killvxk/analyzing-office365-audit-logs-for-compromise
skills/analyzing-office365-audit-logs-for-compromise/SKILL.md
通过 Microsoft Graph API 解析 Office 365 统一审计日志,检测邮件转发规则创建、收件箱委托、可疑 OAuth 应用授权以及其他账户失陷指标。
$ install --global
skillsauthnpx skillsauth add killvxk/cybersecurity-skills-zh analyzing-office365-audit-logs-for-compromiseInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 16, 2026, 10:48 PM7.1s3 files scanned
SKILL.md
- name:
- analyzing-office365-audit-logs-for-compromise
- description:
- 通过 Microsoft Graph API 解析 Office 365 统一审计日志,检测邮件转发规则创建、收件箱委托、可疑 OAuth 应用授权以及其他账户失陷指标。
- domain:
- cybersecurity
- subdomain:
- cloud-security
- tags:
- [Office365, Microsoft-Graph, audit-logs, email-compromise, inbox-rules, OAuth, BEC]
- version:
- 1.0
- author:
- mahipal
- license:
- Apache-2.0
分析 Office 365 审计日志以检测账户失陷
概述
商业邮件欺诈(Business Email Compromise,BEC)攻击通常会在 Office 365 审计日志中留下痕迹:可疑的收件箱规则创建、将邮件转发到外部地址、邮箱委托更改以及未经授权的 OAuth 应用授权。本 skill 使用 Microsoft Graph API 查询统一审计日志,枚举各邮箱的收件箱规则,检测转发配置,并识别账户失陷指标。
前置条件
- Azure AD 应用注册,具备
AuditLog.Read.All、MailboxSettings.Read、Mail.Read(应用权限) - Python 3.9+ 及
msal、requests库 - 用于认证的客户端密钥或证书
- 全局读取者(Global Reader)或安全读取者(Security Reader)角色
步骤
- 使用 MSAL 客户端凭据流向 Microsoft Graph 进行身份认证
- 查询统一审计日志中的可疑操作(Set-Mailbox、New-InboxRule)
- 枚举各邮箱的收件箱规则并标记转发规则
- 检测邮箱委托更改(Add-MailboxPermission)
- 识别向可疑应用程序的 OAuth 授权
- 检查审计日志中的可疑登录模式
- 生成包含时间线的失陷指标报告
预期输出
- JSON 报告,列出转发规则、委托更改、OAuth 授权以及带有风险评分的可疑审计事件
- 失陷指标及受影响邮箱的时间线
Related Skills
killvxk/conducting-social-engineering-penetration-test
testing
VerifiedTrustedCommunity
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-post-incident-lessons-learned
testing
VerifiedTrustedCommunity
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-phishing-incident-response
testing
VerifiedTrustedCommunity
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-pass-the-ticket-attack
tools
VerifiedTrustedCommunity
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
10SKILL.mdUpdated Apr 29, 2026