conducting-phishing-incident-response

von mukul975

Der Skill „conducting-phishing-incident-response“ hilft dabei, verdächtige E-Mails zu untersuchen, Indikatoren zu extrahieren, Authentifizierung zu bewerten und konkrete Maßnahmen zur Phishing-Abwehr zu empfehlen. Er unterstützt Incident-Response-Workflows für das Triage von Nachrichten, Fälle von Credential-Phishing, Prüfungen von URLs und Anhängen sowie die Bereinigung von Postfächern. Verwenden Sie ihn, wenn Sie eine strukturierte Anleitung statt eines generischen Prompts benötigen.

Stars0

Favoriten0

Kommentare0

Hinzugefügt9. Mai 2026

KategorieIncident Response

Installationsbefehl

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill conducting-phishing-incident-response

Kurationswert

Dieser Skill erzielt 78/100 und ist damit eine solide Kandidatenliste für Directory-Nutzer, die Orientierung für die Bearbeitung von Phishing-Vorfällen brauchen. Das Repository zeigt einen realen, auslösbaren Workflow mit genügend operativen Details, damit ein Agent mehr leisten kann als ein generischer Prompt. Dennoch sollten Nutzer vor der Installation noch mit einigen implementierungsspezifischen Lücken rechnen.

78/100

Stärken

Hohe Auslösbarkeit: Das Frontmatter sagt ausdrücklich, dass der Skill bei Phishing-Response, verdächtigen E-Mail-Meldungen, Credential-Phishing und Remediation-Anfragen aktiviert wird.
Praxisnahe Workflow-Tiefe: Die Doku und das Skript decken E-Mail-Parsing, Header- und Authentifizierungsprüfungen, URL- und Anhangsanalyse, Schweregradbewertung und mailboxweite Remediation-Maßnahmen ab.
Nützlicher Mehrwert für Agents: Das Repo enthält ein Python-Skript und eine API-Referenz mit konkreten Funktionen und CLI-Nutzung für die Analyse von EML-Dateien und die Prüfung von Reputationsdiensten.

Hinweise

Der Installationspfad ist nicht vollständig turnkey: In SKILL.md gibt es keinen Installationsbefehl, daher müssen Nutzer Abhängigkeiten und Ausführung möglicherweise selbst verdrahten.
Das Tooling wirkt unvollständig: Das Repository verweist auf externe APIs und ein Skript, aber die vorliegenden Hinweise zeigen keine vollständige End-to-End-Orchestrierung oder dokumentierte Schutzmechanismen für Remediation.

Phishing Email Security Threat Intelligence Virus Total Urlscan Security

Überblick

Überblick über die conducting-phishing-incident-response skill

Die conducting-phishing-incident-response skill hilft einem Agenten, eine verdächtige E-Mail zu untersuchen, Indikatoren zu extrahieren, die wahrscheinliche Auswirkung einzuschätzen und konkrete Reaktionsmaßnahmen für Phishing-Fälle abzuleiten. Sie eignet sich besonders für Security Analysten, SOC-Responder und IT-Admins, die einen strukturierten Phishing-Workflow brauchen statt eines generischen Incident-Response-Prompts.

Diese conducting-phishing-incident-response skill ist vor allem dann nützlich, wenn bereits eine .eml-Datei, Message-Trace-Details oder ein Hinweis vorliegt, dass ein Nutzer auf einen Link geklickt, Zugangsdaten eingegeben oder eine schädliche E-Mail erhalten hat. Der Fokus liegt auf der Analyse von E-Mail-Headern, der Prüfung von URLs und Anhängen, der Einstufung der Schwere und den Schritten zur Bereinigung des Postfachs.

Worin die skill stark ist

Sie unterstützt phishing-spezifische Aufgaben wie das Parsen von E-Mail-Headern, das Prüfen von SPF-/DKIM-/DMARC-Hinweisen, das Extrahieren von URLs und Hashes von Anhängen sowie die Nutzung von Reputationsquellen wie VirusTotal und urlscan.io. Das Repo enthält außerdem ein ausführbares Script, es handelt sich also um mehr als nur Anleitungstext: Die skill kann einen realen Analyse-Workflow tragen.

Wo sie sinnvoll eingesetzt wird

Nutzen Sie diese conducting-phishing-incident-response skill für Phishing-Meldungen, Untersuchungen zu Credential-Phishing und die Eindämmung einzelner Nachrichten. Erwarten Sie nicht, dass sie breite Account-Takeover-Fälle oder Business-Email-Compromise-Workflows abdeckt, bei denen die Kernfrage interne Täuschung oder betrügerische Zahlungsaktivität ist.

