detecting-email-account-compromise

par mukul975

detecting-email-account-compromise aide les intervenants en réponse à incident et les analystes SOC à enquêter sur la prise de contrôle de boîtes mail Microsoft 365 et Google Workspace en examinant les connexions suspectes, l’abus de règles de boîte de réception, les transferts externes, les consentements OAuth et l’activité des journaux Graph / d’audit. Utilisez-le comme guide pratique de détection de detectig-email-account-compromise pour un triage rapide.

Étoiles0

Favoris0

Commentaires0

Ajouté9 mai 2026

CatégorieIncident Response

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-email-account-compromise

Score éditorial

Cette skill obtient 78/100, car elle propose un workflow crédible de réponse à incident pour détecter une compromission de compte e-mail, avec suffisamment d’éléments de support pour aider les utilisateurs à juger de son adéquation. Les utilisateurs du répertoire devraient la considérer comme une bonne candidate à l’installation pour les enquêtes de compromission Microsoft 365 / Google Workspace, avec quelques réserves sur l’exhaustivité du workflow et la clarté de la prise en main.

78/100

Points forts

SKILL.md indique clairement le déclencheur et le cas d’usage : détecter des comptes O365 et Google Workspace compromis en analysant les règles de boîte de réception, les connexions suspectes, les règles de transfert et les schémas d’accès aux API.
Le dépôt inclut des ressources de support concrètes : une référence d’API pour les endpoints Microsoft Graph et un script Python qui analyse les règles de boîte de réception, les journaux de connexion et les consentements OAuth.
Le frontmatter est valide et riche en tags opérationnels et en cartographie MITRE, ce qui aide rapidement les agents et les utilisateurs à comprendre le périmètre.

Points de vigilance

Aucune commande d’installation ni guide de démarrage rapide n’est fourni ; les utilisateurs doivent donc déduire eux-mêmes les étapes de mise en place et d’exécution à partir du script et de la documentation de référence.
Le workflow semble centré sur Microsoft Graph malgré la mention de Google Workspace dans la description, ce qui peut réduire la clarté pour les environnements non Microsoft.

Microsoft Graph Office365 Gmail Email Security Audit Logs Sign In Analysis Inbox Rules

Vue d’ensemble

Vue d’ensemble du skill detecting-email-account-compromise

Le skill detecting-email-account-compromise vous aide à enquêter sur une prise de contrôle de boîte mail dans Microsoft 365 et Google Workspace en recherchant les signaux qui comptent vraiment : connexions suspectes, abus de règles de boîte de réception, redirection externe et accès API ou OAuth anormal. Il est particulièrement adapté aux intervenants en gestion d’incident, aux analystes SOC et aux administrateurs de messagerie qui ont besoin d’un moyen rapide, fondé sur des preuves, pour déterminer si un compte est simplement bruyant ou réellement compromis.

Ce que fait ce skill detecting-email-account-compromise

Ce skill detecting-email-account-compromise se concentre sur le triage et la détection, pas sur des conseils génériques de sécurité e-mail. Il s’aligne sur les workflows de réponse à incident où il faut relier le comportement d’une boîte mail à des événements d’identité et à des mécanismes de persistance, en particulier dans les intrusions de type BEC.

Cas d’usage les plus pertinents

Utilisez-le lorsque vous avez des alertes sur des règles de transfert inhabituelles, des messages supprimés, des emplacements de connexion atypiques ou une activité Graph suspecte. Il est aussi utile quand vous avez besoin d’un guide reproducible de detecting-email-account-compromise pour valider si une boîte mail a servi à l’exfiltration ou au phishing latéral.

Pourquoi ce skill est utile en réponse à incident

Sa valeur pratique vient de la corrélation : les changements de règles de boîte de réception, les anomalies de connexion et les consentements OAuth racontent souvent une histoire bien plus claire ensemble qu’isolément. Pour le detecting-email-account-compromise en contexte Incident Response, cela signifie un cadrage plus rapide, une meilleure collecte de preuves et moins de faux positifs dus au bruit d’une connexion ponctuelle.

Comment utiliser le skill detecting-email-account-compromise

Installer le skill dans votre espace de travail

Utilisez le flux d’installation du dépôt pour cette installation detecting-email-account-compromise :
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-email-account-compromise

Après l’installation, vérifiez que le dossier du skill est bien disponible sous skills/detecting-email-account-compromise et que votre agent peut lire à la fois le fichier du skill et ses éléments d’appui.

