Stats
Actions
Tags
Investigates insider threats like employee data theft, privilege misuse, and anomalous behavior using digital forensics, user behavior analysis, and HR/legal coordination for evidence-based cases.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:performing-insider-threat-investigationThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
- DLP(数据防泄漏)告警显示大量数据传输到个人云存储或 USB 设备
不适用场景:外部攻击者在没有内部人员勾结的情况下使用受攻陷凭据的调查;此类情况应使用标准事件响应程序。
记录初始报告并在继续之前进行验证:
调查授权:
━━━━━━━━━━━━━━━━━━━━━━━━━━━
案例 ID: INV-2025-042
调查对象: [员工姓名] - [职务] - [部门]
指控: 未经授权将专有数据转移至个人云存储
报告人: DLP 系统告警 + 经理关切
法律批准: [顾问姓名] - 2025-11-15
HR 联络人: [HR 姓名]
范围: 2025-10-01 至今的文件访问和传输活动
涉及系统: 工作站、电子邮件、云存储、VPN、DLP 日志
在不惊动调查对象的情况下收集证据:
基于日志的证据(非侵入式):
用户活动监控(需获法律批准):
端点取证(在证据充足时执行):
构建行为档案,比较正常与异常活动:
行为分析:
━━━━━━━━━━━━━━━━━━
正常基准(6 个月平均):
- 登录时间:工作日 08:30-09:00
- 每日访问文件:15-25 个(市场部文件)
- 每日邮件:发送 45 封,接收 80 封
- 每日数据传输量:平均 50MB
- USB 使用:无
调查期间(近 30 天):
- 登录时间:22:00-02:00(多次非工作时间)
- 每日访问文件:200+ 个(财务、工程、高管文件)
- 每日邮件:每天发送 120 封(30% 发往个人 Gmail)
- 每日数据传输量:平均 2.5GB
- USB 使用:连接了 3 个不同设备(Kingston DataTraveler)
- 打印作业:847 页(竞争对手分析、客户名单、源代码)
异常评分:94/100(严重)
构建调查对象行动的时间顺序:
活动时间线:
2025-10-15 调查对象提交辞职(两周通知期)
2025-10-16 23:15 首次非工作时间登录,访问工程 Git 仓库
2025-10-17 23:30 USB 设备(Kingston DT 64GB)首次连接
2025-10-18 DLP 告警:450 个文件复制到 USB,包括 CAD 图纸
2025-10-19 200+ 封邮件转发至个人 Gmail 账号
2025-10-20 安装 Google Drive 桌面客户端,同步企业 SharePoint
2025-10-22 访问高管 SharePoint 站点(通常不访问)
2025-10-25 第二个 USB 设备连接,传输 2.1GB
2025-10-28 打印作业:847 页,包括客户联系人数据库
评估严重性并与 HR 和法务协调响应:
影响评估:
响应选项(由法律和 HR 决定):
确保所有证据符合法律可采纳标准:
| 术语 | 定义 |
|---|---|
| 内部威胁(Insider Threat) | 具有授权访问权限的个人有意或无意对组织造成损害的风险 |
| 用户行为分析(UBA) | 分析用户活动模式以检测可能表明内部威胁的异常行为的技术 |
| 数据防泄漏(DLP) | 监控、检测和阻止敏感数据在组织外部未经授权传输的技术 |
| 法律保留(Legal Hold) | 在调查期间保留所有相关证据并暂停正常文件销毁策略的指令 |
| 知情需要原则(Need to Know) | 将内部威胁调查详情限制为仅授权团队成员知晓的信息访问原则 |
| 外泄渠道(Exfiltration Vector) | 将数据移出组织的方法:USB、电子邮件、云存储、打印、屏幕截图、拍照 |
背景:一名有权访问关键代码仓库的高级软件工程师提交了两周通知的辞职报告。工程经理报告该工程师一直在非正常时间工作,并下载了大量代码。
方法:
注意事项:
内部威胁调查报告
=====================================
案例 ID: INV-2025-042
密级: 机密 - 仅知情需要
调查对象: [姓名已编辑] - 高级工程师
调查期间: 2025-10-01 至 2025-10-28
调查员: [姓名]
法律顾问: [姓名]
HR 联络人: [姓名]
指控
未经授权在提交辞职后窃取专有源代码和客户数据。
证据摘要
1. Git 日志:克隆 47 个仓库(基准为 3 个)
2. USB 传输:通过 3 个不同设备共 12 次传输 4.6 GB
3. 电子邮件:200+ 封带附件的邮件转发至个人 Gmail
4. 云端:安装 Google Drive 同步客户端,同步企业文件
5. 打印:847 页,包括客户联系人数据库
6. 物理访问:12 个工作日中 8 天存在非工作时间门禁记录
行为分析
[基准与异常活动对比]
影响评估
数据分类: 机密(源代码、客户 PII)
估计数量: 7.2 GB 已外泄
监管影响: 潜在 GDPR 通知(客户 PII)
业务影响: 竞争优势存在风险
时间线
[按时间顺序列出事件]
建议
1. [法律/HR 关于雇佣行动的决定]
2. [证据保全行动]
3. [监管通知评估]
4. [访问控制改进]
npx claudepluginhub killvxk/cybersecurity-skills-zhInvestigates insider threat incidents involving employees or contractors who misuse authorized access to steal data or sabotage systems. Combines digital forensics, user behavior analytics, and HR/legal coordination.
Investigates insider threat incidents involving employees or contractors who misuse authorized access to steal data or sabotage systems. Combines digital forensics, user behavior analytics, and HR/legal coordination.
Investigates insider threat incidents like employee data theft, privilege misuse, or sabotage using digital forensics, UBA, DLP alerts, and HR/legal coordination.