Warum Menschen sie installieren

Menschen installieren die conducting-phishing-incident-response skill, wenn sie schnellere Triage, klarere Entscheidungen und eine wiederholbare Abfolge für die Reaktion wollen. Der Hauptnutzen liegt darin, Rätselraten zu reduzieren: Was zuerst geprüft werden sollte, welche Belege zählen und wann von einer einzelnen Nachricht auf eine Bereinigung im ganzen Unternehmen eskaliert werden muss.

So verwenden Sie conducting-phishing-incident-response skill

Die skill installieren und prüfen

Nutzen Sie den Installationsbefehl für conducting-phishing-incident-response in Ihrem Skills-Manager und öffnen Sie dann zuerst skills/conducting-phishing-incident-response/SKILL.md. Für tieferen Kontext lesen Sie references/api-reference.md und scripts/agent.py; diese Dateien zeigen den vorgesehenen Analyseablauf und die verfügbaren Automatisierungspunkte.

Mit dem richtigen Input starten

Die Nutzung von conducting-phishing-incident-response funktioniert am besten, wenn Ihr Prompt das E-Mail-Artefakt und das Ziel der Reaktion enthält. Gute Eingaben sind etwa: die .eml-Datei, Kontext zu Absender und Empfänger, ob ein Nutzer geklickt oder Zugangsdaten übermittelt hat, sowie bekannte URLs oder Anhangsnamen. Schwache Eingaben wie „prüf diese Phishing-Mail“ lassen die skill bei Umfang und Schweregrad im Dunkeln.

Eine grobe Anfrage in einen brauchbaren Prompt übersetzen

Ein guter Prompt für conducting-phishing-incident-response ist konkret zu Ergebnissen und Grenzen. Zum Beispiel: „Analysiere diese .eml, extrahiere Indikatoren, bewerte die Authentifizierungsergebnisse, bestimme, ob die Nachricht Filter vermutlich umgangen hat, und entwirf Eindämmungsschritte für Postfachbereinigung und Passwort-Reset.“ Das gibt der skill genug Struktur, um ein verwertbares Incident-Response-Ergebnis zu erzeugen.

Den Workflow des Repos an den Artefakten ausrichten

Der praktische Ablauf des Repos lautet: Nachricht parsen, URLs und Hashes von Anhängen extrahieren, Reputationen prüfen, Authentifizierung bewerten und dann Schweregrad sowie Maßnahmen empfehlen. Wenn Sie es selbst implementieren, stellt das Script Funktionen wie parse_email_file(), extract_urls() und assess_phishing_severity() bereit; dort lässt sich der Workflow am besten nachbilden oder erweitern.

FAQ zur conducting-phishing-incident-response skill

Ist conducting-phishing-incident-response nur für Phishing gedacht?

Ja, die conducting-phishing-incident-response skill ist auf Phishing-E-Mail-Vorfälle ausgerichtet. Sie ist kein allgemeines Mail-Security- oder vollständiges IR-Framework und sollte keinen dedizierten BEC-, Malware- oder Identity-Compromise-Prozess ersetzen.

Brauche ich API-Keys, um sie gut zu nutzen?

Für die volle Nutzung von conducting-phishing-incident-response können externe Abfragen Keys erfordern, besonders bei VirusTotal. Wenn Sie keinen API-Zugriff haben, hilft die skill trotzdem bei der Header-Analyse und der Reaktionsplanung, aber Reputationsprüfung und automatisierte Bewertung fallen weniger vollständig aus.

Ist das besser als ein normaler Prompt?

Meistens ja, wenn Ihr Ziel eine konsistente Phishing-Analyse ist. Ein normaler Prompt kann die E-Mail zusammenfassen, aber die conducting-phishing-incident-response skill liefert eine verlässlichere Abfolge: Triage, Indikatoren, Authentifizierung, Schweregrad und Eindämmung. Das ist wichtig, wenn Sie einen Incident-Bericht brauchen und nicht nur eine Einschätzung.

Wann sollte ich sie nicht verwenden?

Verwenden Sie conducting-phishing-incident-response nicht bei bestätigtem internen Account-Compromise, Rechnungsbetrug oder Executive-Impersonation, wenn das Hauptproblem bereits im Postfach liegt. In solchen Fällen nutzen Sie den Reaktionspfad für Account Takeover oder BEC.

So verbessern Sie conducting-phishing-incident-response skill

Geben Sie der skill vorab mehr Belege

Die besten Ergebnisse kommen mit einem vollständigen Incident-Paket: rohe .eml, Message-IDs, Header, Screenshot des Köderinhalts, URLs, Anhangsnamen und die Information, ob der Nutzer interagiert hat. Je mehr Sie bereitstellen, desto weniger muss das Modell ableiten, und desto besser wird die Qualität von conducting-phishing-incident-response.

