Skill

implementing-mimecast-targeted-attack-protection

Deploys Mimecast Targeted Threat Protection including URL Protect, Attachment Protect, Impersonation Protect, and Internal Email Protect to defend against advanced phishing and spearphishing attacks.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

Mimecast 定向威胁防护（Targeted Threat Protection，TTP）是一套高级邮件安全服务，旨在防御复杂的钓鱼（Phishing）、鱼叉式钓鱼（Spearphishing）和定向攻击。TTP 由四个核心模块组成：URL Protect（实时 URL 改写与点击时分析）、Attachment Protect（可疑附件沙箱引爆）、Impersonation Protect（BEC 和钓鲸攻击检测）、Internal Email Protect（扫描内部/出站邮件中的威胁）。自 2025 年 11 月起，Mimecast 默认为所有客户启用了 URL 预投递操作的 Hold 设置。

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

implementing-mimecast-targeted-attack-protection

5.9k

Deploys Mimecast Targeted Threat Protection modules: URL Protect, Attachment Protect, Impersonation Protect, Internal Email Protect against phishing/spearphishing attacks.

7 files

cybersecurity-skills

implementing-mimecast-targeted-attack-protection

Deploys Mimecast Targeted Threat Protection including URL Protect, Attachment Protect, Impersonation Protect, and Internal Email Protect to defend against phishing and spearphishing attacks. Useful for email security configurations and compliance.

asi

detecting-spearphishing-with-email-gateway

Configures email security gateways like Microsoft Defender, Proofpoint, Mimecast, Barracuda to detect spearphishing via impersonation protection, URL detonation, attachment sandbox, and custom rules. Useful for targeted phishing defense.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

实施 Mimecast 定向攻击防护

概述

前置条件

带 TTP 附加模块的 Mimecast Email Security 许可证
Mimecast 管理控制台的管理员访问权限
Microsoft 365 或 Google Workspace 环境
MX 记录已配置为通过 Mimecast 路由
了解邮件认证（SPF、DKIM、DMARC）

核心概念

TTP 模块概览

模块	功能	核心能力
URL Protect	在点击时改写并扫描 URL	实时沙箱、预投递保留
Attachment Protect	对可疑附件进行沙箱分析	静态 + 动态分析
Impersonation Protect	检测 BEC/钓鲸攻击	VIP 姓名匹配、邮件头分析
Internal Email Protect	扫描内部/出站邮件	横向钓鱼检测

仿冒防护场景

Hit 3（默认）：标记匹配 3 个或以上仿冒指标的邮件
Hit 1（VIP）：对指定 VIP 用户，标记匹配 1 个或以上指标的邮件
关键识别标志：显示名称相似性、域名相似性、回复地址不匹配、新注册域名

URL Protect 模式

Rewrite（改写）：URL 被改写以在点击时通过 Mimecast 代理路由
Pre-Delivery Action（Hold）：URL 在邮件投递前进行检查；若可疑则暂时保留
Pre-Delivery Action（None）：URL 在投递前检查但不保留

实施步骤

步骤 1：配置 URL Protect 策略

导航至 Administration > Gateway > Policies > Targeted Threat Protection - URL Protect
创建 URL Protect 定义，为入站邮件启用 URL 改写
启用 URL 预投递操作并设置为"Hold"以获得最大保护
配置扫描模式：高风险用户使用激进模式，普通用户使用适中模式
设置恶意 URL 的处理动作：显示带用户通知的阻断页面
启用所有点击事件的 URL 日志记录

步骤 2：配置 Attachment Protect 策略

导航至 Administration > Gateway > Policies > Targeted Threat Protection - Attachment Protect
为入站邮件创建 Attachment Protect 定义
选择沙箱模式："Safe File"（转换为安全格式）或"Dynamic Configuration"（完整沙箱）
配置需要扫描的附件类型：可执行文件、Office 文档、PDF、压缩包
设置沙箱分析超时时间（默认：复杂文件最长 7 分钟）
为来自未知发件人的附件启用预先沙箱分析

步骤 3：配置 Impersonation Protect

为所有入站邮件创建默认 Impersonation Protect 定义（Hit 3）
为高管防护创建 VIP Impersonation Protect 定义（Hit 1）
建立 VIP 名单：CEO、CFO、CTO、董事会成员、财务负责人
配置检测标识符：显示名称、域名相似性、新观察到的发件人
设置处理动作：隔离高置信度仿冒邮件，标记中等置信度邮件
为标记邮件启用终端用户警告横幅

步骤 4：启用 Internal Email Protect

配置从 Microsoft 365/Google Workspace 到 Mimecast 的邮件日志记录
为内部邮件启用 URL 扫描
为内部邮件启用附件扫描
配置内部账户失陷指标的告警
设置内部钓鱼检测（被入侵账户发送恶意软件）

步骤 5：创建测试组并验证

在各部门创建 50-100 人的试点组
首先将 TTP 策略应用于试点组
发送带已知安全测试 URL 和 EICAR 测试文件的测试邮件
验证 URL 改写、附件沙箱和仿冒检测功能
在全组织部署前监控 1-2 周的误报率

步骤 6：全组织部署并调优

将 TTP 策略扩展至所有用户
通过 Mimecast Threat Dashboard 监控检测指标
审查并将触发误报的合法应用程序加入白名单
根据误报反馈调整仿冒敏感度
为自动化系统和邮件列表配置例外策略

工具与资源

Mimecast Administration Console：策略配置与管理
Mimecast Threat Dashboard：实时威胁可见性和分析
Mimecast Awareness Training：集成式安全意识培训平台
Mimecast API：以编程方式访问日志和威胁数据
Message Center：供管理员和用户使用的隔离区管理

验证

URL Protect 改写测试邮件中的 URL，并在点击时阻断已知恶意链接
Attachment Protect 对测试文件进行沙箱分析并在 SLA 内返回判定结果
Impersonation Protect 标记模拟仿冒 VIP 的测试 BEC 邮件
Internal Email Protect 检测测试横向钓鱼场景
预投递保留在 URL 到达收件箱前拦截武器化 URL
调优后误报率低于组织设定的阈值