managing-intelligence-lifecycle
管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。
Best use case
managing-intelligence-lifecycle is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。
Teams using managing-intelligence-lifecycle should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/managing-intelligence-lifecycle/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How managing-intelligence-lifecycle Compares
| Feature / Agent | managing-intelligence-lifecycle | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 管理情报生命周期 ## 适用场景 在以下情况下使用本技能: - 建立正式的 CTI 计划并定义其运营模式 - 与业务相关方进行季度情报需求审查 - 根据既定框架评估 CTI 计划成熟度(FIRST CTI-SIG 成熟度模型) **请勿使用**本技能进行日常 IOC 分类或特定事件情报任务——这些任务使用操作情报工作流,而非生命周期管理。 ## 前置条件 - 高层支持和已定义的 CTI 团队结构(1+ 专职分析师) - 识别情报消费者的相关方地图(SOC、IR、高管团队、漏洞管理) - 现有 Feed 订阅或 ISAC 成员资格作为收集基线 - CTI 平台(MISP、ThreatConnect、OpenCTI)用于生命周期管理 ## 工作流程 ### 步骤 1:规划和指导 与相关方定义优先情报需求(PIR): - 访谈 SOC 负责人、IR 团队、CISO、风险管理和产品安全 - 以结构化格式记录 PIR:"[威胁行为者] 当前使用 [技术] 攻击 [关键资产] 的能力和意图是什么?" - 每季度优先处理 5-10 个 PIR,每月审查 示例 PIR:"勒索软件组织 Cl0p 目前是否正在使用 MoveIT 或 GoAnywhere 漏洞针对我们行业的组织?" ### 步骤 2:收集规划 将 PIR 映射到所需收集来源: - 技术来源:商业 Feed、TAXII、ISAC 数据、蜜罐遥测、暗网监控 - 人力来源:厂商威胁简报、行业工作组、执法伙伴关系 - 内部来源:SIEM 日志、EDR 遥测、网络钓鱼提交邮箱 记录收集缺口和填补缺口的相关成本。 ### 步骤 3:处理和规范化 实现自动化处理管道: - 摄入 → 规范化为 STIX 2.1 → 去重 → 富化 → 置信度评分 - 在分析前拒绝无法验证或重复的指标 - 用来源、收集日期和有效期标记所有已处理数据 ### 步骤 4:分析和生产 在三个级别生产情报: - **战略**:面向高层的季度威胁态势报告;行业趋势、地缘政治背景 - **操作**:面向安全领导层的周度活动报告;活跃活动、对手活动 - **战术**:面向 SOC 的每日 IOC 公告;带拦截/监控建议的可操作指标 应用结构化分析技术:竞争假设分析(ACH)、关键假设检查、魔鬼代言人。 ### 步骤 5:传播 将产品格式与受众匹配: - 高层管理者:带风险评级、业务影响和建议决策的 1 页 PDF - SOC 分析师:SIEM 就绪的 IOC 列表、Sigma 规则、MISP 事件 - 漏洞管理:带 EPSS 分数和利用可能性的 CVE 列表 - IT/安全领导:带技术附录的完整情报报告 按产品类型应用 TLP 分类和分发列表。 ### 步骤 6:反馈和评估 在传播后 5 个工作日内收集反馈: - 产品是否解决了 PIR? - 可操作性是否足够? - 缺少哪些数据? 按季度跟踪指标:PIR 覆盖率、IOC 真正率、传播时间、相关方满意度(NPS 或结构化调查)。 ## 核心概念 | 术语 | 定义 | |------|-----------| | **PIR** | 优先情报需求——驱动情报收集和分析的具体、可操作问题 | | **情报生命周期** | 六阶段迭代过程:规划 → 收集 → 处理 → 分析 → 传播 → 反馈 | | **战略情报** | 用于高层决策的长期威胁趋势分析;时间范围 6-24 个月 | | **操作情报** | 用于安全计划决策的活动级别分析;时间范围 1-6 个月 | | **战术情报** | 用于即时检测和拦截的具体 IOC 和 TTP;时间范围数小时至数天 | | **FIRST CTI-SIG** | 事件响应和安全团队论坛——CTI 特别兴趣组成熟度模型 | ## 工具与系统 - **ThreatConnect**:内置情报生命周期工作流、PIR 跟踪和相关方报告仪表盘的 TIP - **MISP**:支持从收集到共享的情报生命周期的开源 TIP - **OpenCTI**:具有情报产品工作流管理的基于图形的 CTI 平台 - **Recorded Future**:具有与情报生命周期对齐的结构化情报报告的商业平台 ## 常见陷阱 - **无指导的收集**:在没有 PIR 的情况下摄入所有可用 Feed 会产生数据过载,没有可操作情报。 - **缺少反馈循环**:没有结构化反馈,CTI 团队生产的报告无法满足相关方需求并失去组织相关性。 - **仅战术关注**:过度强调 IOC 共享忽视了为安全投资和风险决策提供信息的战略情报。 - **无指标计划**:没有跟踪检测贡献、真正率和相关方满意度就无法证明 CTI 计划价值。 - **资金不足的收集**:没有适当的收集来源就无法回答 PIR;记录并上报缺口,而非生产低置信度估计。
