implementing-mimecast-targeted-attack-protection

部署 Mimecast 定向威胁防护,包括 URL Protect、Attachment Protect、Impersonation Protect 和 Internal Email Protect,防御高级钓鱼和鱼叉式钓鱼攻击。

9 stars

Best use case

implementing-mimecast-targeted-attack-protection is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

部署 Mimecast 定向威胁防护,包括 URL Protect、Attachment Protect、Impersonation Protect 和 Internal Email Protect,防御高级钓鱼和鱼叉式钓鱼攻击。

Teams using implementing-mimecast-targeted-attack-protection should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-mimecast-targeted-attack-protection/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-mimecast-targeted-attack-protection/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-mimecast-targeted-attack-protection/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-mimecast-targeted-attack-protection Compares

Feature / Agentimplementing-mimecast-targeted-attack-protectionStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

部署 Mimecast 定向威胁防护,包括 URL Protect、Attachment Protect、Impersonation Protect 和 Internal Email Protect,防御高级钓鱼和鱼叉式钓鱼攻击。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 实施 Mimecast 定向攻击防护

## 概述

Mimecast 定向威胁防护(Targeted Threat Protection,TTP)是一套高级邮件安全服务,旨在防御复杂的钓鱼(Phishing)、鱼叉式钓鱼(Spearphishing)和定向攻击。TTP 由四个核心模块组成:URL Protect(实时 URL 改写与点击时分析)、Attachment Protect(可疑附件沙箱引爆)、Impersonation Protect(BEC 和钓鲸攻击检测)、Internal Email Protect(扫描内部/出站邮件中的威胁)。自 2025 年 11 月起,Mimecast 默认为所有客户启用了 URL 预投递操作的 Hold 设置。

## 前置条件

- 带 TTP 附加模块的 Mimecast Email Security 许可证
- Mimecast 管理控制台的管理员访问权限
- Microsoft 365 或 Google Workspace 环境
- MX 记录已配置为通过 Mimecast 路由
- 了解邮件认证(SPF、DKIM、DMARC)

## 核心概念

### TTP 模块概览

| 模块 | 功能 | 核心能力 |
|------|------|----------|
| URL Protect | 在点击时改写并扫描 URL | 实时沙箱、预投递保留 |
| Attachment Protect | 对可疑附件进行沙箱分析 | 静态 + 动态分析 |
| Impersonation Protect | 检测 BEC/钓鲸攻击 | VIP 姓名匹配、邮件头分析 |
| Internal Email Protect | 扫描内部/出站邮件 | 横向钓鱼检测 |

### 仿冒防护场景

- **Hit 3(默认)**:标记匹配 3 个或以上仿冒指标的邮件
- **Hit 1(VIP)**:对指定 VIP 用户,标记匹配 1 个或以上指标的邮件
- 关键识别标志:显示名称相似性、域名相似性、回复地址不匹配、新注册域名

### URL Protect 模式

- **Rewrite(改写)**:URL 被改写以在点击时通过 Mimecast 代理路由
- **Pre-Delivery Action(Hold)**:URL 在邮件投递前进行检查;若可疑则暂时保留
- **Pre-Delivery Action(None)**:URL 在投递前检查但不保留

## 实施步骤

### 步骤 1:配置 URL Protect 策略

- 导航至 Administration > Gateway > Policies > Targeted Threat Protection - URL Protect
- 创建 URL Protect 定义,为入站邮件启用 URL 改写
- 启用 URL 预投递操作并设置为"Hold"以获得最大保护
- 配置扫描模式:高风险用户使用激进模式,普通用户使用适中模式
- 设置恶意 URL 的处理动作:显示带用户通知的阻断页面
- 启用所有点击事件的 URL 日志记录

### 步骤 2:配置 Attachment Protect 策略

- 导航至 Administration > Gateway > Policies > Targeted Threat Protection - Attachment Protect
- 为入站邮件创建 Attachment Protect 定义
- 选择沙箱模式:"Safe File"(转换为安全格式)或"Dynamic Configuration"(完整沙箱)
- 配置需要扫描的附件类型:可执行文件、Office 文档、PDF、压缩包
- 设置沙箱分析超时时间(默认:复杂文件最长 7 分钟)
- 为来自未知发件人的附件启用预先沙箱分析

### 步骤 3:配置 Impersonation Protect

- 为所有入站邮件创建默认 Impersonation Protect 定义(Hit 3)
- 为高管防护创建 VIP Impersonation Protect 定义(Hit 1)
- 建立 VIP 名单:CEO、CFO、CTO、董事会成员、财务负责人
- 配置检测标识符:显示名称、域名相似性、新观察到的发件人
- 设置处理动作:隔离高置信度仿冒邮件,标记中等置信度邮件
- 为标记邮件启用终端用户警告横幅

