Skill

performing-insider-threat-investigation

Investigates insider threats like employee data theft, privilege misuse, and anomalous behavior using digital forensics, user behavior analysis, and HR/legal coordination for evidence-based cases.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

- DLP（数据防泄漏）告警显示大量数据传输到个人云存储或 USB 设备

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

performing-insider-threat-investigation

Investigates insider threat incidents like employee data theft, privilege misuse, or sabotage using digital forensics, UBA, DLP alerts, and HR/legal coordination.

asi

performing-insider-threat-investigation

5.9k

Investigates insider threats from employees or contractors via digital forensics, user behavior analytics, and HR/legal coordination for data theft or sabotage cases.

3 files

cybersecurity-skills

investigating-insider-threat-indicators

Investigates insider threat indicators including data exfiltration attempts, unauthorized access patterns, policy violations, and pre-departure behavior using SIEM analysis, DLP alerts, and HR data correlation. For SOC teams handling HR referrals, anomalous data movement, or building investigation timelines.

3 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

执行内部威胁调查（Performing Insider Threat Investigation）

适用场景

DLP（数据防泄漏）告警显示大量数据传输到个人云存储或 USB 设备
用户行为分析（User Behavior Analytics，UBA）检测到某用户账号的异常访问模式
HR 报告离职员工涉嫌带走专有信息
发现特权用户访问其工作职能以外的系统
举报人或同事报告疑似违反策略或数据盗窃行为

不适用场景：外部攻击者在没有内部人员勾结的情况下使用受攻陷凭据的调查；此类情况应使用标准事件响应程序。

前置条件

启动任何员工监控或调查前需获得法律顾问批准
具有明确调查程序和员工隐私指南的 HR 合作
具有内容检查和策略执行的 DLP 平台（Symantec DLP、Microsoft Purview、Digital Guardian）
用户行为分析平台（Microsoft Sentinel UEBA、Exabeam、Securonix）
端点检查的取证镜像能力
可能用于法律诉讼的证据的证据链程序
经法律和 HR 批准的明确授权和范围文件

工作流程

步骤 1：接收并验证指控

记录初始报告并在继续之前进行验证：

记录指控来源（DLP 告警、UBA 检测、HR 转介、经理报告）
与法律顾问确认调查已获授权
定义调查范围：调查的活动内容、时间段、涉及系统
建立调查团队：安全、法律、HR（不得单独调查）
创建仅调查团队可访问的受限案例文件

调查授权：
━━━━━━━━━━━━━━━━━━━━━━━━━━━
案例 ID：           INV-2025-042
调查对象：          [员工姓名] - [职务] - [部门]
指控：              未经授权将专有数据转移至个人云存储
报告人：            DLP 系统告警 + 经理关切
法律批准：          [顾问姓名] - 2025-11-15
HR 联络人：         [HR 姓名]
范围：              2025-10-01 至今的文件访问和传输活动
涉及系统：          工作站、电子邮件、云存储、VPN、DLP 日志

步骤 2：秘密采集证据

在不惊动调查对象的情况下收集证据：

基于日志的证据（非侵入式）：

DLP 日志：文件传输、策略违规、内容匹配
云访问日志：SharePoint、OneDrive、Google Drive 活动
电子邮件日志：发往个人账号的邮件、大附件、转发规则
VPN 和认证日志：访问时间、位置、设备
门禁日志：物理访问模式
打印日志：敏感文件的大量打印作业
USB 设备连接日志：设备类型、序列号、连接时间

用户活动监控（需获法律批准）：

屏幕截图或会话录制（仅在法律授权且有记录的情况下）
键盘记录（取决于司法管辖区，需明确法律批准）
对调查对象工作站的网络流量捕获

端点取证（在证据充足时执行）：

对调查对象工作站创建取证镜像
分析浏览器历史、下载历史和已安装应用
检查已删除文件和回收站内容
检查云同步应用日志（Dropbox、Google Drive 桌面客户端）

步骤 3：分析用户行为模式

构建行为档案，比较正常与异常活动：

行为分析：
━━━━━━━━━━━━━━━━━━
正常基准（6 个月平均）：
- 登录时间：工作日 08:30-09:00
- 每日访问文件：15-25 个（市场部文件）
- 每日邮件：发送 45 封，接收 80 封
- 每日数据传输量：平均 50MB
- USB 使用：无

调查期间（近 30 天）：
- 登录时间：22:00-02:00（多次非工作时间）
- 每日访问文件：200+ 个（财务、工程、高管文件）
- 每日邮件：每天发送 120 封（30% 发往个人 Gmail）
- 每日数据传输量：平均 2.5GB
- USB 使用：连接了 3 个不同设备（Kingston DataTraveler）
- 打印作业：847 页（竞争对手分析、客户名单、源代码）

