= 事件: INC-2025-1547 状态: 已遏制(短期) 时间戳: 2025-11-15T15:47:00Z 遏制负责人: [姓名] 已采取的措施 网络: - [x] 5 台主机已通过 CrowdStrike 遏制隔离 - [x] C2 IP 185.220.x.x 已在边界防火墙阻断(规则 #4521) - [x] C2 域名 evil.example[.]com 已 Sinkhole 到 10.0.0.99 身份: - [x] jsmith 账号已禁用 - [x] svc-backup 账号已禁用,密码已轮换 - [x] admin-tier0 账号已禁用 - [x] KRBTGT 首次重置于 15:30 UTC 完成 端点: - [x] 恶意哈希已在 EDR 阻断策略中阻断 - [x] 所有被遏制主机上的恶意进程已终止 保全的证据 - 内存转储:5 台主机中 3 台已完成 - 事件日志已导出:全部 5 台主机 - 网络捕获:在财务 VLAN 上运行 剩余风险 - 无 EDR 端点上可能存在未发现的植入程序(15 台旧版主机) - KRBTGT 第二次重置待执行(计划 +1 天 03:30 UTC) - 对手可能在遏制前已外泄数据 业务影响 - 财务文件共享离线(影响 42 名用户) - 3 台用户工作站已隔离(用户已分配借用设备) - 预计恢复:待根除完成后确定 ```
Related Skills
performing-active-directory-vulnerability-assessment
使用 PingCastle、BloodHound 和 Purple Knight 评估 Active Directory 安全态势,识别错误配置、权限提升路径和攻击向量。
performing-active-directory-forest-trust-attack
使用 impacket 枚举和审计 Active Directory 林信任关系,进行 SID 过滤分析、信任密钥提取、跨林 SID 历史滥用检测和跨域 Kerberos 票据评估。
performing-active-directory-compromise-investigation
通过分析认证日志、复制元数据、组策略变更和 Kerberos 票据异常,调查 Active Directory 攻陷事件,识别攻击者持久化机制和横向移动路径。
performing-active-directory-bloodhound-analysis
使用 BloodHound 和 SharpHound 枚举活动目录(Active Directory)关系,从已控制的用户识别到域管理员的攻击路径。
implementing-vulnerability-sla-breach-alerting
为漏洞修复 SLA 违规构建自动化告警,包含基于严重程度的时间线、升级工作流和合规性报告仪表板。
implementing-honeytokens-for-breach-detection
部署金丝雀令牌(canary tokens)和蜜标(honeytokens),包括伪造的 AWS 凭据、DNS 金丝雀、 文档信标和数据库记录,当攻击者访问时触发告警。使用 Canarytokens API 和自定义 Webhook 集成 实现入侵检测。适用于构建基于欺骗技术的早期预警入侵检测系统的场景。
exploiting-active-directory-with-bloodhound
BloodHound 是基于图论的活动目录侦察工具,使用图论揭示 AD 环境中隐藏的和意外的关系。红队使用 BloodHound 识别从已控制账户到域管理员等高价值目标的攻击路径。
exploiting-active-directory-certificate-services-esc1
在授权红队评估中,利用活动目录证书服务(AD CS)的 ESC1 错误配置漏洞,以高权限用户身份申请证书并提升域权限。
executing-active-directory-attack-simulation
对 Active Directory 环境执行授权攻击模拟,识别错误配置、弱凭据、危险特权路径以及可导致域沦陷的可利用信任关系。测试人员使用 BloodHound 进行攻击路径分析,使用 Mimikatz 进行凭据提取,使用 Impacket 进行协议级攻击,包括 Kerberoasting、AS-REP Roasting 和委派滥用。适用于 Active Directory 渗透测试、AD 攻击模拟、域沦陷测试或 Kerberos 攻击评估等请求场景。
detecting-dcsync-attack-in-active-directory
通过监控非域控制器账户通过 DsGetNCChanges 请求目录复制的行为,检测攻击者滥用 Active Directory 复制权限提取密码哈希的 DCSync 攻击。
containing-active-security-breach
通过隔离受攻陷系统、阻断攻击者通信并保全证据,同时最大程度减少业务中断,快速遏制活跃安全攻陷。
configuring-active-directory-tiered-model
实施 Microsoft 增强安全管理环境(Enhanced Security Admin Environment,ESAE)Active Directory 分层管理模型,涵盖 Tier 0/1/2 分隔、特权访问工作站(PAW)、管理林设计、认证策略孤岛和凭据盗窃缓解措施。