analyzing-threat-intelligence-feeds
分析结构化和非结构化威胁情报(CTI)推送,提取可操作的指标、对手战术和攻击活动上下文。适用于导入商业或开源 CTI 情报、评估情报质量、将数据规范化为 STIX 2.1 格式,或使用攻击活动溯源归因富化现有 IOC 时使用。
Best use case
analyzing-threat-intelligence-feeds is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
分析结构化和非结构化威胁情报(CTI)推送,提取可操作的指标、对手战术和攻击活动上下文。适用于导入商业或开源 CTI 情报、评估情报质量、将数据规范化为 STIX 2.1 格式,或使用攻击活动溯源归因富化现有 IOC 时使用。
Teams using analyzing-threat-intelligence-feeds should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/analyzing-threat-intelligence-feeds/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How analyzing-threat-intelligence-feeds Compares
| Feature / Agent | analyzing-threat-intelligence-feeds | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
分析结构化和非结构化威胁情报(CTI)推送,提取可操作的指标、对手战术和攻击活动上下文。适用于导入商业或开源 CTI 情报、评估情报质量、将数据规范化为 STIX 2.1 格式,或使用攻击活动溯源归因富化现有 IOC 时使用。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 分析威胁情报推送 ## 适用场景 在以下情况下使用本技能: - 导入新的商业或 OSINT 威胁情报,评估其信噪比 - 将异构 IOC 格式(STIX 2.1、OpenIOC、YARA、Sigma)规范化为统一架构 - 评估情报的时效性、准确性以及与组织威胁画像的相关性 - 构建将 IOC 与 SIEM 事件关联的自动化富化流水线 **不适用于**未建立 CTI 基线时进行原始数据包捕获分析或实时事件分诊。 ## 前置条件 - 访问威胁情报平台(TIP),如 ThreatConnect、MISP 或 OpenCTI - 至少一个商业情报的 API 密钥(Recorded Future、Mandiant Advantage 或 VirusTotal Enterprise) - TAXII 2.1 客户端库(taxii2-client Python 包或同类工具) - 具有 TIP 指标数据库读写权限的角色 ## 工作流程 ### 步骤 1:枚举并优先排序情报来源 按类型列出所有可用情报(商业、政府、ISAC、OSINT): - 商业:Recorded Future、Mandiant Advantage、CrowdStrike Falcon Intelligence - 政府:CISA AIS(自动指标共享)、FBI InfraGard、MS-ISAC - OSINT:AlienVault OTX、Abuse.ch、PhishTank、Emerging Threats 对每个情报从以下维度打分:更新频率、历史准确率、对您所在行业的覆盖度、以及溯源深度。使用基于 NIST SP 800-150(网络威胁信息共享指南)标准的加权评分矩阵。 ### 步骤 2:通过 TAXII 2.1 或 API 导入 对于支持 TAXII 的情报: ``` taxii2-client discover https://feed.example.com/taxii/ taxii2-client get-collection --collection-id <id> --since 2024-01-01 ``` 对于 REST API 情报(如 Recorded Future): - 使用 `risk_score_min=65` 查询 `/v2/indicator/search` 以过滤低置信度 IOC - 为 API 弹性应用速率限制和指数退避 ### 步骤 3:规范化为 STIX 2.1 使用 OASIS 标准架构将每个 IOC 转换为 STIX 2.1 对象: - IP 地址 → 带 `pattern: "[ipv4-addr:value = '...']"` 的 `indicator` 对象 - 域名 → 带 `pattern: "[domain-name:value = '...']"` 的 `indicator` - 文件哈希 → 带 `pattern: "[file:hashes.SHA-256 = '...']"` 的 `indicator` 附加 `relationship` 对象,将指标链接到 `threat-actor` 或 `malware` 对象。根据来源准确率评级设置 `confidence` 字段(0-100)。 ### 步骤 4:去重和富化 使用规范化后的值+类型作为复合键,针对 TIP 现有数据库进行去重。对保留的 IOC 进行富化: - VirusTotal:检测率、沙箱行为报告 - PassiveTotal (RiskIQ):WHOIS 历史、被动 DNS、SSL 证书链 - Shodan:Banner 数据、开放端口、地理位置 ### 步骤 5:分发到消费系统 通过 TAXII 2.1 推送将富化后的指标导出到 SIEM(Splunk、Microsoft Sentinel)、防火墙(Palo Alto XSOAR Playbook)和 EDR 平台。按指标类型设置 TTL:IP 地址 30 天、域名 90 天、文件哈希 1 年。 ## 核心概念 | 术语 | 定义 | |------|-----------| | **STIX 2.1** | 结构化威胁信息表达式——OASIS 标准 JSON 架构,用于 CTI 对象(指标、威胁行为者、攻击活动和关系) | | **TAXII 2.1** | 情报信息可信自动交换——基于 HTTPS 的协议,用于在服务器和客户端之间共享 STIX 内容 | | **IOC(失陷指标)** | 表明系统可能已被攻陷的可观测工件(IP、域名、哈希、URL) | | **TLP** | 流量灯协议——以颜色编码分类(RED/AMBER/GREEN/WHITE),定义 CTI 的共享限制 | | **置信度分数** | STIX 中的数值(0-100),反映生产者对指标恶意溯源的确信程度 | | **情报准确性** | 以生产检测中真正例率衡量的情报历史准确率 | ## 工具与系统 - **ThreatConnect TC Exchange**:聚合 100+ 个商业和 OSINT 情报;提供 IOC 富化的自动化 Playbook - **MISP(恶意软件信息共享平台)**:支持 STIX/TAXII 的开源 TIP;被 ISAC 和政府 CERT 广泛使用 - **OpenCTI**:具有原生 MITRE ATT&CK 集成和基于图的关系可视化的开源平台 - **Recorded Future**:具有 AI 风险评分和实时暗网监控的商业情报 - **taxii2-client**:TAXII 2.0/2.1 客户端操作的 Python 库(pip install taxii2-client) - **PyMISP**:用于 MISP 情报管理和 IOC 提交的 Python API ## 常见陷阱 - **IOC 过期陈旧**:IP 地址和域名频繁轮换;应用 1 年前的 IOC 会产生误报。执行 TTL 策略。 - **缺少上下文**:在不了解相关攻击活动或对手的情况下封锁 IOC 可能中断合法业务流量(如与恶意行为者共享的 CDN IP)。 - **情报重叠但未去重**:从五个情报来源导入相同 IOC 却不去重,会导致指标数量膨胀和 SIEM 规则复杂度增加。 - **TLP 违规**:在授权范围之外重新分发 RED 级别情报违反共享协议和信任关系。 - **对低置信度指标过度封锁**:置信度低于 50 的指标应触发仅检测规则,而非封锁规则,以避免运营中断。
Related Skills
tracking-threat-actor-infrastructure
威胁行为者基础设施追踪涉及使用被动 DNS、证书透明度日志、Shodan/Censys 扫描、WHOIS 分析和网络指纹技术,对对手控制的 C2 服务器、钓鱼域名和暂存服务器等资产进行监控、映射和持续追踪
profiling-threat-actor-groups
通过聚合 TTP 文档、历史活动数据、工具指纹和来自多个情报源的归因指标,为 APT 组织、犯罪组织和黑客活动组织开发全面的威胁行为者画像。适用于就行业特定威胁向管理层汇报、更新威胁模型假设,或针对特定对手优先部署防御控制措施。当涉及 MITRE ATT&CK 组织、Mandiant APT 画像、CrowdStrike 对手命名或行业特定威胁简报时激活。
processing-stix-taxii-feeds
处理通过 TAXII 2.1 服务器分发的 STIX 2.1 威胁情报包,将对象规范化为平台原生模式并路由到相应消费系统。适用于接入新的 TAXII 集合端点、自动化与 ISAC 的双向情报共享,或为格式错误的 STIX 包构建管道验证。当涉及 OASIS STIX、TAXII 服务器配置、MISP TAXII 或 Cortex XSOAR 情报源集成时激活。
performing-threat-modeling-with-owasp-threat-dragon
使用 OWASP Threat Dragon 创建数据流图,运用 STRIDE 和 LINDDUN 方法论识别威胁,并生成威胁模型报告用于安全设计审查。
performing-threat-landscape-assessment-for-sector
通过分析威胁行为者定向攻击模式、常见攻击向量和行业特定漏洞,开展行业特定威胁态势评估,为组织风险管理提供决策依据
performing-threat-intelligence-sharing-with-misp
使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流
performing-threat-hunting-with-yara-rules
使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。
performing-threat-hunting-with-elastic-siem
使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。
performing-threat-emulation-with-atomic-red-team
使用 atomic-operator Python 框架执行 Atomic Red Team 测试,进行 MITRE ATT&CK 技术验证。 从 YAML 原子测试加载测试定义、运行攻击模拟并验证检测覆盖率。适用于测试 SIEM 检测规则、 验证 EDR 覆盖率或开展紫队演练。
performing-open-source-intelligence-gathering
开源情报(OSINT)收集是红队演练的第一个主动阶段,操作员收集关于目标组织的公开可用信息,以识别攻击面、社会工程学目标、技术栈和凭据泄露情况。
performing-insider-threat-investigation
调查内部威胁事件,涉及滥用授权访问权限窃取数据、破坏系统或违反安全策略的员工、承包商或受信任合作伙伴。 结合数字取证、用户行为分析以及 HR/法务协调,构建基于证据的案例。适用于内部威胁调查、 员工数据盗窃、权限滥用、用户行为异常或内部威胁检测等请求场景。
performing-dark-web-monitoring-for-threats
暗网威胁监控涉及系统性扫描 Tor 隐藏服务、地下论坛、粘贴站点和暗网市场,以识别针对组织的威胁,包括泄露凭据、数据泄露、威胁行为者讨论、漏洞利用工具和预谋攻击。