BloodHound
Mapas de relaciones del Directorio Activo.
Categoría: Post-explotación 🎯 Trinchera — Mapas de relaciones del Directorio Activo. Le metes datos enumerados (SharpHound) y te pinta el grafo de “quién
puede llegar a Domain Admin desde aquí”.
🔗 Kill chain — Requisito: usuario autenticado. Salida: rutas
visualizadas (Shortest Path to DA from Owned). Acelera 10× la
escalada AD.
📡 Huella defensiva — Las queries LDAP de SharpHound son muy
ruidosas: miles de queries en segundos. Microsoft Defender for
Identity (Azure ATP) tiene detección específica
Reconnaissance using Active Directory queries (SharpHound).
⚠️ Falso amigo — Lanzar SharpHound con todos los métodos
(-c All). Genera tráfico LDAP comparable a un escaneo Nmap. Mejor
ir por iteraciones (-c Group, luego -c LocalAdmin…).
🛡️ Remediación — Detectar volumen de queries LDAP por usuario.
Honeypot accounts (cuentas señuelo en grupos privilegiados que
disparan alertas si se consultan).
← Volver al glosario completo Última actualización: 2026-06-11