detecting-business-email-compromise

por mukul975

A skill detecting-business-email-compromise ajuda analistas, equipes de SOC e respondedores de incidentes a identificar tentativas de BEC usando checagens de cabeçalhos de e-mail, sinais de engenharia social, lógica de detecção e fluxos de trabalho voltados à resposta. Use-a como um guia prático de detecting-business-email-compromise para triagem, validação e contenção.

Estrelas6.1k

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaIncident Response

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-business-email-compromise

Pontuação editorial

Esta skill recebe 82/100, o que a torna uma boa candidata para usuários de diretório que precisam de um fluxo de detecção focado em BEC. O repositório mostra conteúdo operacional real — fluxos de detecção estruturados, um template, referências a padrões e scripts executáveis — então um agente provavelmente conseguirá acioná-la e usá-la com menos tentativa e erro do que em um prompt genérico. Ainda assim, os usuários devem esperar alguma fricção na adoção, porque o trecho de SKILL.md não mostra um comando de instalação nem um quick-start completo de ponta a ponta na evidência fornecida.

82/100

Pontos fortes

Gatilho e casos de uso claros, específicos para BEC, em investigação de incidentes, criação de regras e análise de SOC.
Bom suporte operacional com documentação de fluxos, templates de detecção e arquivos de padrões/referência.
O repositório inclui scripts para análise de e-mail/cabeçalhos e detecção de indicadores de BEC, mostrando ganho real de fluxo de trabalho.

Pontos de atenção

A evidência não mostra um comando de instalação em SKILL.md, o que pode tornar o onboarding menos imediato.
Alguns trechos de arquivos estão truncados, então os usuários talvez precisem inspecionar o repositório para obter detalhes completos de execução e tratamento de casos-limite.

Email Security Phishing Social Engineering Security Operations Microsoft Graph Outlook Python

Visão geral

Visão geral da skill detecting-business-email-compromise

O que esta skill faz

A skill detecting-business-email-compromise ajuda você a identificar e fazer triagem de tentativas de Business Email Compromise (BEC) combinando checagens de cabeçalhos de e-mail, sinais de engenharia social e lógica de detecção orientada à resposta. Ela é ideal para analistas, equipes de SOC e responsáveis por incidentes que precisam de um guia prático de detecting-business-email-compromise, e não de um prompt genérico de phishing.

Casos de uso mais adequados

Use esta skill de detecting-business-email-compromise quando um e-mail pedir uma transferência, alterar dados bancários de fornecedor, pressionar alguém a agir rápido ou parecer vir de um executivo ou parceiro de confiança. Ela também se encaixa em detecting-business-email-compromise para Incident Response quando você precisa confirmar se a mensagem só foi entregue, se mensagens semelhantes foram enviadas ou se um comprometimento de conta já começou.

O que a diferencia

Este repositório não é só conteúdo de conscientização. Ele inclui categorias de detecção, lógica de fluxo de trabalho, mapeamento para padrões e scripts que apoiam a análise de cabeçalhos e do conteúdo da mensagem. Isso torna a decisão de instalar a skill detecting-business-email-compromise mais fácil para equipes que querem suporte operacional de detecção, e não apenas linguagem de política.

Como usar a skill detecting-business-email-compromise

Instale e inspecione a skill

Instale a skill detecting-business-email-compromise com o fluxo normal de skills do seu diretório e depois abra primeiro skills/detecting-business-email-compromise/SKILL.md. Leia references/workflows.md para o fluxo de investigação, references/standards.md para categorias de regras e mapeamento de controles, e references/api-reference.md para exemplos de cabeçalhos e padrões antes de tentar adaptá-la.

Dê à skill os insumos certos

O uso da detecting-business-email-compromise funciona melhor quando você fornece a origem do e-mail, o contexto de negócio suspeito e a decisão que quer tomar. Boas entradas nomeiam remetente, destinatário, nome de exibição, corpo da mensagem, cabeçalhos e o que gerou a preocupação.

Exemplo de formato de entrada:

“Analise este .eml para impersonação de CEO e redirecionamento de pagamento.”
“Verifique se este e-mail de fornecedor é uma tentativa de BEC ou uma mudança normal de fatura.”
“Analise estes cabeçalhos e o texto do corpo em busca de divergência entre reply-to e tom de urgência.”

Transforme uma solicitação vaga em um prompt útil

Um prompt fraco diz: “Detecte BEC.” Um prompt mais forte diz: “Use a skill detecting-business-email-compromise para avaliar esta mensagem recebida em busca de indicadores de BEC. Foque em spoofing do nome de exibição, divergência de reply-to, linguagem de mudança de pagamento, pressão por urgência e se os cabeçalhos sugerem spoofing ou comprometimento de conta. Retorne o tipo provável de BEC, os fatores de confiança e as ações imediatas de contenção.”

Fluxo prático para obter melhor resultado

Comece pela mensagem e pelos cabeçalhos e depois peça classificação, indicadores e próxima ação. Se você já souber o cenário, diga se é fraude do CEO, fraude de fatura, fraude com vale-presente ou comprometimento de conta. Isso permite que a skill priorize os indicadores certos em vez de pontuar todos os sinais genéricos de phishing com o mesmo peso.

