evaluating-threat-intelligence-platforms

根据组织需求(包括推送集成能力、STIX/TAXII 支持、工作流自动化、分析师界面和总体拥有成本)评估和选择威胁情报平台(TIP)产品。适用于开展 TIP 采购、在 TIP 解决方案之间迁移,或评估当前 TIP 是否满足项目成熟度要求时。适用于涉及 ThreatConnect、MISP、OpenCTI、Anomali、EclecticIQ 或 TIP 采购决策的请求。

9 stars

Best use case

evaluating-threat-intelligence-platforms is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

根据组织需求(包括推送集成能力、STIX/TAXII 支持、工作流自动化、分析师界面和总体拥有成本)评估和选择威胁情报平台(TIP)产品。适用于开展 TIP 采购、在 TIP 解决方案之间迁移,或评估当前 TIP 是否满足项目成熟度要求时。适用于涉及 ThreatConnect、MISP、OpenCTI、Anomali、EclecticIQ 或 TIP 采购决策的请求。

Teams using evaluating-threat-intelligence-platforms should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/evaluating-threat-intelligence-platforms/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/evaluating-threat-intelligence-platforms/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/evaluating-threat-intelligence-platforms/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How evaluating-threat-intelligence-platforms Compares

Feature / Agentevaluating-threat-intelligence-platformsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

根据组织需求(包括推送集成能力、STIX/TAXII 支持、工作流自动化、分析师界面和总体拥有成本)评估和选择威胁情报平台(TIP)产品。适用于开展 TIP 采购、在 TIP 解决方案之间迁移,或评估当前 TIP 是否满足项目成熟度要求时。适用于涉及 ThreatConnect、MISP、OpenCTI、Anomali、EclecticIQ 或 TIP 采购决策的请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 评估威胁情报平台

## 适用场景

在以下情况下使用本技能:
- 为 TIP 解决方案开展正式的招标(RFP)或供应商评估
- 评估当前 TIP(如 MISP)是否随 CTI 项目规模扩展而需要替换或扩充
- 建立符合组织成熟度和预算的评估标准

**请勿使用**本技能独立评估推送质量——推送评估是专注于数据质量而非平台能力的独立工作流。

## 前置条件

- 已记录的 CTI 项目需求:团队规模、推送来源、集成目标、使用场景
- 预算范围和采购时间表
- 将管理平台的技术人员(开源 TIP 需要 Python/API 经验)
- 当前和计划中的集成列表(SIEM、SOAR、EDR、防火墙)

## 工作流程

### 步骤 1:定义评估标准

将需求分为必须(M)和期望(D)两类:

**核心 TIP 功能**:
- M:STIX 2.1 导入/导出,带 TAXII 2.1 服务器
- M:用于自动化 IOC 摄取和导出的 REST API
- M:指标去重和 TTL 管理
- M:TLP 分类强制执行
- D:内置 MITRE ATT&CK 集成和技术标记
- D:指标关系的图可视化
- D:分析师分流的工作流自动化

**集成**:
- M:SIEM 集成(Splunk、Sentinel、QRadar),通过 syslog、API 或原生连接器
- M:EDR 集成,用于 IOC 推送(CrowdStrike、Defender、SentinelOne)
- D:SOAR 集成(XSOAR、Splunk SOAR),用于剧本触发
- D:工单系统(ServiceNow、Jira),用于情报任务跟踪

**运营**:
- M:基于角色的访问控制,支持 TLP 感知数据隔离
- M:所有分析师操作的审计日志
- D:多租户,适用于 MSSP 使用场景

### 步骤 2:评估主要 TIP 选项

**MISP(开源)**:
- 费用:免费(仅需自托管基础设施费用)
- 优势:最大社区、250+ 模块、广泛的 ISAC 使用、原生 STIX 2.0
- 劣势:需要专职管理员、可视化有限、界面较旧
- 最适合:技术人员充足的预算受限团队;政府/ISAC 共享项目

**OpenCTI(开源)**:
- 费用:免费(自托管);付费 SaaS 约 3,000–15,000 美元/年
- 优势:原生 STIX 2.1、图可视化、ATT&CK 集成、现代 API
- 劣势:部署资源密集(需要 Elasticsearch、MinIO)
- 最适合:希望使用现代 UX 开源平台的团队;SOC/CTI 集成重点

**ThreatConnect(商业)**:
- 费用:5–50 万美元/年,具体取决于规模
- 优势:端到端 CTI 生命周期、剧本自动化、TC Exchange 市场、分析师工作流
- 劣势:费用高;实施复杂;大规模时性价比最优
- 最适合:成熟的企业 CTI 项目;MSSP;红队/蓝队集成

**Anomali ThreatStream(商业)**:
- 费用:3–20 万美元/年
- 优势:强大的推送聚合、Splunk 原生集成、丰富的预建连接器
- 劣势:图可视化弱于 OpenCTI;界面更新滞后
- 最适合:Splunk 密集型环境;优先考虑推送量而非分析工作流的团队

**EclecticIQ Platform(商业)**:
- 费用:4–30 万美元/年
- 优势:原生 STIX 2.1、协作情报工作台、欧洲客户群体较大
- 劣势:合作伙伴生态系统小于 ThreatConnect
- 最适合:以 MITRE ATT&CK 为中心工作流的团队;EMEA 区域组织

### 步骤 3:开展概念验证

向入围供应商申请 30 天 PoC。测试:
1. 推送接入:能否在 4 小时内摄取您的前 5 个推送?
2. SIEM 集成:富化后的 IOC 能否在 5 分钟内推送到 SIEM?
3. ATT&CK 映射:分析师能否高效地为指标打上 ATT&CK 技术标签?
4. 报告生成:平台能否一键生成战术性 IOC 公告?
5. API 性能:REST API 能否处理每天 10,000 个指标查询?

