implementing-mimecast-targeted-attack-protection
部署 Mimecast 定向威胁防护,包括 URL Protect、Attachment Protect、Impersonation Protect 和 Internal Email Protect,防御高级钓鱼和鱼叉式钓鱼攻击。
Best use case
implementing-mimecast-targeted-attack-protection is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
部署 Mimecast 定向威胁防护,包括 URL Protect、Attachment Protect、Impersonation Protect 和 Internal Email Protect,防御高级钓鱼和鱼叉式钓鱼攻击。
Teams using implementing-mimecast-targeted-attack-protection should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-mimecast-targeted-attack-protection/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-mimecast-targeted-attack-protection Compares
| Feature / Agent | implementing-mimecast-targeted-attack-protection | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
部署 Mimecast 定向威胁防护,包括 URL Protect、Attachment Protect、Impersonation Protect 和 Internal Email Protect,防御高级钓鱼和鱼叉式钓鱼攻击。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 实施 Mimecast 定向攻击防护 ## 概述 Mimecast 定向威胁防护(Targeted Threat Protection,TTP)是一套高级邮件安全服务,旨在防御复杂的钓鱼(Phishing)、鱼叉式钓鱼(Spearphishing)和定向攻击。TTP 由四个核心模块组成:URL Protect(实时 URL 改写与点击时分析)、Attachment Protect(可疑附件沙箱引爆)、Impersonation Protect(BEC 和钓鲸攻击检测)、Internal Email Protect(扫描内部/出站邮件中的威胁)。自 2025 年 11 月起,Mimecast 默认为所有客户启用了 URL 预投递操作的 Hold 设置。 ## 前置条件 - 带 TTP 附加模块的 Mimecast Email Security 许可证 - Mimecast 管理控制台的管理员访问权限 - Microsoft 365 或 Google Workspace 环境 - MX 记录已配置为通过 Mimecast 路由 - 了解邮件认证(SPF、DKIM、DMARC) ## 核心概念 ### TTP 模块概览 | 模块 | 功能 | 核心能力 | |------|------|----------| | URL Protect | 在点击时改写并扫描 URL | 实时沙箱、预投递保留 | | Attachment Protect | 对可疑附件进行沙箱分析 | 静态 + 动态分析 | | Impersonation Protect | 检测 BEC/钓鲸攻击 | VIP 姓名匹配、邮件头分析 | | Internal Email Protect | 扫描内部/出站邮件 | 横向钓鱼检测 | ### 仿冒防护场景 - **Hit 3(默认)**:标记匹配 3 个或以上仿冒指标的邮件 - **Hit 1(VIP)**:对指定 VIP 用户,标记匹配 1 个或以上指标的邮件 - 关键识别标志:显示名称相似性、域名相似性、回复地址不匹配、新注册域名 ### URL Protect 模式 - **Rewrite(改写)**:URL 被改写以在点击时通过 Mimecast 代理路由 - **Pre-Delivery Action(Hold)**:URL 在邮件投递前进行检查;若可疑则暂时保留 - **Pre-Delivery Action(None)**:URL 在投递前检查但不保留 ## 实施步骤 ### 步骤 1:配置 URL Protect 策略 - 导航至 Administration > Gateway > Policies > Targeted Threat Protection - URL Protect - 创建 URL Protect 定义,为入站邮件启用 URL 改写 - 启用 URL 预投递操作并设置为"Hold"以获得最大保护 - 配置扫描模式:高风险用户使用激进模式,普通用户使用适中模式 - 设置恶意 URL 的处理动作:显示带用户通知的阻断页面 - 启用所有点击事件的 URL 日志记录 ### 步骤 2:配置 Attachment Protect 策略 - 导航至 Administration > Gateway > Policies > Targeted Threat Protection - Attachment Protect - 为入站邮件创建 Attachment Protect 定义 - 选择沙箱模式:"Safe