performing-insider-threat-investigation

调查内部威胁事件,涉及滥用授权访问权限窃取数据、破坏系统或违反安全策略的员工、承包商或受信任合作伙伴。 结合数字取证、用户行为分析以及 HR/法务协调,构建基于证据的案例。适用于内部威胁调查、 员工数据盗窃、权限滥用、用户行为异常或内部威胁检测等请求场景。

9 stars

Best use case

performing-insider-threat-investigation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

调查内部威胁事件,涉及滥用授权访问权限窃取数据、破坏系统或违反安全策略的员工、承包商或受信任合作伙伴。 结合数字取证、用户行为分析以及 HR/法务协调,构建基于证据的案例。适用于内部威胁调查、 员工数据盗窃、权限滥用、用户行为异常或内部威胁检测等请求场景。

Teams using performing-insider-threat-investigation should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-insider-threat-investigation/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-insider-threat-investigation/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-insider-threat-investigation/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-insider-threat-investigation Compares

Feature / Agentperforming-insider-threat-investigationStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

调查内部威胁事件,涉及滥用授权访问权限窃取数据、破坏系统或违反安全策略的员工、承包商或受信任合作伙伴。 结合数字取证、用户行为分析以及 HR/法务协调,构建基于证据的案例。适用于内部威胁调查、 员工数据盗窃、权限滥用、用户行为异常或内部威胁检测等请求场景。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行内部威胁调查(Performing Insider Threat Investigation)

## 适用场景

- DLP(数据防泄漏)告警显示大量数据传输到个人云存储或 USB 设备
- 用户行为分析(User Behavior Analytics,UBA)检测到某用户账号的异常访问模式
- HR 报告离职员工涉嫌带走专有信息
- 发现特权用户访问其工作职能以外的系统
- 举报人或同事报告疑似违反策略或数据盗窃行为

**不适用场景**:外部攻击者在没有内部人员勾结的情况下使用受攻陷凭据的调查;此类情况应使用标准事件响应程序。

## 前置条件

- 启动任何员工监控或调查前需获得法律顾问批准
- 具有明确调查程序和员工隐私指南的 HR 合作
- 具有内容检查和策略执行的 DLP 平台(Symantec DLP、Microsoft Purview、Digital Guardian)
- 用户行为分析平台(Microsoft Sentinel UEBA、Exabeam、Securonix)
- 端点检查的取证镜像能力
- 可能用于法律诉讼的证据的证据链程序
- 经法律和 HR 批准的明确授权和范围文件

## 工作流程

### 步骤 1:接收并验证指控

记录初始报告并在继续之前进行验证:

- 记录指控来源(DLP 告警、UBA 检测、HR 转介、经理报告)
- 与法律顾问确认调查已获授权
- 定义调查范围:调查的活动内容、时间段、涉及系统
- 建立调查团队:安全、法律、HR(不得单独调查)
- 创建仅调查团队可访问的受限案例文件

```
调查授权:
━━━━━━━━━━━━━━━━━━━━━━━━━━━
案例 ID:           INV-2025-042
调查对象:          [员工姓名] - [职务] - [部门]
指控:              未经授权将专有数据转移至个人云存储
报告人:            DLP 系统告警 + 经理关切
法律批准:          [顾问姓名] - 2025-11-15
HR 联络人:         [HR 姓名]
范围:              2025-10-01 至今的文件访问和传输活动
涉及系统:          工作站、电子邮件、云存储、VPN、DLP 日志
```

### 步骤 2:秘密采集证据

在不惊动调查对象的情况下收集证据:

**基于日志的证据(非侵入式):**
- DLP 日志:文件传输、策略违规、内容匹配
- 云访问日志:SharePoint、OneDrive、Google Drive 活动
- 电子邮件日志:发往个人账号的邮件、大附件、转发规则
- VPN 和认证日志:访问时间、位置、设备
- 门禁日志:物理访问模式
- 打印日志:敏感文件的大量打印作业
- USB 设备连接日志:设备类型、序列号、连接时间

