generating-threat-intelligence-reports

生成战略、操作和战术级别的结构化网络威胁情报报告,针对特定受众(包括高管、安全运营团队和技术分析师)量身定制。适用于从原始收集数据生成完成情报产品、创建行业威胁简报,或提供事后情报评估时。适用于涉及 CTI 报告写作、威胁简报、情报产品、完成情报或高管安全报告的请求。

9 stars

Best use case

generating-threat-intelligence-reports is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

生成战略、操作和战术级别的结构化网络威胁情报报告,针对特定受众(包括高管、安全运营团队和技术分析师)量身定制。适用于从原始收集数据生成完成情报产品、创建行业威胁简报,或提供事后情报评估时。适用于涉及 CTI 报告写作、威胁简报、情报产品、完成情报或高管安全报告的请求。

Teams using generating-threat-intelligence-reports should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/generating-threat-intelligence-reports/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/generating-threat-intelligence-reports/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/generating-threat-intelligence-reports/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How generating-threat-intelligence-reports Compares

Feature / Agentgenerating-threat-intelligence-reportsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

生成战略、操作和战术级别的结构化网络威胁情报报告,针对特定受众(包括高管、安全运营团队和技术分析师)量身定制。适用于从原始收集数据生成完成情报产品、创建行业威胁简报,或提供事后情报评估时。适用于涉及 CTI 报告写作、威胁简报、情报产品、完成情报或高管安全报告的请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 生成威胁情报报告

## 适用场景

在以下情况下使用本技能:
- 为安全领导层生成每周、每月或每季度的威胁情报摘要
- 响应突发威胁(例如新零日漏洞、活跃勒索软件活动)快速创建情报评估
- 为高管决策安全投资生成行业特定威胁简报

**请勿使用**本技能进行原始 IOC 分发——使用 TIP/MISP 进行自动化 IOC 共享,将报告生成保留用于经过分析的完成情报。

## 前置条件

- 来自收集和处理阶段的已完成分析(PIR 部分或完全得到解答)
- 受众画像:技术水平、决策权限、信息分类许可
- 产品的 TLP 分类决策
- 符合受众期望的组织特定报告模板

## 工作流程

### 步骤 1:确定报告类型和受众

选择合适的情报产品类型:

**战略情报报告**:面向 C 级高管、董事会、风险委员会
- 内容:威胁态势趋势、对手意图与能力、对业务目标的风险
- 格式:1-3 页,术语简单,使用业务影响语言,包含建议决策
- 频率:每月/每季度

**操作情报报告**:面向 CISO、安全总监、IR 负责人
- 内容:活跃活动、对手 TTP、防御建议、行业同行事件
- 格式:3-8 页,中等技术深度,缓解措施优先级列表
- 频率:每周

**战术情报简报**:面向 SOC 分析师、威胁猎手、漏洞管理人员
- 内容:特定 IOC、YARA 规则、Sigma 检测、CVE、修补指南
- 格式:结构化表格、代码块,1-2 页
- 频率:每日或按需

**闪报**:针对即将发生或活跃威胁的紧急通知
- 内容:正在发生什么、即时风险、立即需要做什么
- 格式:最多 1 页,在识别威胁后 2 小时内分发
- 频率:按需(零日漏洞、针对行业的活跃活动)

### 步骤 2:使用情报标准构建报告

应用来自政府和专业实践的情报写作标准:

**标题/关键判断**:以简洁语言表述最重要的发现。
- 不好的做法:"本报告审查与 Cl0p 勒索软件相关的威胁行为者 TTP"
- 好的做法:"Cl0p 勒索软件组织正在积极利用思科 ASA 设备中的 CVE-2024-20353 获取初始访问权限;使用未打补丁的 ASA 设备的组织面临迫在眉睫的勒索软件风险"

**置信度限定词**(使用 DNI ICD 203 的语言):
- 高置信度:"我们以高置信度评估"——强有力证据,假设少
- 中置信度:"我们评估"——可信来源,但需要分析假设
- 低置信度:"证据表明"——来源有限,不确定性显著

**证据归因**:使用参考编号 [1]、[2] 引用来源;在 TLP:AMBER/RED 产品中保持来源匿名。

### 步骤 3:撰写报告正文

使用结构化格式:

**执行摘要**(3-5 个要点):关键发现、即时业务风险、首要建议行动

**威胁概述**:对手是谁?他们的目标是什么?这对我们为何重要?

**技术分析**:带有 ATT&CK 技术 ID 的 TTP、IOC、观察到的活动行为

**影响评估**:攻击成功时的潜在操作、财务、声誉影响

**建议行动**:按优先级排列、有时限的防御措施,并指定责任方

**附录**:完整 IOC 列表、YARA 规则、Sigma 检测、原始来源参考

### 步骤 4:应用 TLP 和分发控制

根据来源敏感性和共享协议选择 TLP:
- **TLP:RED**:仅限指名接收者;不得在简报室外共享
- **TLP:AMBER+STRICT**:仅限组织内部;不得与子公司或合作伙伴共享
- **TLP:AMBER**:组织及有需要知情权的可信合作伙伴
- **TLP:GREEN**:社区范围共享(ISAC 成员、行业同行)
- **TLP:WHITE/CLEAR**:公开分发;无限制

