detecting-email-account-compromise
作者 mukul975detecting-email-account-compromise 帮助事件响应人员和 SOC 分析师,通过检查可疑登录、收件箱规则滥用、外部转发、OAuth 授权以及 Graph/审计日志活动,调查 Microsoft 365 和 Google Workspace 邮箱接管。可将其作为实用的 detecting-email-account-compromise 指南,用于快速分诊。
该技能得分 78/100,因为它具备可信、贴近真实事件响应流程的邮箱账号入侵检测思路,并提供了足够的支撑材料,方便用户判断是否适合。目录用户可将其视为 Microsoft 365/Google Workspace 账号入侵排查的稳妥安装候选,但在流程完整性和上手说明方面仍有一些需要注意的地方。
- SKILL.md 清楚说明了触发条件和使用场景:通过分析收件箱规则、可疑登录、转发规则和 API 访问模式,检测 O365 和 Google Workspace 账号是否被入侵。
- 仓库包含实用的支持材料:Microsoft Graph 端点的 API 参考,以及一个分析收件箱规则、登录日志和 OAuth 授权的 Python 脚本。
- Frontmatter 合法且包含丰富的操作标签和 MITRE 映射,能帮助代理和用户快速理解其适用范围。
- 没有提供安装命令或快速开始指引,因此用户需要从脚本和参考文档中自行推断安装与执行步骤。
- 尽管描述中提到 Google Workspace,但整体流程看起来仍以 Microsoft Graph 为中心,这可能会降低非 Microsoft 环境下的清晰度。
detecting-email-account-compromise 技能概览
detecting-email-account-compromise 技能可以帮助你排查 Microsoft 365 和 Google Workspace 中的邮箱接管事件,重点关注最有价值的信号:可疑登录、收件箱规则滥用、外部转发,以及异常的 API 或 OAuth 访问。它特别适合事件响应人员、SOC 分析师和邮件管理员,用一种快速、基于证据的方式判断某个账号只是“噪音很多”,还是已经真正被入侵。
这个 detecting-email-account-compromise 技能能做什么
这个 detecting-email-account-compromise 技能聚焦于分诊和检测,而不是泛泛的邮件安全建议。它对齐的是事件响应工作流:你需要把邮箱行为和身份事件、持久化机制联系起来,尤其适用于 BEC 风格入侵的分析。
最适合的使用场景
当你收到奇怪的转发规则、已删除邮件、异常登录位置,或者可疑的 Graph 活动告警时,用它最合适。它也适合需要一份可重复执行的 detecting-email-account-compromise 指南,用来验证某个邮箱是否被用于数据外传或横向钓鱼的场景。
在 IR 中为什么它有用
它的实际价值在于关联分析:收件箱规则变更、登录异常和 OAuth 授权放在一起看,往往比单独看任一项更能还原事件真相。对于事件响应中的 detecting-email-account-compromise 来说,这意味着更快的影响范围研判、更好的证据收集,以及更少因一次性登录噪音造成的误报。
如何使用 detecting-email-account-compromise 技能
在工作区中安装该技能
使用这个 detecting-email-account-compromise 安装流程里的仓库安装命令:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-email-account-compromise
安装完成后,确认 skills/detecting-email-account-compromise 下已经可见技能文件夹,并且你的 agent 可以读取技能文件及其辅助材料。
先阅读这些文件
先看 SKILL.md,了解预期工作流;然后打开 references/api-reference.md,查看 Microsoft Graph 的端点和指标表。如果你想了解检测逻辑、规则模式和输入预期,接着读 scripts/agent.py;它会告诉你这个技能到底在查什么。
把模糊请求改写成可用提示词
这个技能在你提供具体的事件框架时效果最好,而不是只说“帮我看看这个邮箱”。要写明平台、时间窗口、可疑用户,以及你手头已有的工件类型。一个好的 detecting-email-account-compromise 使用提示词可以是:
“调查 Microsoft 365 中 [email protected] 过去 7 天内疑似被接管的情况。重点检查收件箱规则、外部转发、impossible-travel 登录和 OAuth consent 授权。请总结被入侵的可能性、关键证据,以及用于遏制的下一步行动。”
会直接影响输出质量的输入细节
请提供准确的租户类型、邮箱所有者、时间范围,以及已知的恶意指标,例如外部域名、可疑 user agent,或某条具体的消息规则名称。如果你已经收集了 Graph 或审计日志导出,也一并提供;这样技能就可以优先做关联分析,而不是先猜要查什么。
detecting-email-account-compromise 技能常见问题
这个技能只适用于 Microsoft 365 吗?
不是。这个仓库对 Microsoft 365 支持最强,但 detecting-email-account-compromise 技能在工作流层面也覆盖了 Google Workspace 概念。如果你的环境是混合的,可以先用它搭建调查框架,再把数据源细节调整到对应平台。
什么时候不该用这个技能?
不要把它当成完整的邮件安全方案,也不要把它当作通用的钓鱼响应提示词。如果你只是想对一封可疑邮件快速给出一句话判断,这个技能就显得太重了;它是为账号入侵调查和基于证据的分诊而设计的。
它能替代手动查询吗?
不能。它能帮助你决定该查什么、如何解读结果,但你仍然需要租户访问权限、日志数据和人工验证。这个 detecting-email-account-compromise 指南在你已经有身份日志和审计日志可供检查或导出时,价值最大。
新手也适合用吗?
适合,只要使用者愿意提供上下文。新手在请求清单式调查方案,并提供邮箱、日期范围和可疑行为,而不是期待技能自动推断一切时,往往能得到最好的结果。
如何改进 detecting-email-account-compromise 技能
给它能真正分析的工件
提升效果最快的方法,是把邮箱规则、登录事件、OAuth 授权和相关时间戳放在同一个提示词里。事件包越完整,模型就越不需要在空白处自行补全;这对 detecting-email-account-compromise 的使用尤其重要。
明确你这里说的“入侵”具体指什么
告诉技能你更关注的是数据外传、持久化、BEC 风险,还是未授权访问。这个定义会直接改变分析重点:如果你关心外传,转发规则更关键;如果你关心接管和持久化,可疑登录和 token 授权就更重要。
注意常见失误模式
最常见的问题是时间窗口过大、缺少租户上下文,以及把日志直接贴上来却没有用户身份。另一个常见失误是要求“所有可疑活动”,却不说明什么信号算可疑;当你明确列出要检查的指标时,输出质量会明显更好。
用更聚焦的第二轮继续迭代
如果第一次结果太宽泛,就用已经找到的证据进一步收紧范围。例如:“只重新检查转发规则和那两个来自新国家的登录,并说明哪一个最符合被入侵的特征。” 这种跟进式提问,通常比从头重来更能得到更好的 detecting-email-account-compromise 技能结果。