File"(转换为安全格式)或"Dynamic Configuration"(完整沙箱) - 配置需要扫描的附件类型:可执行文件、Office 文档、PDF、压缩包 - 设置沙箱分析超时时间(默认:复杂文件最长 7 分钟) - 为来自未知发件人的附件启用预先沙箱分析 ### 步骤 3:配置 Impersonation Protect - 为所有入站邮件创建默认 Impersonation Protect 定义(Hit 3) - 为高管防护创建 VIP Impersonation Protect 定义(Hit 1) - 建立 VIP 名单:CEO、CFO、CTO、董事会成员、财务负责人 - 配置检测标识符:显示名称、域名相似性、新观察到的发件人 - 设置处理动作:隔离高置信度仿冒邮件,标记中等置信度邮件 - 为标记邮件启用终端用户警告横幅 ### 步骤 4:启用 Internal Email Protect - 配置从 Microsoft 365/Google Workspace 到 Mimecast 的邮件日志记录 - 为内部邮件启用 URL 扫描 - 为内部邮件启用附件扫描 - 配置内部账户失陷指标的告警 - 设置内部钓鱼检测(被入侵账户发送恶意软件) ### 步骤 5:创建测试组并验证 - 在各部门创建 50-100 人的试点组 - 首先将 TTP 策略应用于试点组 - 发送带已知安全测试 URL 和 EICAR 测试文件的测试邮件 - 验证 URL 改写、附件沙箱和仿冒检测功能 - 在全组织部署前监控 1-2 周的误报率 ### 步骤 6:全组织部署并调优 - 将 TTP 策略扩展至所有用户 - 通过 Mimecast Threat Dashboard 监控检测指标 - 审查并将触发误报的合法应用程序加入白名单 - 根据误报反馈调整仿冒敏感度 - 为自动化系统和邮件列表配置例外策略 ## 工具与资源 - **Mimecast Administration Console**:策略配置与管理 - **Mimecast Threat Dashboard**:实时威胁可见性和分析 - **Mimecast Awareness Training**:集成式安全意识培训平台 - **Mimecast API**:以编程方式访问日志和威胁数据 - **Message Center**:供管理员和用户使用的隔离区管理 ## 验证 - URL Protect 改写测试邮件中的 URL,并在点击时阻断已知恶意链接 - Attachment Protect 对测试文件进行沙箱分析并在 SLA 内返回判定结果 - Impersonation Protect 标记模拟仿冒 VIP 的测试 BEC 邮件 - Internal Email Protect 检测测试横向钓鱼场景 - 预投递保留在 URL 到达收件箱前拦截武器化 URL - 调优后误报率低于组织设定的阈值
Related Skills
recovering-from-ransomware-attack
按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-vlan-hopping-attack
在授权环境中使用交换机欺骗(Switch Spoofing)和双标签(Double Tagging)技术模拟 VLAN 跳转攻击, 测试 VLAN 分段有效性,并验证交换机端口安全配置对二层旁路攻击的抵御能力。
performing-supply-chain-attack-simulation
模拟和检测软件供应链攻击,包括通过 Levenshtein 距离检测域名抢注(Typosquatting)、针对私有注册表的依赖混淆(Dependency Confusion)测试、使用 pip 进行包哈希验证,以及使用 pip-audit 扫描已知漏洞。
performing-ssl-stripping-attack
在授权环境中使用 sslstrip、Bettercap 和 mitmproxy 模拟 SSL 剥离(SSL Stripping)攻击, 测试 HSTS 强制执行、证书验证以及保护用户免受加密连接降级攻击的 HTTPS 升级机制。
performing-packet-injection-attack
在授权安全评估中使用 Scapy、hping3 和 Nemesis 构造并注入自定义网络数据包, 测试防火墙规则、IDS 检测、协议处理能力以及网络协议栈对畸形和伪造流量的抵御能力。
performing-kerberoasting-attack
Kerberoasting 是一种后渗透技术,通过为设置了服务主体名称(SPN)的账户请求 Kerberos TGS 票据来针对活动目录中的服务账户。这些票据用服务账户的 NTLM 哈希加密,允许在不产生登录失败事件的情况下进行离线暴力破解。
performing-jwt-none-algorithm-attack
通过操纵 JSON Web Token 中的 alg 头部字段,执行并测试 JWT None 算法攻击,以绕过签名验证。
performing-http-parameter-pollution-attack
执行 HTTP 参数污染(HPP)攻击,通过注入由前端和后端系统以不同方式处理的重复参数,绕过输入验证、WAF 规则和安全控制。
performing-graphql-depth-limit-attack
使用深度嵌套递归查询执行和测试 GraphQL 深度限制攻击,以识别 GraphQL API 中的拒绝服务(DoS)漏洞。
performing-csrf-attack-simulation
在授权安全评估中,通过构造利用已认证用户会话的伪造请求,测试 Web 应用程序的跨站请求伪造(CSRF)漏洞。