Lire d’abord ces fichiers

Commencez par SKILL.md pour comprendre le workflow prévu, puis ouvrez references/api-reference.md pour les endpoints Microsoft Graph et le tableau des indicateurs. Lisez ensuite scripts/agent.py si vous voulez comprendre la logique de détection, les motifs de règles et les attentes d’entrée ; c’est là que l’on voit ce que le skill cherche réellement.

Transformer une demande floue en prompt exploitable

Le skill fonctionne mieux quand vous lui donnez un cadre d’incident concret, pas seulement « vérifie cette boîte mail ». Indiquez la plateforme, la fenêtre temporelle, l’utilisateur concerné et les types d’artefacts déjà disponibles. Un bon prompt d’utilisation de detecting-email-account-compromise ressemble à ceci :

“Enquête sur une suspicion de prise de contrôle de compte pour l’utilisateur jane@company.com dans Microsoft 365 sur les 7 derniers jours. Concentre-toi sur les règles de boîte de réception, le transfert externe, les connexions impossible travel et les consentements OAuth. Résume la probabilité de compromission, les preuves clés et les prochaines actions de confinement.”

La qualité des entrées qui change le résultat

Fournissez le type exact de tenant, le propriétaire de la boîte mail, la plage temporelle et tout indicateur de compromission déjà connu, comme des domaines externes, des user agents suspects ou un nom de règle de message précis. Si vous avez déjà collecté des exports Graph ou des journaux d’audit, ajoutez-les ; le skill pourra alors privilégier la corrélation plutôt que deviner quoi interroger en premier.

FAQ du skill detecting-email-account-compromise

Est-ce réservé à Microsoft 365 ?

Non. Le dépôt est surtout axé sur Microsoft 365, mais le skill detecting-email-account-compromise couvre aussi les concepts de Google Workspace au niveau du workflow. Si votre environnement est hybride, servez-vous-en pour structurer l’enquête, puis adaptez les détails des sources de données à votre plateforme.

Quand ne faut-il pas utiliser ce skill ?

Ne l’utilisez pas comme un programme complet de sécurité e-mail ni comme un prompt générique de réponse au phishing. Si vous n’avez besoin que d’un avis en une ligne sur un message suspect, ce skill est plus détaillé que nécessaire ; il est conçu pour l’enquête sur une compromission de compte et le triage fondé sur des preuves.

Remplace-t-il une requête d’investigation manuelle ?

Non. Il vous aide à décider quoi vérifier et comment l’interpréter, mais vous avez toujours besoin d’un accès au tenant, de journaux et d’une validation. Le guide detecting-email-account-compromise est le plus utile quand vous disposez déjà de journaux d’identité et d’audit à inspecter ou exporter.

Est-il adapté aux débutants ?

Oui, à condition que l’utilisateur fournisse du contexte. Les débutants obtiennent les meilleurs résultats lorsqu’ils demandent un plan d’investigation sous forme de checklist et partagent la boîte mail, la période concernée et le comportement suspect, plutôt que d’attendre que le skill déduise tout automatiquement.

Comment améliorer le skill detecting-email-account-compromise

Donner au skill des artefacts sur lesquels raisonner

Le moyen le plus rapide d’améliorer les résultats est de fournir, dans un seul prompt, les règles de boîte mail, les événements de connexion, les consentements OAuth et les horodatages pertinents. Plus le dossier d’incident est complet, moins le modèle doit combler les lacunes, ce qui est particulièrement important pour l’usage de detecting-email-account-compromise.

Être explicite sur ce que signifie « compromis » dans votre cas

Dites au skill si votre priorité est l’exfiltration, la persistance, le risque BEC ou l’accès non autorisé. Cela change le centre de gravité de l’analyse : les règles de transfert comptent davantage pour l’exfiltration, tandis que les connexions à risque et les jetons accordés comptent davantage pour la prise de contrôle et la persistance.

Surveiller les modes d’échec fréquents

Les ratés les plus courants sont des fenêtres temporelles trop larges, un manque de contexte tenant et des journaux collés sans identité utilisateur. Un autre mode d’échec consiste à demander « toute activité suspecte » sans préciser quel signal doit être considéré comme suspect ; la sortie devient meilleure quand vous nommez les indicateurs exacts à vérifier.