**用户活动监控(需获法律批准):**
- 屏幕截图或会话录制(仅在法律授权且有记录的情况下)
- 键盘记录(取决于司法管辖区,需明确法律批准)
- 对调查对象工作站的网络流量捕获

**端点取证(在证据充足时执行):**
- 对调查对象工作站创建取证镜像
- 分析浏览器历史、下载历史和已安装应用
- 检查已删除文件和回收站内容
- 检查云同步应用日志(Dropbox、Google Drive 桌面客户端)

### 步骤 3:分析用户行为模式

构建行为档案,比较正常与异常活动:

```
行为分析:
━━━━━━━━━━━━━━━━━━
正常基准(6 个月平均):
- 登录时间:工作日 08:30-09:00
- 每日访问文件:15-25 个(市场部文件)
- 每日邮件:发送 45 封,接收 80 封
- 每日数据传输量:平均 50MB
- USB 使用:无

调查期间(近 30 天):
- 登录时间:22:00-02:00(多次非工作时间)
- 每日访问文件:200+ 个(财务、工程、高管文件)
- 每日邮件:每天发送 120 封(30% 发往个人 Gmail)
- 每日数据传输量:平均 2.5GB
- USB 使用:连接了 3 个不同设备(Kingston DataTraveler)
- 打印作业:847 页(竞争对手分析、客户名单、源代码)

异常评分:94/100(严重)
```

### 步骤 4:重建活动时间线

构建调查对象行动的时间顺序:

```
活动时间线:
2025-10-15  调查对象提交辞职(两周通知期)
2025-10-16  23:15 首次非工作时间登录,访问工程 Git 仓库
2025-10-17  23:30 USB 设备(Kingston DT 64GB)首次连接
2025-10-18  DLP 告警:450 个文件复制到 USB,包括 CAD 图纸
2025-10-19  200+ 封邮件转发至个人 Gmail 账号
2025-10-20  安装 Google Drive 桌面客户端,同步企业 SharePoint
2025-10-22  访问高管 SharePoint 站点(通常不访问)
2025-10-25  第二个 USB 设备连接,传输 2.1GB
2025-10-28  打印作业:847 页,包括客户联系人数据库
```

### 步骤 5:评估影响并确定响应

评估严重性并与 HR 和法务协调响应:

**影响评估:**
- 访问或窃取了哪些数据(分类级别、业务影响)
- 数据是否对外共享(竞争对手、公开、个人存储)
- 监管影响(PII、PHI、金融数据、出口管制)
- 合同影响(违反 NDA、知识产权转让协议)
- 对组织的潜在财务损害

**响应选项(由法律和 HR 决定):**
- 在 HR 主导的访谈中以证据面对调查对象
- 终止雇佣并立即撤销所有访问权限
- 以违反 NDA 或商业秘密盗窃提起民事诉讼
- 向执法部门报告刑事追诉(商业秘密盗窃、CFAA 违规)
- 协商和解,要求归还/销毁数据

### 步骤 6:为法律程序保全证据

确保所有证据符合法律可采纳标准:

- 为所有物理和数字证据维护严格的证据链
- 详细记录所有分析步骤(可由其他检查人重现)
- 对所有证据文件计算哈希并维护完整性日志
- 将证据存储在具有审计日志的安全、访问受控存储库中
- 按法律保留要求保留证据(在调查或诉讼期间不得销毁)

## 核心概念

| 术语 | 定义 |
|------|------|
| **内部威胁(Insider Threat)** | 具有授权访问权限的个人有意或无意对组织造成损害的风险 |
| **用户行为分析(UBA)** | 分析用户活动模式以检测可能表明内部威胁的异常行为的技术 |
| **数据防泄漏(DLP)** | 监控、检测和阻止敏感数据在组织外部未经授权传输的技术 |
| **法律保留(Legal Hold)** | 在调查期间保留所有相关证据并暂停正常文件销毁策略的指令 |
| **知情需要原则(Need to Know)** | 将内部威胁调查详情限制为仅授权团队成员知晓的信息访问原则 |
| **外泄渠道(Exfiltration Vector)** | 将数据移出组织的方法:USB、电子邮件、云存储、打印、屏幕截图、拍照 |