Related Skills
performing-threat-intelligence-sharing-with-misp
使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流
performing-ssl-certificate-lifecycle-management
SSL/TLS 证书生命周期管理涵盖请求、颁发、部署、监控、续期和吊销 X.509 证书的完整流程。不当的证书管理是导致中断和安全事件的主要原因。本技能涵盖使用 Python 和 ACME 协议工具自动化整个证书生命周期。
performing-open-source-intelligence-gathering
开源情报(OSINT)收集是红队演练的第一个主动阶段,操作员收集关于目标组织的公开可用信息,以识别攻击面、社会工程学目标、技术栈和凭据泄露情况。
performing-indicator-lifecycle-management
指标生命周期管理跟踪 IOC 从初始发现到验证、富化、部署、监控和最终停用的全过程。本技能涵盖实施 IOC 质量评估、老化策略、置信度衰减评分、误报跟踪、命中率监控和自动到期的系统化流程,以维护高质量、可操作的指标数据库,最大限度减少分析师疲劳并提高检测效能。
managing-cloud-identity-with-okta
本技能涵盖将 Okta 部署为云环境集中身份提供商,配置与 AWS、Azure 和 GCP 的 SSO 集成,使用 Okta FastPass 部署抗钓鱼 MFA,管理用户预配置和取消配置的生命周期自动化,以及基于设备态势和风险信号实施自适应访问策略。
implementing-threat-intelligence-platform
构建以 MISP 为后端的威胁情报平台,从多个 Feed 摄入 IOC,通过 Galaxy 集群关联事件,并通过 VirusTotal 和 AbuseIPDB 富化指标。使用 PyMISP 创建事件、添加带 IDS 标志的属性、标记 MITRE ATT&CK 技术,并导出 STIX 2.1 Bundle 供下游 SIEM 消费。
implementing-threat-intelligence-lifecycle-management
实现结构化威胁情报生命周期,涵盖规划、收集、处理、分析、传播和反馈阶段,为组织决策生产可操作情报。
generating-threat-intelligence-reports
生成战略、操作和战术级别的结构化网络威胁情报报告,针对特定受众(包括高管、安全运营团队和技术分析师)量身定制。适用于从原始收集数据生成完成情报产品、创建行业威胁简报,或提供事后情报评估时。适用于涉及 CTI 报告写作、威胁简报、情报产品、完成情报或高管安全报告的请求。
evaluating-threat-intelligence-platforms
根据组织需求(包括推送集成能力、STIX/TAXII 支持、工作流自动化、分析师界面和总体拥有成本)评估和选择威胁情报平台(TIP)产品。适用于开展 TIP 采购、在 TIP 解决方案之间迁移,或评估当前 TIP 是否满足项目成熟度要求时。适用于涉及 ThreatConnect、MISP、OpenCTI、Anomali、EclecticIQ 或 TIP 采购决策的请求。
collecting-threat-intelligence-with-misp
MISP(恶意软件信息共享平台)是一个开源威胁情报平台,用于收集、共享、存储和关联定向攻击的失陷指标(IOC)、威胁情报、金融欺诈信息、漏洞信息或反恐信息。
collecting-open-source-intelligence
使用公开可用的数据源、被动侦察工具和暗网监控,收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报(OSINT)。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察,或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。
building-threat-intelligence-platform
构建威胁情报平台(TIP)涉及将多个 CTI 工具部署和集成到统一系统中,用于收集、分析、富化和分发威胁情报,包括 MISP、OpenCTI、TheHive 和 Cortex 的开源工具集成。