在每页页眉和页脚包含 TLP 水印。

### 步骤 5:审核和质量控制

分发前进行以下检查:
- **准确性**:所有事实是否有来源和引用?无未经证实的主张。
- **清晰度**:目标受众无需额外上下文是否能理解?
- **可操作性**:每个报告部分是否推动决策或行动?
- **分类**:TLP 是否正确应用?AMBER/RED 产品中是否有来源识别信息?
- **时效性**:情报是否仍然最新?超过 48 小时的事件需要进行时效性评估。

## 核心概念

| 术语 | 定义 |
|------|------|
| **完成情报** | 经过分析、情境化的情报产品,可供决策者直接使用;与原始收集数据不同 |
| **关键判断** | 报告的主要分析结论;在开篇段落中清晰表述 |
| **TLP** | 流量标记协议——FIRST 标准的分类系统,用于控制情报共享范围 |
| **ICD 203** | 情报社区指令 203——美国政府分析标准,包括置信度语言 |
| **闪报** | 针对即将发生威胁的紧急、时效性情报通知;优先速度而非深度 |
| **情报缺口** | 收集不足以回答 PIR 的领域;应在报告中明确记录 |

## 工具与系统

- **ThreatConnect 报告**:内置报告模板,含 ATT&CK 映射、IOC 表格和利益相关者分发控制
- **Recorded Future**:预建情报报告模板,配合专有数据集自动引用来源
- **OpenCTI 报告**:基于 STIX 的报告对象,含链接实体,用于结构化完成情报
- **Microsoft Word/Confluence**:常见报告交付格式;使用组织批准的带 TLP 头部的模板

## 常见陷阱

- **为分析师而非受众写作**:适合 SOC 分析师的技术细节会让高管不知所措。保持严格的受众细分。
- **省略置信度级别**:没有置信度限定词呈现的声明看起来像已确立的事实,而实际上可能是低置信度评估。
- **没有建议的情报**:只描述威胁而不开具行动处方的报告让利益相关者不知所措。
- **过时情报**:发布两周前已解决的威胁活动报告会制造警报而无实用价值。在所有主张上包含时效性日期。
- **过度分类**:对可以是 TLP:GREEN 的信息应用 TLP:RED 会阻碍社区共享,限制整个行业的防御价值。

Related Skills

tracking-threat-actor-infrastructure

9
from killvxk/cybersecurity-skills-zh

威胁行为者基础设施追踪涉及使用被动 DNS、证书透明度日志、Shodan/Censys 扫描、WHOIS 分析和网络指纹技术,对对手控制的 C2 服务器、钓鱼域名和暂存服务器等资产进行监控、映射和持续追踪

profiling-threat-actor-groups

9
from killvxk/cybersecurity-skills-zh

通过聚合 TTP 文档、历史活动数据、工具指纹和来自多个情报源的归因指标,为 APT 组织、犯罪组织和黑客活动组织开发全面的威胁行为者画像。适用于就行业特定威胁向管理层汇报、更新威胁模型假设,或针对特定对手优先部署防御控制措施。当涉及 MITRE ATT&CK 组织、Mandiant APT 画像、CrowdStrike 对手命名或行业特定威胁简报时激活。

performing-threat-modeling-with-owasp-threat-dragon

9
from killvxk/cybersecurity-skills-zh

使用 OWASP Threat Dragon 创建数据流图,运用 STRIDE 和 LINDDUN 方法论识别威胁,并生成威胁模型报告用于安全设计审查。

performing-threat-landscape-assessment-for-sector

9
from killvxk/cybersecurity-skills-zh

通过分析威胁行为者定向攻击模式、常见攻击向量和行业特定漏洞,开展行业特定威胁态势评估,为组织风险管理提供决策依据

performing-threat-intelligence-sharing-with-misp

9
from killvxk/cybersecurity-skills-zh

使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

performing-threat-emulation-with-atomic-red-team

9
from killvxk/cybersecurity-skills-zh

使用 atomic-operator Python 框架执行 Atomic Red Team 测试,进行 MITRE ATT&CK 技术验证。 从 YAML 原子测试加载测试定义、运行攻击模拟并验证检测覆盖率。适用于测试 SIEM 检测规则、 验证 EDR 覆盖率或开展紫队演练。

performing-open-source-intelligence-gathering

9
from killvxk/cybersecurity-skills-zh

开源情报(OSINT)收集是红队演练的第一个主动阶段,操作员收集关于目标组织的公开可用信息,以识别攻击面、社会工程学目标、技术栈和凭据泄露情况。

performing-insider-threat-investigation

9
from killvxk/cybersecurity-skills-zh

调查内部威胁事件,涉及滥用授权访问权限窃取数据、破坏系统或违反安全策略的员工、承包商或受信任合作伙伴。 结合数字取证、用户行为分析以及 HR/法务协调,构建基于证据的案例。适用于内部威胁调查、 员工数据盗窃、权限滥用、用户行为异常或内部威胁检测等请求场景。

performing-dark-web-monitoring-for-threats

9
from killvxk/cybersecurity-skills-zh

暗网威胁监控涉及系统性扫描 Tor 隐藏服务、地下论坛、粘贴站点和暗网市场,以识别针对组织的威胁,包括泄露凭据、数据泄露、威胁行为者讨论、漏洞利用工具和预谋攻击。

managing-intelligence-lifecycle

9
from killvxk/cybersecurity-skills-zh

管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。