FAQ da skill detecting-business-email-compromise

Isso é melhor do que um prompt normal?

Sim, se você precisa de análise repetível. Um prompt simples pode identificar phishing óbvio, mas a skill detecting-business-email-compromise é mais útil quando você quer checagens específicas de BEC, como impersonação de executivo, solicitação de mudança de pagamento, abuso de regras de encaminhamento e follow-up de resposta a incidentes.

Iniciantes conseguem usar?

Sim, mas só se conseguirem fornecer o texto do e-mail ou os dados de cabeçalho. Iniciantes extraem mais valor do guia detecting-business-email-compromise quando o usam como um checklist estruturado para uma única mensagem suspeita, e não como uma enciclopédia ampla de cibersegurança.

Quais são os principais limites?

Esta skill foi pensada para detecção e resposta a BEC, não para análise de malware nem para filtragem genérica de spam. Se o problema for um anexo malicioso, uma página de captura de credenciais ou um comprometimento de endpoint sem componente de e-mail, esta não é a skill principal certa.

Quando eu não deveria instalar?

Evite instalar se sua equipe só precisa de treinamento de conscientização em alto nível. Também não vale a pena se você não consegue inspecionar metadados da mensagem ou se o seu fluxo de trabalho nunca lida com finanças, RH, e-mails de executivos ou solicitações de pagamento a fornecedores, porque esses são os cenários de maior aderência para detecting-business-email-compromise.

Como melhorar a skill detecting-business-email-compromise

Forneça evidências, não apenas suspeita

A skill detecting-business-email-compromise melhora quando você inclui From, Reply-To, nome de exibição, assunto, corpo da mensagem e Authentication-Results. Se você tiver o .eml bruto, anexe-o em vez de resumir, porque o alinhamento dos cabeçalhos e as diferenças no caminho de resposta muitas vezes definem o resultado.

Diga qual padrão de BEC você suspeita

Um prompt mais forte para detecting-business-email-compromise nomeia o padrão provável: fraude do CEO, fraude de fatura, impersonação de advogado, roubo de dados ou comprometimento de conta. Isso ajuda a skill a pesar com mais precisão linguagem de urgência, alterações de pagamento a fornecedor, títulos executivos ou solicitações de dados de RH.

Fique atento aos modos de falha mais comuns

O erro mais comum é pedir um veredito sem contexto. Outro é omitir os detalhes do processo financeiro ou de negócio que tornam uma mensagem arriscada, como quem está autorizado a aprovar pagamentos ou se o remetente é um fornecedor conhecido. Se você quer melhores resultados de instalação de detecting-business-email-compromise, forneça o contexto operacional desde o início.

Itere depois da primeira passada

Depois da primeira resposta, faça um acompanhamento mais específico: “Liste só os indicadores mais fortes”, “Explique por que isso é ou não comprometimento de conta” ou “Rascunhe os passos de contenção para finanças e SOC”. Isso mantém a skill focada e transforma a primeira análise em um plano de ação útil para resposta a incidentes.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

Digital Forensics

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ajuda equipes de SOC e detecção a correlacionar offenses do IBM QRadar com AQL, contexto de offenses, regras personalizadas e dados de referência. Use este guia para investigar incidentes, reduzir falsos positivos e criar uma lógica de correlação mais forte para resposta a incidentes.

Incident Response

Favoritos 0GitHub 0

containing-active-breach

por mukul975

containing-active-breach é uma skill de resposta a incidentes para contenção de violações em andamento. Ela ajuda a isolar hosts, bloquear tráfego suspeito, desativar contas comprometidas e desacelerar o movimento lateral usando um guia estruturado de containing-active-breach com referências práticas de API e scripts.

Incident Response

Favoritos 0GitHub 0

configuring-suricata-for-network-monitoring

por mukul975

A skill configuring-suricata-for-network-monitoring ajuda a implantar e ajustar o Suricata para monitoramento IDS/IPS, registro em EVE JSON, gerenciamento de regras e saída pronta para SIEM. Ela é indicada para o fluxo de Security Audit com configuring-suricata-for-network-monitoring quando você precisa de configuração prática, validação e redução de falsos positivos.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-email-forwarding-rules-attack

por mukul975

A skill detecting-email-forwarding-rules-attack ajuda equipes de Security Audit, threat hunting e resposta a incidentes a encontrar regras maliciosas de encaminhamento de caixa de correio usadas para persistência e coleta de e-mails. Ela orienta analistas em evidências do Microsoft 365 e Exchange, padrões suspeitos de regras e triagem prática de comportamentos de forwarding, redirect, delete e hide.

Security Audit

Favoritos 0GitHub 0

detecting-anomalous-authentication-patterns

por mukul975

detecting-anomalous-authentication-patterns ajuda a analisar logs de autenticação em busca de impossible travel, brute force, password spraying, credential stuffing e atividade de contas comprometidas. Foi criado para workflows de Security Audit, SOC, IAM e resposta a incidentes, com detecção consciente de baseline e análise de sign-in baseada em evidências.

Security Audit

Favoritos 0GitHub 0