Fragen Sie nach genau dem Output, den Sie brauchen

Wenn Ihr Team Maßnahmen braucht, fragen Sie nach Maßnahmen. Gute Anfragen sind etwa „Indikatoren für einen Kompromiss auflisten“, „Schweregrad bewerten“, „Eindämmung empfehlen“ oder „eine Übergabezusammenfassung für Analysten entwerfen“. So verhindert die conducting-phishing-incident-response skill, dass statt einer Reaktions-Checkliste nur eine vage Erzählung entsteht.

Achten Sie auf typische Fehlermuster

Die größten Probleme sind unvollständige E-Mail-Artefakte, fehlender Kontext zur Umgebung und unklare Abgrenzung des Umfangs. Wenn die Nachricht weitergeleitet wurde, reicht ein Screenshot nicht; wenn der Nutzer geklickt hat, sagen Sie dazu, ob Zugangsdaten eingegeben wurden; wenn eine Bereinigung im ganzen Unternehmen nötig ist, nennen Sie den Postfachumfang und die eingesetzten Tools. Solche Details beeinflussen das Output von conducting-phishing-incident-response spürbar.

Nach dem ersten Durchlauf iterieren

Betrachten Sie das erste Ergebnis als Triage und verfeinern Sie es dann. Wenn die erste Analyse verdächtige URLs oder fehlgeschlagene Authentifizierung findet, starten Sie die conducting-phishing-incident-response skill erneut mit den extrahierten Indikatoren, den Ergebnissen von VirusTotal oder urlscan sowie einer enger gefassten Frage wie: „Bestätige, ob es sich um Credential Theft oder um ein harmloses False Positive handelt.“

Bewertungen & Rezensionen

Noch keine Bewertungen

Teile deine Rezension

Melde dich an, um für diesen Skill eine Bewertung und einen Kommentar zu hinterlassen.

0/10000

Neueste Rezensionen

Wird gespeichert...

Mehr Skills in dieser Kategorie

conducting-malware-incident-response

von mukul975

conducting-malware-incident-response unterstützt IR-Teams dabei, verdächtige Malware zu priorisieren, Infektionen zu bestätigen, die Ausbreitung einzugrenzen, Endpunkte zu isolieren und Bereinigung sowie Wiederherstellung zu unterstützen. Es ist für conducting-malware-incident-response in Incident-Response-Workflows konzipiert und verbindet evidenzbasierte Schritte, telemetriegestützte Entscheidungen und praxisnahe Anleitungen zur Eindämmung.

Incident Response

Favoriten 0GitHub 0

detecting-s3-data-exfiltration-attempts

von mukul975

detecting-s3-data-exfiltration-attempts unterstützt bei der Untersuchung möglicher AWS-S3-Datenexfiltration, indem CloudTrail-S3-Datenereignisse, GuardDuty-Funde, Amazon-Macie-Alerts und S3-Zugriffsmuster korreliert werden. Nutzen Sie diesen detecting-s3-data-exfiltration-attempts-Skill für Security Audits, Incident Response und die Analyse verdächtiger Massendownloads.

Security Audit

Favoriten 0GitHub 6.2k

analyzing-usb-device-connection-history

von mukul975

analyzing-usb-device-connection-history hilft dabei, den Verbindungsverlauf von USB-Geräten unter Windows mit Registry-Hives, Event Logs und setupapi.dev.log zu untersuchen – für Digital Forensics, Insider-Threat-Untersuchungen und Incident Response. Es unterstützt die Rekonstruktion von Zeitachsen, die Zuordnung von Geräten und die Analyse von Wechselmedien-Beweisen.

Digital Forensics

Favoriten 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

von mukul975

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Malware Analysis

Favoriten 0GitHub 6.2k

extracting-browser-history-artifacts

von mukul975

extracting-browser-history-artifacts ist ein Digital-Forensics-Skill zum Extrahieren von Browserverlauf, Cookies, Cache, Downloads und Lesezeichen aus Chrome, Firefox und Edge. Nutzen Sie ihn, um Browser-Profildateien mit einem wiederholbaren, fallorientierten Workflow in zeitleistenfähige Beweise zu überführen.

Digital Forensics

Favoriten 0GitHub 0

detecting-ransomware-encryption-behavior

von mukul975

detecting-ransomware-encryption-behavior hilft Verteidigern, ransomwareähnliche Verschlüsselung mithilfe von Entropieanalyse, File-I/O-Überwachung und Verhaltensheuristiken zu erkennen. Der Skill eignet sich für Incident Response, SOC-Tuning und Red-Team-Validierung, wenn massenhafte Dateiveränderungen, plötzliche Umbenennungswellen und verdächtige Prozessaktivitäten schnell erkannt werden müssen.