异常评分：94/100（严重）

步骤 4：重建活动时间线

构建调查对象行动的时间顺序：

活动时间线：
2025-10-15  调查对象提交辞职（两周通知期）
2025-10-16  23:15 首次非工作时间登录，访问工程 Git 仓库
2025-10-17  23:30 USB 设备（Kingston DT 64GB）首次连接
2025-10-18  DLP 告警：450 个文件复制到 USB，包括 CAD 图纸
2025-10-19  200+ 封邮件转发至个人 Gmail 账号
2025-10-20  安装 Google Drive 桌面客户端，同步企业 SharePoint
2025-10-22  访问高管 SharePoint 站点（通常不访问）
2025-10-25  第二个 USB 设备连接，传输 2.1GB
2025-10-28  打印作业：847 页，包括客户联系人数据库

步骤 5：评估影响并确定响应

评估严重性并与 HR 和法务协调响应：

影响评估：

访问或窃取了哪些数据（分类级别、业务影响）
数据是否对外共享（竞争对手、公开、个人存储）
监管影响（PII、PHI、金融数据、出口管制）
合同影响（违反 NDA、知识产权转让协议）
对组织的潜在财务损害

响应选项（由法律和 HR 决定）：

在 HR 主导的访谈中以证据面对调查对象
终止雇佣并立即撤销所有访问权限
以违反 NDA 或商业秘密盗窃提起民事诉讼
向执法部门报告刑事追诉（商业秘密盗窃、CFAA 违规）
协商和解，要求归还/销毁数据

步骤 6：为法律程序保全证据

确保所有证据符合法律可采纳标准：

为所有物理和数字证据维护严格的证据链
详细记录所有分析步骤（可由其他检查人重现）
对所有证据文件计算哈希并维护完整性日志
将证据存储在具有审计日志的安全、访问受控存储库中
按法律保留要求保留证据（在调查或诉讼期间不得销毁）

核心概念

术语	定义
内部威胁（Insider Threat）	具有授权访问权限的个人有意或无意对组织造成损害的风险
用户行为分析（UBA）	分析用户活动模式以检测可能表明内部威胁的异常行为的技术
数据防泄漏（DLP）	监控、检测和阻止敏感数据在组织外部未经授权传输的技术
法律保留（Legal Hold）	在调查期间保留所有相关证据并暂停正常文件销毁策略的指令
知情需要原则（Need to Know）	将内部威胁调查详情限制为仅授权团队成员知晓的信息访问原则
外泄渠道（Exfiltration Vector）	将数据移出组织的方法：USB、电子邮件、云存储、打印、屏幕截图、拍照

工具与系统

Microsoft Purview（前 Compliance Center）：内部风险管理、DLP、电子发现和内容搜索
Exabeam / Securonix：用于异常检测的用户和实体行为分析（UEBA）平台
Digital Guardian：带端点 Agent 的 DLP 和内部威胁检测平台
Magnet AXIOM：支持端点、云和移动设备证据分析的数字取证平台
Relativity：用于内部威胁案例中已采集证据法律审查的电子发现平台

常见场景

场景：离职工程师窃取源代码

背景：一名有权访问关键代码仓库的高级软件工程师提交了两周通知的辞职报告。工程经理报告该工程师一直在非正常时间工作，并下载了大量代码。

方法：

在采取任何行动前获得法律授权
拉取 Git 访问日志，显示过去 60 天的仓库克隆和下载记录
检查 USB 设备连接和大文件传输的 DLP 日志
检查电子邮件网关，查找发往个人账号的含代码附件的邮件
分析浏览器历史，查找个人云存储上传记录
在员工最后一天到来前对工作站进行取证镜像
将发现提交给法律和 HR 确定后续步骤

注意事项：

未获法律顾问授权就启动调查（可能侵犯员工隐私权）
在保全证据前惊动调查对象
员工离职日期前未能保全工作站
未将非工作时间访问与员工历史基准比较就假定其为恶意行为
忽视可能已访问企业云服务的个人移动设备

输出格式

内部威胁调查报告
=====================================
案例 ID：          INV-2025-042
密级：             机密 - 仅知情需要
调查对象：         [姓名已编辑] - 高级工程师
调查期间：         2025-10-01 至 2025-10-28
调查员：           [姓名]
法律顾问：         [姓名]
HR 联络人：        [姓名]

指控
未经授权在提交辞职后窃取专有源代码和客户数据。

证据摘要
1. Git 日志：克隆 47 个仓库（基准为 3 个）
2. USB 传输：通过 3 个不同设备共 12 次传输 4.6 GB
3. 电子邮件：200+ 封带附件的邮件转发至个人 Gmail
4. 云端：安装 Google Drive 同步客户端，同步企业文件
5. 打印：847 页，包括客户联系人数据库
6. 物理访问：12 个工作日中 8 天存在非工作时间门禁记录

行为分析
[基准与异常活动对比]

影响评估
数据分类：  机密（源代码、客户 PII）
估计数量：  7.2 GB 已外泄
监管影响：  潜在 GDPR 通知（客户 PII）
业务影响：  竞争优势存在风险

时间线
[按时间顺序列出事件]

建议
1. [法律/HR 关于雇佣行动的决定]
2. [证据保全行动]
3. [监管通知评估]
4. [访问控制改进]