Stats
Actions
Tags
Detects RDP brute-force attacks by parsing Windows Security EVTX logs for failed logins (4625), successful logins after failures (4624), source IP frequencies, and NLA bypasses using python-evtx.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:detecting-rdp-brute-force-attacksThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
RDP 暴力破解攻击通过对暴露的 RDP 端点快速尝试猜测凭据来攻击 Windows 远程桌面协议服务。检测依赖于分析 Windows 安全事件日志中的事件 ID 4625(登录类型 10 或 3 的失败登录),并与事件 ID 4624(成功登录)关联,以识别被入侵的账户。本技能涵盖使用 python-evtx 解析 EVTX 文件,通过源 IP 频率分析识别攻击模式,检测 NLA 绕过尝试,以及生成可操作的检测报告。
RDP 暴力破解攻击通过对暴露的 RDP 端点快速尝试猜测凭据来攻击 Windows 远程桌面协议服务。检测依赖于分析 Windows 安全事件日志中的事件 ID 4625(登录类型 10 或 3 的失败登录),并与事件 ID 4624(成功登录)关联,以识别被入侵的账户。本技能涵盖使用 python-evtx 解析 EVTX 文件,通过源 IP 频率分析识别攻击模式,检测 NLA 绕过尝试,以及生成可操作的检测报告。
python-evtx、lxml 库使用事件查看器或 wevtutil 将 Windows 安全日志导出为 EVTX 格式:
wevtutil epl Security C:\logs\security.evtx
使用 python-evtx 解析事件 ID 4625 条目,提取源 IP、目标用户名、失败原因(Sub Status)和登录类型字段。
通过以下方式识别暴力破解模式:
生成包含头部攻击 IP、目标账户、基于时间的分析和入侵指标的 JSON 报告。
JSON 报告,包含:
npx claudepluginhub killvxk/cybersecurity-skills-zhDetects RDP brute force attacks by parsing Windows Security EVTX logs with python-evtx, analyzing Event IDs 4625/4624 for failed logons, IP frequency, NLA failures, and compromises. For threat hunting and SOC analysis.
Analyzes Windows Security Event Logs (EVTX) to detect RDP brute force attacks by parsing failed logon events (4625), successful logons after failures (4624), NLA failures, and source IP frequency.
Analyzes Windows Security Event Logs (EVTX) to detect RDP brute force attacks by parsing failed logon events (4625), successful logons after failures (4624), NLA failures, and source IP frequency.