Incident Response

Favoriten 0GitHub 0

detecting-privilege-escalation-attempts

von mukul975

detecting-privilege-escalation-attempts hilft beim Aufspüren von Privilege Escalation unter Windows und Linux, einschließlich Token-Manipulation, UAC-Bypass, unquoted service paths, Kernel-Exploits und sudo/doas-Missbrauch. Entwickelt für Threat-Hunting-Teams, die einen praxisnahen Workflow, Referenz-Queries und Hilfsskripte brauchen.

Threat Hunting

Favoriten 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

von mukul975

Die Skill „detecting-evasion-techniques-in-endpoint-logs“ hilft dabei, Verteidigungsumgehung in Windows-Endpunktprotokollen aufzuspüren, darunter das Löschen von Logs, Timestomping, Prozessinjektion und das Deaktivieren von Sicherheitstools. Sie eignet sich für Threat Hunting, Detection Engineering und Incident-Triage mit Sysmon-, Windows-Security- oder EDR-Telemetrie.

Threat Hunting

Favoriten 0GitHub 0

analyzing-network-traffic-for-incidents

von mukul975

analyzing-network-traffic-for-incidents hilft Incident Respondern dabei, PCAPs, Flow-Logs und Paketmitschnitte zu analysieren, um C2, laterale Bewegung, Exfiltration und Exploit-Versuche zu bestätigen. Entwickelt für analyzing-network-traffic-for-incidents im Incident Response mit Wireshark, Zeek und NetFlow-ähnlicher Analyse.

Incident Response

Favoriten 0GitHub 0

detecting-credential-dumping-techniques

von mukul975

Der Skill detecting-credential-dumping-techniques hilft dir dabei, LSASS-Zugriffe, SAM-Exporte, den Diebstahl von NTDS.dit und den Missbrauch von comsvcs.dll MiniDump mithilfe von Sysmon Event ID 10, Windows-Sicherheitsprotokollen und SIEM-Korrelationsregeln zu erkennen. Er ist für Threat Hunting, Detection Engineering und Security-Audit-Workflows konzipiert.

Security Audit

Favoriten 0GitHub 0

correlating-security-events-in-qradar

von mukul975

correlating-security-events-in-qradar unterstützt SOC- und Detection-Teams dabei, IBM QRadar Offenses mit AQL, Offense-Kontext, Custom Rules und Referenzdaten zu korrelieren. Nutzen Sie diesen Leitfaden, um Vorfälle zu untersuchen, False Positives zu reduzieren und stärkere Korrelationslogik für Incident Response aufzubauen.

Incident Response

Favoriten 0GitHub 0

containing-active-breach

von mukul975

containing-active-breach ist ein Incident-Response-Skill für die Eindämmung aktiver Sicherheitsvorfälle. Er hilft dabei, Hosts zu isolieren, verdächtigen Traffic zu blockieren, kompromittierte Konten zu deaktivieren und laterale Bewegung mit einem strukturierten containing-active-breach-Leitfaden samt praktischen API- und Skriptverweisen zu verlangsamen.

Incident Response

Favoriten 0GitHub 0

configuring-suricata-for-network-monitoring

von mukul975

Die Skill „configuring-suricata-for-network-monitoring“ unterstützt beim Einrichten und Feinabstimmen von Suricata für IDS/IPS-Monitoring, EVE-JSON-Logging, Regelverwaltung und SIEM-taugliche Ausgaben. Sie eignet sich für den Workflow „configuring-suricata-for-network-monitoring“ im Rahmen eines Security-Audit, wenn praktische Einrichtung, Validierung und die Reduktion von False Positives gefragt sind.

Security Audit

Favoriten 0GitHub 0

detecting-process-injection-techniques

von mukul975

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

Security Audit

Favoriten 0GitHub 0

detecting-business-email-compromise

von mukul975

Das detecting-business-email-compromise Skill unterstützt Analysten, SOC-Teams und Incident Responder dabei, BEC-Versuche mithilfe von E-Mail-Header-Prüfungen, Hinweisen auf Social Engineering, Detection-Logik und reaktionsorientierten Workflows zu erkennen. Nutzen Sie es als praktischen detecting-business-email-compromise Leitfaden für Triage, Validierung und Eindämmung.

Incident Response

Favoriten 0GitHub 6.1k

detecting-email-forwarding-rules-attack

von mukul975

Das Skill „detecting-email-forwarding-rules-attack“ unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, bösartige Weiterleitungsregeln in Mailboxen zu finden, die für Persistenz und E-Mail-Abgriff missbraucht werden. Es führt Analysten durch Belege aus Microsoft 365 und Exchange, verdächtige Regelmuster sowie praxisnahe Triage für Weiterleitungs-, Umleitungs-, Lösch- und Verbergungsverhalten.

Security Audit

Favoriten 0GitHub 0