### 步骤 4:评分与选择

使用加权评分矩阵(按组织优先级为每个标准分配权重):
```
评估标准              权重     供应商 A   供应商 B
STIX 2.1 合规性      20%       95         85
SIEM 集成            25%       90         70
ATT&CK 映射          15%       85         95
成本(反向)          20%       60         90
界面/分析师体验      10%       80         75
供应商支持质量       10%       85         80
总计                 100%      82.0       81.5
```

### 步骤 5:实施与入职规划

规划 90 天实施计划:
- 第 1–2 周:基础设施部署(云或本地)
- 第 3–4 周:推送接入和去重调优
- 第 5–6 周:SIEM/SOAR 集成与测试
- 第 7–8 周:分析师工作流配置和培训
- 第 9–12 周:运营验证和上线

## 核心概念

| 术语 | 定义 |
|------|------|
| **TIP** | 威胁情报平台——用于收集、处理、分析和分发网络威胁情报的软件 |
| **TAXII 服务器** | TIP 的组件,按需向消费系统提供 STIX bundle |
| **TC Exchange** | ThreatConnect 的商业市场,提供预建推送集成和应用连接器 |
| **多租户** | TIP 为多个组织单位或客户提供隔离数据环境服务的能力 |
| **去重** | 识别并合并 TIP 内重复指标,以减少分析师噪音的过程 |

## 工具与系统

- **MISP**:被 6,000+ 组织使用的开源 TIP;最强的 ISAC/政府社区集成
- **OpenCTI**:具有原生 STIX 2.1 和基于图谱分析的现代开源 TIP
- **ThreatConnect**:具有生命周期管理和 SOAR 剧本集成的企业商业 TIP
- **Anomali ThreatStream**:具有强大 Splunk 生态系统集成的商业 TIP
- **EclecticIQ**:以 ATT&CK 为中心工作流设计的商业 TIP

## 常见陷阱

- **在定义需求前选择 TIP**:在用例定义前进行技术选型会导致代价高昂的不匹配。
- **低估管理负担**:MISP 和 OpenCTI 需要专职管理员时间(最少 0.25 FTE);需相应预算。
- **忽视数据迁移成本**:将历史情报从一个 TIP 迁移到另一个代价高昂,对旧系统通常不可行。
- **PoC 期间未测试 SIEM 集成**:TIP 价值在很大程度上取决于下游集成质量;评估期间务必测试 SIEM/SOAR 连接。

Related Skills

tracking-threat-actor-infrastructure

9
from killvxk/cybersecurity-skills-zh

威胁行为者基础设施追踪涉及使用被动 DNS、证书透明度日志、Shodan/Censys 扫描、WHOIS 分析和网络指纹技术,对对手控制的 C2 服务器、钓鱼域名和暂存服务器等资产进行监控、映射和持续追踪

profiling-threat-actor-groups

9
from killvxk/cybersecurity-skills-zh

通过聚合 TTP 文档、历史活动数据、工具指纹和来自多个情报源的归因指标,为 APT 组织、犯罪组织和黑客活动组织开发全面的威胁行为者画像。适用于就行业特定威胁向管理层汇报、更新威胁模型假设,或针对特定对手优先部署防御控制措施。当涉及 MITRE ATT&CK 组织、Mandiant APT 画像、CrowdStrike 对手命名或行业特定威胁简报时激活。

performing-threat-modeling-with-owasp-threat-dragon

9
from killvxk/cybersecurity-skills-zh

使用 OWASP Threat Dragon 创建数据流图,运用 STRIDE 和 LINDDUN 方法论识别威胁,并生成威胁模型报告用于安全设计审查。

performing-threat-landscape-assessment-for-sector

9
from killvxk/cybersecurity-skills-zh

通过分析威胁行为者定向攻击模式、常见攻击向量和行业特定漏洞,开展行业特定威胁态势评估,为组织风险管理提供决策依据

performing-threat-intelligence-sharing-with-misp

9
from killvxk/cybersecurity-skills-zh

使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

performing-threat-emulation-with-atomic-red-team

9
from killvxk/cybersecurity-skills-zh

使用 atomic-operator Python 框架执行 Atomic Red Team 测试,进行 MITRE ATT&CK 技术验证。 从 YAML 原子测试加载测试定义、运行攻击模拟并验证检测覆盖率。适用于测试 SIEM 检测规则、 验证 EDR 覆盖率或开展紫队演练。

performing-open-source-intelligence-gathering

9
from killvxk/cybersecurity-skills-zh

开源情报(OSINT)收集是红队演练的第一个主动阶段,操作员收集关于目标组织的公开可用信息,以识别攻击面、社会工程学目标、技术栈和凭据泄露情况。

performing-insider-threat-investigation

9
from killvxk/cybersecurity-skills-zh

调查内部威胁事件,涉及滥用授权访问权限窃取数据、破坏系统或违反安全策略的员工、承包商或受信任合作伙伴。 结合数字取证、用户行为分析以及 HR/法务协调,构建基于证据的案例。适用于内部威胁调查、 员工数据盗窃、权限滥用、用户行为异常或内部威胁检测等请求场景。

performing-dark-web-monitoring-for-threats

9
from killvxk/cybersecurity-skills-zh

暗网威胁监控涉及系统性扫描 Tor 隐藏服务、地下论坛、粘贴站点和暗网市场,以识别针对组织的威胁,包括泄露凭据、数据泄露、威胁行为者讨论、漏洞利用工具和预谋攻击。

managing-intelligence-lifecycle

9
from killvxk/cybersecurity-skills-zh

管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。