detecting-email-account-compromise

por mukul975

detecting-email-account-compromise ayuda a los equipos de respuesta a incidentes y a los analistas de SOC a investigar la toma de control de buzones en Microsoft 365 y Google Workspace, revisando inicios de sesión sospechosos, abuso de reglas de bandeja de entrada, reenvíos externos, concesiones OAuth y actividad de Graph/registros de auditoría. Úsalo como una guía práctica de detecting-email-account-compromise para una triage rápida.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaIncident Response

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-email-account-compromise

Puntuación editorial

Este skill obtiene 78/100 porque ofrece un flujo de trabajo creíble y realista de respuesta a incidentes para detectar el compromiso de cuentas de correo, además de suficientes artefactos de apoyo para que los usuarios evalúen si encaja. Los usuarios del directorio deberían verlo como una buena opción para investigar compromisos en Microsoft 365 y Google Workspace, aunque conviene tener en cuenta ciertas limitaciones en la completitud del flujo y la claridad de incorporación.

78/100

Puntos fuertes

SKILL.md deja claro el desencadenante y el caso de uso: detectar cuentas comprometidas de O365 y Google Workspace mediante el análisis de reglas de bandeja de entrada, inicios de sesión sospechosos, reglas de reenvío y patrones de acceso a la API.
El repositorio incluye material de apoyo práctico: una referencia de API para endpoints de Microsoft Graph y un script de Python que analiza reglas de bandeja de entrada, registros de inicio de sesión y concesiones OAuth.
El frontmatter es válido y está enriquecido con etiquetas operativas y mapeo MITRE, lo que ayuda a agentes y usuarios a entender el alcance con rapidez.

Puntos a tener en cuenta

No se proporciona un comando de instalación ni una guía de inicio rápido, por lo que los usuarios deben inferir los pasos de configuración y ejecución a partir del script y la documentación de referencia.
El flujo de trabajo parece centrado en Microsoft Graph, aunque la descripción menciona Google Workspace, lo que puede reducir la claridad para entornos que no sean de Microsoft.

Microsoft Graph Office365 Gmail Email Security Audit Logs Sign In Analysis Inbox Rules

Resumen

Visión general de la skill de detección de compromiso de cuentas de correo

La skill detecting-email-account-compromise te ayuda a investigar la toma de control de buzones en Microsoft 365 y Google Workspace buscando las señales que más importan: inicios de sesión sospechosos, abuso de reglas de bandeja de entrada, reenvío externo y acceso inusual vía API u OAuth. Es ideal para equipos de respuesta a incidentes, analistas de SOC y administradores de correo que necesitan una forma rápida y basada en evidencia de decidir si una cuenta solo genera ruido o si realmente está comprometida.

Qué hace esta skill de detección de compromiso de cuentas de correo

Esta skill detecting-email-account-compromise se centra en el triaje y la detección, no en consejos genéricos de seguridad del correo. Está alineada con flujos de trabajo de respuesta a incidentes en los que necesitas relacionar el comportamiento del buzón con eventos de identidad y mecanismos de persistencia, especialmente en intrusiones de tipo BEC.

Casos de uso más adecuados

Úsala cuando tengas alertas sobre reglas de reenvío extrañas, mensajes eliminados, ubicaciones de inicio de sesión inusuales o actividad sospechosa en Graph. También es útil cuando necesitas una guía repetible de detecting-email-account-compromise para validar si un buzón se ha usado para exfiltración o phishing lateral.

Por qué resulta útil en respuesta a incidentes

Su valor práctico está en la correlación: los cambios en las reglas de la bandeja de entrada, las anomalías de inicio de sesión y las concesiones OAuth suelen contar una historia mucho más clara juntos que por separado. Para detecting-email-account-compromise en respuesta a incidentes, eso se traduce en un alcance más rápido, mejor recopilación de evidencias y menos falsos positivos por ruido aislado de inicio de sesión.

Cómo usar la skill de detección de compromiso de cuentas de correo

Instala la skill en tu espacio de trabajo

Usa el flujo de instalación del repositorio para esta instalación de detecting-email-account-compromise:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-email-account-compromise

Después de instalarla, confirma que la carpeta de la skill esté disponible en skills/detecting-email-account-compromise y que tu agente pueda leer tanto el archivo de la skill como su material de apoyo.

Lee primero estos archivos

Empieza por SKILL.md para entender el flujo de trabajo previsto y luego abre references/api-reference.md para ver los endpoints de Microsoft Graph y la tabla de indicadores. Lee después scripts/agent.py si quieres ver la lógica de detección, los patrones de reglas y los requisitos de entrada; ahí se ve exactamente qué busca la skill.

Convierte una solicitud vaga en un prompt útil

La skill funciona mejor cuando le das un marco concreto de incidente, no solo “revisa este buzón”. Incluye plataforma, ventana temporal, usuario sospechoso y tipos de artefactos que ya tienes. Un buen prompt de uso de detecting-email-account-compromise se vería así:

“Investiga una posible toma de control de cuenta para el usuario jane@company.com en Microsoft 365 durante los últimos 7 días. Enfócate en reglas de bandeja de entrada, reenvío externo, inicios de sesión con impossible travel y concesiones de consentimiento OAuth. Resume la probabilidad de compromiso, las principales evidencias y los siguientes pasos para contenerlo.”

Calidad de entrada que cambia la salida

Proporciona el tipo exacto de tenant, el propietario del buzón, el rango temporal y cualquier indicador malicioso conocido, como dominios externos, user agents sospechosos o un nombre concreto de regla de mensaje. Si ya recopilaste exportaciones de Graph o de registros de auditoría, inclúyelas; así la skill puede priorizar la correlación en lugar de adivinar qué consultar primero.