## 工具与系统

- **Microsoft Purview(前 Compliance Center)**:内部风险管理、DLP、电子发现和内容搜索
- **Exabeam / Securonix**:用于异常检测的用户和实体行为分析(UEBA)平台
- **Digital Guardian**:带端点 Agent 的 DLP 和内部威胁检测平台
- **Magnet AXIOM**:支持端点、云和移动设备证据分析的数字取证平台
- **Relativity**:用于内部威胁案例中已采集证据法律审查的电子发现平台

## 常见场景

### 场景:离职工程师窃取源代码

**背景**:一名有权访问关键代码仓库的高级软件工程师提交了两周通知的辞职报告。工程经理报告该工程师一直在非正常时间工作,并下载了大量代码。

**方法**:
1. 在采取任何行动前获得法律授权
2. 拉取 Git 访问日志,显示过去 60 天的仓库克隆和下载记录
3. 检查 USB 设备连接和大文件传输的 DLP 日志
4. 检查电子邮件网关,查找发往个人账号的含代码附件的邮件
5. 分析浏览器历史,查找个人云存储上传记录
6. 在员工最后一天到来前对工作站进行取证镜像
7. 将发现提交给法律和 HR 确定后续步骤

**注意事项**:
- 未获法律顾问授权就启动调查(可能侵犯员工隐私权)
- 在保全证据前惊动调查对象
- 员工离职日期前未能保全工作站
- 未将非工作时间访问与员工历史基准比较就假定其为恶意行为
- 忽视可能已访问企业云服务的个人移动设备

## 输出格式

```
内部威胁调查报告
=====================================
案例 ID:          INV-2025-042
密级:             机密 - 仅知情需要
调查对象:         [姓名已编辑] - 高级工程师
调查期间:         2025-10-01 至 2025-10-28
调查员:           [姓名]
法律顾问:         [姓名]
HR 联络人:        [姓名]

指控
未经授权在提交辞职后窃取专有源代码和客户数据。

证据摘要
1. Git 日志:克隆 47 个仓库(基准为 3 个)
2. USB 传输:通过 3 个不同设备共 12 次传输 4.6 GB
3. 电子邮件:200+ 封带附件的邮件转发至个人 Gmail
4. 云端:安装 Google Drive 同步客户端,同步企业文件
5. 打印:847 页,包括客户联系人数据库
6. 物理访问:12 个工作日中 8 天存在非工作时间门禁记录

行为分析
[基准与异常活动对比]

影响评估
数据分类:  机密(源代码、客户 PII)
估计数量:  7.2 GB 已外泄
监管影响:  潜在 GDPR 通知(客户 PII)
业务影响:  竞争优势存在风险

时间线
[按时间顺序列出事件]

建议
1. [法律/HR 关于雇佣行动的决定]
2. [证据保全行动]
3. [监管通知评估]
4. [访问控制改进]
```

Related Skills

tracking-threat-actor-infrastructure

9
from killvxk/cybersecurity-skills-zh

威胁行为者基础设施追踪涉及使用被动 DNS、证书透明度日志、Shodan/Censys 扫描、WHOIS 分析和网络指纹技术,对对手控制的 C2 服务器、钓鱼域名和暂存服务器等资产进行监控、映射和持续追踪

profiling-threat-actor-groups

9
from killvxk/cybersecurity-skills-zh

通过聚合 TTP 文档、历史活动数据、工具指纹和来自多个情报源的归因指标,为 APT 组织、犯罪组织和黑客活动组织开发全面的威胁行为者画像。适用于就行业特定威胁向管理层汇报、更新威胁模型假设,或针对特定对手优先部署防御控制措施。当涉及 MITRE ATT&CK 组织、Mandiant APT 画像、CrowdStrike 对手命名或行业特定威胁简报时激活。

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。