detecting-email-account-compromise

por mukul975

A skill detecting-email-account-compromise ajuda analistas de SOC e de resposta a incidentes a investigar a invasão de caixas de correio no Microsoft 365 e no Google Workspace, verificando logins suspeitos, abuso de regras da caixa de entrada, encaminhamento externo, concessões de OAuth e atividade em logs de Graph/auditoria. Use-a como um guia prático de detecting-email-account-compromise para triagem rápida.

Estrelas0

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaIncident Response

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-email-account-compromise

Pontuação editorial

Esta skill recebe nota 78/100 porque traz um fluxo de resposta a incidentes realista e confiável para detectar comprometimento de e-mail, além de artefatos de apoio suficientes para o usuário avaliar se faz sentido. Para o diretório, é uma boa candidata a instalação em investigações de comprometimento no Microsoft 365/Google Workspace, com ressalvas sobre a completude do fluxo e a clareza do onboarding.

78/100

Pontos fortes

O SKILL.md deixa claro o gatilho e o caso de uso: detectar contas comprometidas no O365 e no Google Workspace analisando regras da caixa de entrada, logins suspeitos, regras de encaminhamento e padrões de acesso à API.
O repositório traz material de apoio prático: uma referência de API para endpoints do Microsoft Graph e um script em Python que analisa regras da caixa de entrada, logs de login e concessões de OAuth.
O frontmatter é válido e rico em tags operacionais e mapeamento MITRE, o que ajuda agentes e usuários a entender rapidamente o escopo.

Pontos de atenção

Não há comando de instalação nem orientação de início rápido, então o usuário precisa inferir as etapas de configuração e execução a partir do script e da documentação de referência.
O fluxo parece centrado em Microsoft Graph, apesar de mencionar Google Workspace na descrição, o que pode reduzir a clareza em ambientes que não sejam Microsoft.

Microsoft Graph Office365 Gmail Email Security Audit Logs Sign In Analysis Inbox Rules

Visão geral

Visão geral da skill detecting-email-account-compromise

A skill detecting-email-account-compromise ajuda você a investigar se uma caixa de e-mail foi tomada em Microsoft 365 e Google Workspace, analisando os sinais que mais importam: logins suspeitos, abuso de regras da caixa de entrada, encaminhamento externo e acesso incomum por API ou OAuth. Ela é ideal para responders de incidentes, analistas de SOC e administradores de e-mail que precisam decidir rápido, com base em evidências, se uma conta está só ruidosa ou realmente comprometida.

O que esta skill detecting-email-account-compromise faz

Esta skill detecting-email-account-compromise é focada em triagem e detecção, não em dicas genéricas de segurança de e-mail. Ela se encaixa em fluxos de resposta a incidentes nos quais você precisa conectar o comportamento da caixa de correio a eventos de identidade e mecanismos de persistência, especialmente em intrusões no estilo BEC.

Casos de uso mais indicados

Use quando houver alertas de regras de encaminhamento estranhas, mensagens apagadas, localizações de login incomuns ou atividade suspeita no Graph. Ela também é útil quando você precisa de um guia repetível de detecting-email-account-compromise para validar se uma caixa de e-mail foi usada para exfiltração ou phishing lateral.

Por que ela é útil em IR

O valor prático está na correlação: mudanças em regras da caixa de entrada, anomalias de sign-in e concessões de OAuth costumam contar uma história muito mais clara quando analisadas em conjunto do que isoladamente. Para detecting-email-account-compromise for Incident Response, isso significa escopo mais rápido, melhor coleta de evidências e menos falsos positivos gerados por ruído de login pontual.

Como usar a skill detecting-email-account-compromise

Instale a skill no seu workspace

Use o fluxo de instalação do repositório para esta instalação de detecting-email-account-compromise:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-email-account-compromise

Depois da instalação, confirme que a pasta da skill está disponível em skills/detecting-email-account-compromise e que seu agente consegue ler tanto o arquivo da skill quanto os materiais de apoio.

Leia estes arquivos primeiro

Comece por SKILL.md para entender o fluxo pretendido e, em seguida, abra references/api-reference.md para ver os endpoints do Microsoft Graph e a tabela de indicadores. Leia scripts/agent.py depois, se quiser entender a lógica de detecção, os padrões de regras e as expectativas de entrada; ele mostra exatamente o que a skill está tentando encontrar.

Transforme uma solicitação vaga em um prompt útil

A skill funciona melhor quando você fornece um contexto concreto de incidente, e não apenas “verifique esta caixa de e-mail”. Inclua plataforma, janela de tempo, usuário suspeito e os tipos de artefato que você já tem. Um bom prompt de uso da detecting-email-account-compromise seria:

“Investigue uma suspeita de takeover de conta para o usuário jane@company.com no Microsoft 365 nos últimos 7 dias. Foque em regras da caixa de entrada, encaminhamento externo, logins com impossible travel e concessões de consentimento OAuth. Resuma a probabilidade de comprometimento, as principais evidências e as próximas ações de contenção.”

Qualidade da entrada que muda o resultado

Informe o tipo exato de tenant, o proprietário da caixa de e-mail, o intervalo de tempo e quaisquer indicadores ruins já conhecidos, como domínios externos, user agents suspeitos ou o nome de uma regra de mensagem específica. Se você já coletou exportações do Graph ou de audit logs, inclua-as; assim, a skill pode priorizar a correlação em vez de adivinhar o que consultar primeiro.

