Detects RDP brute-force attacks by parsing Windows Security EVTX logs for failed logins (4625), successful logins after failures (4624), source IP frequencies, and NLA bypasses using python-evtx.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
RDP 暴力破解攻击通过对暴露的 RDP 端点快速尝试猜测凭据来攻击 Windows 远程桌面协议服务。检测依赖于分析 Windows 安全事件日志中的事件 ID 4625(登录类型 10 或 3 的失败登录),并与事件 ID 4624(成功登录)关联,以识别被入侵的账户。本技能涵盖使用 python-evtx 解析 EVTX 文件,通过源 IP 频率分析识别攻击模式,检测 NLA 绕过尝试,以及生成可操作的检测报告。
Detects RDP brute force attacks by parsing Windows Security EVTX logs with python-evtx, analyzing Event IDs 4625/4624 for failed logons, IP frequency, NLA failures, and compromises. For threat hunting and SOC analysis.
Detects RDP brute force attacks by parsing Windows Security EVTX logs with python-evtx for Event IDs 4625/4624, IP frequency analysis, NLA failures, and compromise indicators. For threat hunting and SOC investigations.
Analyzes Windows Security, System, and Sysmon event logs in Splunk with MITRE ATT&CK-mapped SPL queries to detect authentication attacks, privilege escalation, persistence, and lateral movement. For SOC threat investigations and forensics.
Share bugs, ideas, or general feedback.
RDP 暴力破解攻击通过对暴露的 RDP 端点快速尝试猜测凭据来攻击 Windows 远程桌面协议服务。检测依赖于分析 Windows 安全事件日志中的事件 ID 4625(登录类型 10 或 3 的失败登录),并与事件 ID 4624(成功登录)关联,以识别被入侵的账户。本技能涵盖使用 python-evtx 解析 EVTX 文件,通过源 IP 频率分析识别攻击模式,检测 NLA 绕过尝试,以及生成可操作的检测报告。
python-evtx、lxml 库使用事件查看器或 wevtutil 将 Windows 安全日志导出为 EVTX 格式:
wevtutil epl Security C:\logs\security.evtx
使用 python-evtx 解析事件 ID 4625 条目,提取源 IP、目标用户名、失败原因(Sub Status)和登录类型字段。
通过以下方式识别暴力破解模式:
生成包含头部攻击 IP、目标账户、基于时间的分析和入侵指标的 JSON 报告。
JSON 报告,包含: