detecting-email-forwarding-rules-attack

## detecting-email-forwarding-rules-attack 스킬 개요

### 이 스킬은 무엇을 위한 것인가
`detecting-email-forwarding-rules-attack` 스킬은 공격자가 초기 침투 이후에도 이메일을 계속 읽을 수 있도록 악용하는 악성 사서함 전달 규칙을 추적하는 데 도움을 줍니다. Security Audit, 위협 헌팅, 인시던트 대응 팀이 전달, 리디렉션, 삭제, 숨김 규칙이 무단으로 생성되었는지 확인해야 할 때 특히 유용합니다.

### 누가 설치하면 좋은가
이미 Microsoft 365 또는 Exchange 감사 데이터를 수집하고 있거나, ATT&CK T1114.003 유형의 탐지를 위한 재사용 가능한 워크플로가 필요한 경우 `detecting-email-forwarding-rules-attack skill`을 설치하세요. 이 스킬은 일반적인 “쿼리를 작성하는 법” 프롬프트가 아니라, 탐지 중심의 가이드를 원하는 분석가에게 잘 맞습니다.

### 무엇이 다른가
이 스킬은 이론보다 실무에 가깝습니다. 헌트에 재사용할 수 있는 유력 데이터 소스, 의심스러운 규칙 패턴, 저장소 파일을 짚어 줍니다. 핵심은 소음이 많은 사서함 규칙 검색을 증거, 범위, 위험 판단이 갖춰진 방어 가능한 결론으로 좁히는 데 있습니다.

## detecting-email-forwarding-rules-attack 스킬 사용법

### 설치한 뒤 필요한 파일부터 확인하기
저장소 또는 스킬 관리자에서 `detecting-email-forwarding-rules-attack install` 경로를 사용한 뒤, 먼저 `SKILL.md`를 읽으세요. 구현 맥락을 제대로 보려면 `references/workflows.md`, `references/api-reference.md`, `references/standards.md`, `assets/template.md`도 함께 확인해야 합니다. 이 파일들에는 워크플로, 탐지 로직, 쿼리 예시, 헌트 결과 구조가 담겨 있습니다.

### 실제로 필요한 입력을 넣기
`detecting-email-forwarding-rules-attack usage`는 이메일 플랫폼, 기간, 확인 대상 계정이나 테넌트, 사용 가능한 로그 소스, 그리고 조직에서 “의심스러움”의 의미가 무엇인지 알려줄 때 가장 잘 작동합니다. 약한 요청은 “forwarding 공격을 찾아줘”입니다. 더 강한 요청은 “지난 14일간 Exchange Online 받은편지함 규칙을 헌팅하고, 외부 전달과 delete-after-forward 동작을 우선순위로 두며, 각 탐지 건마다 증거 필드를 반환해줘”입니다.

### 헌트 결과를 위한 프롬프트를 구체화하기
좋은 `detecting-email-forwarding-rules-attack guide` 프롬프트는 세 가지 출력 중 하나를 요구해야 합니다: 헌트 계획, 쿼리 세트, 조사 요약. 예: “Microsoft 365 감사 로그와 Graph inbox rules를 사용해 Splunk SPL과 KQL 예시, false positive 노트, 트리아지 체크리스트를 포함한 T1114.003 단계별 헌트를 작성해줘.” 이렇게 프레이밍하면 스킬이 막연한 조언이 아니라 바로 실행 가능한 작업을 돌려줄 가능성이 높아집니다.

### 올바른 순서로 워크플로 사용하기
가장 신뢰하는 데이터 소스부터 시작하세요. 보통은 Unified Audit Log, Microsoft Graph inbox rules, 또는 SIEM에 수집된 Exchange 이벤트입니다. 그다음 `ForwardTo`, `RedirectTo`, `DeleteMessage`, `MarkAsRead`, Junk/RSS로의 폴더 이동 같은 규칙 동작을 확인하세요. 악성 여부를 판단하기 전에 규칙 생성자, 클라이언트 IP, 타임스탬프를 상호 연관 분석해야 합니다.

## detecting-email-forwarding-rules-attack 스킬 FAQ

### 이것은 Microsoft 365 전용인가요?
대체로 그렇습니다. 저장소는 Exchange Online과 Microsoft Graph 스타일의 inbox rules를 중심으로 구성되어 있어 Microsoft 365 환경에서 가장 강합니다. 다른 환경에도 일부를 응용할 수는 있지만, `detecting-email-forwarding-rules-attack skill`은 범용 이메일 보안 프레임워크는 아닙니다.

### 스스로 프롬프트를 쓸 수 있으면 굳이 필요할까요?
이미 데이터 모델과 탐지 패턴을 잘 알고 있다면, 직접 작성한 프롬프트만으로 충분할 수 있습니다. 하지만 무엇을 조회할지, 무엇을 볼지, 의심스러운 남용을 어떻게 트리아지할지까지 구조를 제공하는 재사용 가능한 `detecting-email-forwarding-rules-attack install` 기준이 필요하다면 이 스킬을 설치하세요.

### 초보자에게도 친절한가요?
감사 로그나 SIEM 쿼리를 다룰 수 있다면 그렇습니다. 반대로 사서함 텔레메트리가 없거나, Microsoft 365 접근 권한이 없거나, 전달 규칙이 정상인지 검증할 방법이 전혀 없다면 효용이 떨어집니다. 그런 경우에는 계획을 세우는 데는 도움이 되더라도, 탐지를 입증하는 데까지는 이르지 못할 수 있습니다.

### 언제 사용하지 말아야 하나요?
전체 이메일 침해 조사의 대용으로 쓰면 안 됩니다. 전달 규칙은 지속성 기법 중 하나일 뿐, 사건 전체가 아닙니다. OAuth 남용, 위임 액세스, 악성 transport rule이 포함된 사례라면 이 스킬 외에 추가 탐지가 필요합니다.

## detecting-email-forwarding-rules-attack 스킬 개선하기

### 환경 맥락을 더 잘 알려주기
가장 값어치가 큰 입력은 실제 테넌트 상황입니다. 메일 플랫폼, 감사 로그 보관 기간, 업무상 예외로 인정되는 항목, 파트너 도메인으로의 전달이 정상인지 여부를 포함하세요. 이런 맥락이 있어야 `detecting-email-forwarding-rules-attack skill`이 false positive를 줄이고 탐지 결과의 우선순위를 제대로 매길 수 있습니다.

### 히트 목록만 말고 증거를 요구하기
흔한 실패는 판단 근거 없는 규칙 목록만 받는 것입니다. 사용자, 사서함, 규칙 이름, 동작, 외부 목적지, 생성 시각, 왜 의심스러운지 같은 증거 열을 요청하세요. Security Audit 작업에서는 단순 개수보다 이 정보가 훨씬 중요합니다.

### 구체적인 의심 패턴으로 헌트를 좁히기
첫 결과가 너무 넓다면 한 번에 한 가지 패턴만 좁혀서 요청하세요. 외부 전달, delete-after-forward, 금융 관련 키워드 표적화, 숨김 배달 행위 같은 식입니다. 예: “외부로 전달하면서 원본 메시지도 삭제하는 규칙만 집중하고, 정상 위임과 구분해줘.”

### 탐지에서 검증으로 반복 개선하기
첫 번째 실행 이후에는 확인된 정상 사례, 더 짧은 날짜 범위, 관찰된 공격자 행위를 넣어 다음 실행을 개선하세요. 그러면 `detecting-email-forwarding-rules-attack usage`가 일반적인 헌팅에서 정밀 검증으로 이동합니다. 이 지점이 바로 이 스킬의 가치가 가장 크게 드러나는 구간입니다.