### 步骤 4:启用 Internal Email Protect

- 配置从 Microsoft 365/Google Workspace 到 Mimecast 的邮件日志记录
- 为内部邮件启用 URL 扫描
- 为内部邮件启用附件扫描
- 配置内部账户失陷指标的告警
- 设置内部钓鱼检测(被入侵账户发送恶意软件)

### 步骤 5:创建测试组并验证

- 在各部门创建 50-100 人的试点组
- 首先将 TTP 策略应用于试点组
- 发送带已知安全测试 URL 和 EICAR 测试文件的测试邮件
- 验证 URL 改写、附件沙箱和仿冒检测功能
- 在全组织部署前监控 1-2 周的误报率

### 步骤 6:全组织部署并调优

- 将 TTP 策略扩展至所有用户
- 通过 Mimecast Threat Dashboard 监控检测指标
- 审查并将触发误报的合法应用程序加入白名单
- 根据误报反馈调整仿冒敏感度
- 为自动化系统和邮件列表配置例外策略

## 工具与资源

- **Mimecast Administration Console**:策略配置与管理
- **Mimecast Threat Dashboard**:实时威胁可见性和分析
- **Mimecast Awareness Training**:集成式安全意识培训平台
- **Mimecast API**:以编程方式访问日志和威胁数据
- **Message Center**:供管理员和用户使用的隔离区管理

## 验证

- URL Protect 改写测试邮件中的 URL,并在点击时阻断已知恶意链接
- Attachment Protect 对测试文件进行沙箱分析并在 SLA 内返回判定结果
- Impersonation Protect 标记模拟仿冒 VIP 的测试 BEC 邮件
- Internal Email Protect 检测测试横向钓鱼场景
- 预投递保留在 URL 到达收件箱前拦截武器化 URL
- 调优后误报率低于组织设定的阈值

Related Skills

recovering-from-ransomware-attack

9
from killvxk/cybersecurity-skills-zh

按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-vlan-hopping-attack

9
from killvxk/cybersecurity-skills-zh

在授权环境中使用交换机欺骗(Switch Spoofing)和双标签(Double Tagging)技术模拟 VLAN 跳转攻击, 测试 VLAN 分段有效性,并验证交换机端口安全配置对二层旁路攻击的抵御能力。

performing-supply-chain-attack-simulation

9
from killvxk/cybersecurity-skills-zh

模拟和检测软件供应链攻击,包括通过 Levenshtein 距离检测域名抢注(Typosquatting)、针对私有注册表的依赖混淆(Dependency Confusion)测试、使用 pip 进行包哈希验证,以及使用 pip-audit 扫描已知漏洞。

performing-ssl-stripping-attack

9
from killvxk/cybersecurity-skills-zh

在授权环境中使用 sslstrip、Bettercap 和 mitmproxy 模拟 SSL 剥离(SSL Stripping)攻击, 测试 HSTS 强制执行、证书验证以及保护用户免受加密连接降级攻击的 HTTPS 升级机制。

performing-packet-injection-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全评估中使用 Scapy、hping3 和 Nemesis 构造并注入自定义网络数据包, 测试防火墙规则、IDS 检测、协议处理能力以及网络协议栈对畸形和伪造流量的抵御能力。

performing-kerberoasting-attack

9
from killvxk/cybersecurity-skills-zh

Kerberoasting 是一种后渗透技术,通过为设置了服务主体名称(SPN)的账户请求 Kerberos TGS 票据来针对活动目录中的服务账户。这些票据用服务账户的 NTLM 哈希加密,允许在不产生登录失败事件的情况下进行离线暴力破解。

performing-jwt-none-algorithm-attack

9
from killvxk/cybersecurity-skills-zh

通过操纵 JSON Web Token 中的 alg 头部字段,执行并测试 JWT None 算法攻击,以绕过签名验证。

performing-http-parameter-pollution-attack

9
from killvxk/cybersecurity-skills-zh

执行 HTTP 参数污染(HPP)攻击,通过注入由前端和后端系统以不同方式处理的重复参数,绕过输入验证、WAF 规则和安全控制。

performing-graphql-depth-limit-attack

9
from killvxk/cybersecurity-skills-zh

使用深度嵌套递归查询执行和测试 GraphQL 深度限制攻击,以识别 GraphQL API 中的拒绝服务(DoS)漏洞。

performing-csrf-attack-simulation

9
from killvxk/cybersecurity-skills-zh

在授权安全评估中,通过构造利用已认证用户会话的伪造请求,测试 Web 应用程序的跨站请求伪造(CSRF)漏洞。