implementing-email-sandboxing-with-proofpoint

邮件沙箱在隔离环境中引爆可疑附件和 URL,以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护(TAP)是业界领先的解决方案,使用多阶段沙箱、URL 重写和预测分析。

9 stars

Best use case

implementing-email-sandboxing-with-proofpoint is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

邮件沙箱在隔离环境中引爆可疑附件和 URL,以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护(TAP)是业界领先的解决方案,使用多阶段沙箱、URL 重写和预测分析。

Teams using implementing-email-sandboxing-with-proofpoint should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-email-sandboxing-with-proofpoint/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-email-sandboxing-with-proofpoint/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-email-sandboxing-with-proofpoint/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-email-sandboxing-with-proofpoint Compares

Feature / Agentimplementing-email-sandboxing-with-proofpointStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

邮件沙箱在隔离环境中引爆可疑附件和 URL,以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护(TAP)是业界领先的解决方案,使用多阶段沙箱、URL 重写和预测分析。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 Proofpoint 实施邮件沙箱

## 概述

邮件沙箱在隔离环境中引爆可疑附件和 URL,以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护(TAP)是业界领先的解决方案,使用多阶段沙箱、URL 重写和预测分析。本技能涵盖配置 Proofpoint TAP、与邮件流集成、分析沙箱报告和调整检测策略。

## 前置条件

- 带 TAP 附加组件的 Proofpoint Email Protection 许可证
- 对 Proofpoint 管理控制台的管理员访问权限
- 了解邮件投递架构(MX 记录、邮件流规则)
- SIEM 集成能力

## 核心概念

### Proofpoint TAP 功能

1. **附件沙箱**:在虚拟机中引爆文件(Windows、macOS、Android)
2. **URL Defense**:重写 URL,在点击时引爆
3. **威胁情报**:Proofpoint NexusAI 威胁情报集成
4. **TAP 仪表板**:针对组织的威胁实时可见性
5. **活动关联**:将相关攻击归组为活动
6. **高频攻击目标(VAP)**:识别最常被攻击的个人

### 检测到的沙箱规避技术

- 延迟执行(定时炸弹恶意软件)
- 虚拟机检测绕过
- 用户交互要求(点击启用宏)
- 检查分析环境的沙箱感知恶意软件
- 加密/密码保护的附件
- 延迟 C2 检索的多阶段载荷

## 实施步骤

### 步骤一:在 Proofpoint 中配置 TAP

- 为入站邮件策略启用 TAP
- 配置沙箱配置文件(要引爆的附件类型)
- 设置 URL Defense 重写策略
- 配置对恶意裁决的隔离操作

### 步骤二:调整附件策略

```
推荐附件策略:
- 引爆:.exe, .dll, .scr, .doc(m), .xls(m), .ppt(m), .pdf, .zip, .rar, .7z, .iso
- 不引爆直接封锁:.bat, .cmd, .ps1, .vbs, .js, .wsf, .hta
- 密码保护的压缩包:尝试常用密码,然后隔离
- 动态投递:投递邮件正文,暂留附件直至得出裁决
```

### 步骤三:配置 URL Defense

- 为所有入站邮件启用 URL 重写
- 设置点击时引爆
- 封锁对恶意 URL 的访问
- 对可疑(未确认恶意)URL 显示警告页面
- 配置允许域名的旁路列表

### 步骤四:设置 TAP 仪表板监控

- 为安全团队配置每日威胁摘要邮件
- 为定向攻击设置实时告警
- 监控 VAP 报告中的高风险用户
- 审查活动集群中的协调攻击

### 步骤五:与 SIEM 集成

- 配置到 SIEM 的 syslog/API 导出
- 为 TAP 告警创建关联规则
- 设置自动响应工作流

## 工具与资源

- **Proofpoint TAP**: https://www.proofpoint.com/us/products/advanced-threat-protection
- **Proofpoint TAP 仪表板**: https://threatinsight.proofpoint.com/
- **Proofpoint API**: https://help.proofpoint.com/Threat_Insight_Dashboard/API_Documentation
- **Proofpoint 社区**: https://community.proofpoint.com/

## 验证

- 附件引爆捕获 EICAR 测试文件和启用宏的文档
- URL Defense 重写并封锁已知钓鱼 URL
- TAP 仪表板显示威胁摘要
- SIEM 接收并对 TAP 事件告警

Related Skills

testing-for-email-header-injection

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。

investigating-phishing-email-incident

9
from killvxk/cybersecurity-skills-zh

调查钓鱼(Phishing)邮件事件,从初始用户举报开始,经过邮件头分析、URL/附件引爆、 受影响用户识别和遏制行动,使用 Splunk、Microsoft Defender 和沙箱分析平台等 SOC 工具。 适用于收到的钓鱼邮件举报需要进行完整事件调查以确定范围和影响时。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-zero-trust-in-cloud

9
from killvxk/cybersecurity-skills-zh

本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。

implementing-zero-trust-for-saas-applications

9
from killvxk/cybersecurity-skills-zh

使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。

implementing-zero-trust-dns-with-nextdns

9
from killvxk/cybersecurity-skills-zh

将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。

implementing-zero-standing-privilege-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

implementing-zero-knowledge-proof-for-authentication

9
from killvxk/cybersecurity-skills-zh

零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。

implementing-web-application-logging-with-modsecurity

9
from killvxk/cybersecurity-skills-zh

配置带有 OWASP 核心规则集(CRS)的 ModSecurity WAF,实现 Web 应用程序日志记录, 调整规则以减少误报,分析审计日志进行攻击检测,并为应用程序特定威胁实现自定义 SecRules。 分析师配置 SecRuleEngine、SecAuditEngine 和 CRS 偏执级别,以在安全覆盖范围和运营稳定性之间取得平衡。 适用于涉及 WAF 配置、ModSecurity 规则调整、Web 应用审计日志或 CRS 部署的场景。