Preguntas frecuentes sobre la skill de detección de compromiso de cuentas de correo

¿Esto es solo para Microsoft 365?

No. El repositorio está más orientado a Microsoft 365, pero la skill detecting-email-account-compromise también cubre conceptos de Google Workspace a nivel de flujo de trabajo. Si tu entorno es mixto, úsala para estructurar la investigación y luego adapta los detalles de la fuente de datos a tu plataforma.

¿Cuándo no debería usar esta skill?

No la uses como un programa completo de seguridad del correo ni como un prompt genérico para responder a phishing. Si solo necesitas una opinión en una línea sobre un mensaje sospechoso, esta skill es más detallada de lo necesario; está diseñada para investigar compromisos de cuentas y hacer triaje basado en evidencia.

¿Sustituye una consulta manual de hunting?

No. Te ayuda a decidir qué revisar y cómo interpretarlo, pero sigues necesitando acceso al tenant, datos de logs y validación. La guía detecting-email-account-compromise aporta más valor cuando ya tienes registros de identidad y auditoría para inspeccionar o exportar.

¿Es adecuada para principiantes?

Sí, si el usuario está dispuesto a aportar contexto. Los principiantes obtienen mejores resultados cuando piden un plan de investigación en formato checklist y comparten el buzón, el rango de fechas y el comportamiento sospechoso, en lugar de esperar que la skill lo infiera todo automáticamente.

Cómo mejorar la skill de detección de compromiso de cuentas de correo

Dale a la skill los artefactos sobre los que puede razonar

La forma más rápida de mejorar los resultados es proporcionar en un solo prompt las reglas del buzón, los eventos de inicio de sesión, las concesiones OAuth y las marcas de tiempo relevantes. Cuanto más completo sea el paquete del incidente, menos tendrá que inventar el modelo para cubrir huecos, y eso importa mucho en el uso de detecting-email-account-compromise.

Sé explícito sobre qué significa “compromiso” en tu caso

Dile a la skill si te preocupa más la exfiltración, la persistencia, el riesgo de BEC o el acceso no autorizado. Eso cambia el foco del análisis: las reglas de reenvío pesan más para exfiltración, mientras que los inicios de sesión de riesgo y las concesiones de tokens pesan más para toma de control y persistencia.

Vigila los fallos más comunes

Los errores más frecuentes son ventanas temporales demasiado amplias, falta de contexto del tenant y registros pegados sin identidad de usuario. Otro fallo habitual es pedir “toda la actividad sospechosa” sin decir qué señal debe considerarse sospechosa; la salida mejora cuando nombras los indicadores exactos que quieres que se revisen.

Itera con una segunda pasada más precisa

Si el primer resultado es demasiado amplio, refínalo con la evidencia que ya se encontró. Por ejemplo: “Vuelve a revisar solo la regla de reenvío y los dos inicios de sesión desde países nuevos, y explica cuál es el más consistente con un compromiso.” Ese tipo de seguimiento suele dar un mejor resultado con detecting-email-account-compromise que empezar desde cero.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts es una skill de Forense Digital para extraer historial, cookies, caché, descargas y marcadores de Chrome, Firefox y Edge. Úsala para convertir archivos de perfil del navegador en evidencia lista para líneas de tiempo, con una guía de trabajo repetible y centrada en el caso.

Digital Forensics

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ayuda a equipos de SOC y detección a correlacionar delitos de IBM QRadar con AQL, contexto del delito, reglas personalizadas y datos de referencia. Usa esta guía para investigar incidentes, reducir falsos positivos y crear una lógica de correlación más sólida para respuesta a incidentes.

Incident Response

Favoritos 0GitHub 0

containing-active-breach

por mukul975

containing-active-breach es una skill de respuesta a incidentes para contener una brecha activa en tiempo real. Ayuda a aislar hosts, bloquear tráfico sospechoso, deshabilitar cuentas comprometidas y frenar el movimiento lateral mediante una guía estructurada de containing-active-breach con referencias prácticas a APIs y scripts.

Incident Response

Favoritos 0GitHub 0

configuring-suricata-for-network-monitoring

por mukul975

La skill configuring-suricata-for-network-monitoring ayuda a desplegar y ajustar Suricata para monitoreo IDS/IPS, registro EVE JSON, gestión de reglas y salida lista para SIEM. Encaja bien con el flujo de Security Audit cuando necesitas una configuración práctica, validación y reducción de falsos positivos.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-business-email-compromise

por mukul975

La skill de detección de BEC ayuda a analistas, equipos SOC y responsables de respuesta a incidentes a identificar intentos de Business Email Compromise (BEC) mediante comprobaciones de encabezados de correo, indicios de ingeniería social, lógica de detección y flujos de trabajo orientados a la respuesta. Úsala como una guía práctica de detección de BEC para tareas de triaje, validación y contención.

Incident Response

Favoritos 0GitHub 6.1k

detecting-email-forwarding-rules-attack

por mukul975

La skill de detección de ataques por reglas de reenvío de correo ayuda a los equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a encontrar reglas maliciosas de reenvío en buzones usadas para persistencia y recolección de correos. Guía a los analistas a través de evidencias de Microsoft 365 y Exchange, patrones sospechosos de reglas y una triage práctica para comportamientos de reenvío, redirección, eliminación y ocultación.

Security Audit

Favoritos 0GitHub 0