FAQ da skill detecting-email-account-compromise

Isso serve só para Microsoft 365?

Não. O repositório é mais forte para Microsoft 365, mas a skill detecting-email-account-compromise também cobre conceitos de Google Workspace no nível de fluxo de trabalho. Se o seu ambiente for misto, use-a para estruturar a investigação e depois adapte os detalhes da fonte de dados à sua plataforma.

Quando não devo usar esta skill?

Não use como programa completo de segurança de e-mail nem como prompt genérico de resposta a phishing. Se você só precisa de uma opinião em uma linha sobre uma mensagem suspeita, esta skill é detalhada demais; ela foi criada para investigação de comprometimento de conta e triagem baseada em evidências.

Ela substitui uma consulta manual de hunting?

Não. Ela ajuda você a decidir o que verificar e como interpretar, mas você ainda precisa de acesso ao tenant, dados de log e validação. O guia de detecting-email-account-compromise é mais valioso quando você já tem identity logs e audit logs para inspecionar ou exportar.

Ela é adequada para iniciantes?

Sim, desde que a pessoa esteja disposta a fornecer contexto. Iniciantes obtêm os melhores resultados quando pedem um plano de investigação em formato de checklist e compartilham a caixa de e-mail, o intervalo de datas e o comportamento suspeito, em vez de esperar que a skill infira tudo automaticamente.

Como melhorar a skill detecting-email-account-compromise

Dê à skill os artefatos sobre os quais ela pode raciocinar

A forma mais rápida de melhorar os resultados é fornecer regras da caixa de e-mail, eventos de sign-in, concessões OAuth e timestamps relevantes em um único prompt. Quanto mais completo estiver o pacote do incidente, menos o modelo precisa preencher lacunas com suposições, e isso faz muita diferença no uso de detecting-email-account-compromise.

Seja explícito sobre o que “comprometimento” significa no seu caso

Diga à skill se o que mais importa é exfiltração, persistência, risco de BEC ou acesso não autorizado. Isso muda o foco da análise: regras de encaminhamento pesam mais para exfiltração, enquanto sign-ins de risco e token grants importam mais para takeover e persistência.

Fique atento aos modos de falha mais comuns

Os erros mais frequentes são janelas de tempo amplas demais, falta de contexto do tenant e logs colados sem a identidade do usuário. Outro modo de falha é pedir “toda atividade suspeita” sem dizer qual sinal deve contar como suspeito; o resultado melhora quando você nomeia exatamente os indicadores que quer que sejam verificados.

Faça uma segunda passada mais apertada

Se o primeiro resultado vier amplo demais, refine com as evidências que já foram encontradas. Por exemplo: “Revise novamente apenas a regra de encaminhamento e os dois logins de novos países e explique qual deles é mais consistente com comprometimento.” Esse tipo de follow-up normalmente gera um resultado melhor com a skill detecting-email-account-compromise do que recomeçar do zero.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

extracting-browser-history-artifacts

por mukul975

extracting-browser-history-artifacts é uma skill de Forense Digital para extrair histórico de navegação, cookies, cache, downloads e favoritos do Chrome, Firefox e Edge. Use-a para transformar arquivos de perfil do navegador em evidências prontas para linha do tempo, com um fluxo de trabalho repetível e orientado a casos.

Digital Forensics

Favoritos 0GitHub 0

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ajuda equipes de SOC e detecção a correlacionar offenses do IBM QRadar com AQL, contexto de offenses, regras personalizadas e dados de referência. Use este guia para investigar incidentes, reduzir falsos positivos e criar uma lógica de correlação mais forte para resposta a incidentes.

Incident Response

Favoritos 0GitHub 0

containing-active-breach

por mukul975

containing-active-breach é uma skill de resposta a incidentes para contenção de violações em andamento. Ela ajuda a isolar hosts, bloquear tráfego suspeito, desativar contas comprometidas e desacelerar o movimento lateral usando um guia estruturado de containing-active-breach com referências práticas de API e scripts.

Incident Response

Favoritos 0GitHub 0

configuring-suricata-for-network-monitoring

por mukul975

A skill configuring-suricata-for-network-monitoring ajuda a implantar e ajustar o Suricata para monitoramento IDS/IPS, registro em EVE JSON, gerenciamento de regras e saída pronta para SIEM. Ela é indicada para o fluxo de Security Audit com configuring-suricata-for-network-monitoring quando você precisa de configuração prática, validação e redução de falsos positivos.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-business-email-compromise

por mukul975

A skill detecting-business-email-compromise ajuda analistas, equipes de SOC e respondedores de incidentes a identificar tentativas de BEC usando checagens de cabeçalhos de e-mail, sinais de engenharia social, lógica de detecção e fluxos de trabalho voltados à resposta. Use-a como um guia prático de detecting-business-email-compromise para triagem, validação e contenção.

Incident Response

Favoritos 0GitHub 6.1k

detecting-email-forwarding-rules-attack

por mukul975

A skill detecting-email-forwarding-rules-attack ajuda equipes de Security Audit, threat hunting e resposta a incidentes a encontrar regras maliciosas de encaminhamento de caixa de correio usadas para persistência e coleta de e-mails. Ela orienta analistas em evidências do Microsoft 365 e Exchange, padrões suspeitos de regras e triagem prática de comportamentos de forwarding, redirect, delete e hide.

Security Audit

Favoritos 0GitHub 0