Itérer avec un second passage plus ciblé

Si le premier résultat est trop large, affinez-le avec les preuves déjà trouvées. Par exemple : « Réexamine uniquement la règle de transfert et les deux connexions depuis de nouveaux pays, et explique laquelle est la plus cohérente avec une compromission. » Ce type de relance produit généralement un meilleur résultat avec le skill detecting-email-account-compromise que de repartir de zéro.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

conducting-malware-incident-response

par mukul975

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

Incident Response

Favoris 0GitHub 0

detecting-s3-data-exfiltration-attempts

par mukul975

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

Security Audit

Favoris 0GitHub 6.2k

analyzing-usb-device-connection-history

par mukul975

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Digital Forensics

Favoris 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

extracting-browser-history-artifacts

par mukul975

extracting-browser-history-artifacts est une skill de criminalistique numérique dédiée à l’extraction de l’historique de navigation, des cookies, du cache, des téléchargements et des favoris depuis Chrome, Firefox et Edge. Utilisez-la pour transformer les fichiers de profil du navigateur en éléments de preuve prêts pour une chronologie, avec un workflow reproductible et centré sur l’enquête.

Digital Forensics

Favoris 0GitHub 0

detecting-ransomware-encryption-behavior

par mukul975

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Incident Response

Favoris 0GitHub 0

detecting-privilege-escalation-attempts

par mukul975

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

Threat Hunting

Favoris 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

par mukul975

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

Threat Hunting

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

detecting-credential-dumping-techniques

par mukul975

La skill de détection des techniques de credential dumping vous aide à détecter les accès à LSASS, l’export SAM, le vol de NTDS.dit et l’abus de comsvcs.dll MiniDump à l’aide de l’Event ID 10 de Sysmon, des journaux de sécurité Windows et de règles de corrélation SIEM. Elle est conçue pour le threat hunting, l’ingénierie de détection et les workflows d’audit de sécurité.

Security Audit

Favoris 0GitHub 0

correlating-security-events-in-qradar

par mukul975

correlating-security-events-in-qradar aide les équipes SOC et détection à corréler les offenses IBM QRadar avec AQL, le contexte des offenses, des règles personnalisées et les données de référence. Utilisez ce guide pour enquêter sur les incidents, réduire les faux positifs et renforcer la logique de corrélation pour la réponse aux incidents.

Incident Response

Favoris 0GitHub 0

containing-active-breach

par mukul975

containing-active-breach est une skill de réponse à incident dédiée au confinement d’une compromission en cours. Elle aide à isoler des hôtes, bloquer du trafic suspect, désactiver des comptes compromis et ralentir les mouvements latéraux grâce à un guide structuré contenant-active-breach, avec des références pratiques aux API et aux scripts.

Incident Response

Favoris 0GitHub 0

configuring-suricata-for-network-monitoring

par mukul975

Le skill configuring-suricata-for-network-monitoring aide à déployer et ajuster Suricata pour la surveillance IDS/IPS, la journalisation EVE JSON, la gestion des règles et un output prêt pour le SIEM. Il convient bien au workflow configuring-suricata-for-network-monitoring pour Security Audit lorsque vous avez besoin d’une configuration pratique, de validations et d’une réduction des faux positifs.

Security Audit

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

detecting-business-email-compromise

par mukul975

Le skill detecting-business-email-compromise aide les analystes, les équipes SOC et les intervenants en gestion d’incident à identifier les tentatives de BEC grâce à des vérifications des en-têtes d’e-mail, des indices d’ingénierie sociale, une logique de détection et des workflows orientés réponse. Utilisez-le comme guide pratique detecting-business-email-compromise pour le triage, la validation et le confinement.

Incident Response

Favoris 0GitHub 6.1k

detecting-email-forwarding-rules-attack

par mukul975

Le skill de détection des attaques par règles de transfert d’e-mail aide les équipes d’audit sécurité, de threat hunting et de réponse à incident à repérer les règles de transfert de boîtes aux lettres malveillantes utilisées pour la persistance et la collecte de courriels. Il guide les analystes à travers les indices Microsoft 365 et Exchange, les schémas de règles suspects et un triage pratique des comportements de transfert, de redirection, de suppression et de masquage.

Security Audit

Favoris 0GitHub 0