managing-intelligence-lifecycle

管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。

9 stars

Best use case

managing-intelligence-lifecycle is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。

Teams using managing-intelligence-lifecycle should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/managing-intelligence-lifecycle/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/managing-intelligence-lifecycle/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/managing-intelligence-lifecycle/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How managing-intelligence-lifecycle Compares

Feature / Agentmanaging-intelligence-lifecycleStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 管理情报生命周期

## 适用场景

在以下情况下使用本技能:
- 建立正式的 CTI 计划并定义其运营模式
- 与业务相关方进行季度情报需求审查
- 根据既定框架评估 CTI 计划成熟度(FIRST CTI-SIG 成熟度模型)

**请勿使用**本技能进行日常 IOC 分类或特定事件情报任务——这些任务使用操作情报工作流,而非生命周期管理。

## 前置条件

- 高层支持和已定义的 CTI 团队结构(1+ 专职分析师)
- 识别情报消费者的相关方地图(SOC、IR、高管团队、漏洞管理)
- 现有 Feed 订阅或 ISAC 成员资格作为收集基线
- CTI 平台(MISP、ThreatConnect、OpenCTI)用于生命周期管理

## 工作流程

### 步骤 1:规划和指导

与相关方定义优先情报需求(PIR):
- 访谈 SOC 负责人、IR 团队、CISO、风险管理和产品安全
- 以结构化格式记录 PIR:"[威胁行为者] 当前使用 [技术] 攻击 [关键资产] 的能力和意图是什么?"
- 每季度优先处理 5-10 个 PIR,每月审查

示例 PIR:"勒索软件组织 Cl0p 目前是否正在使用 MoveIT 或 GoAnywhere 漏洞针对我们行业的组织?"

### 步骤 2:收集规划

将 PIR 映射到所需收集来源:
- 技术来源:商业 Feed、TAXII、ISAC 数据、蜜罐遥测、暗网监控
- 人力来源:厂商威胁简报、行业工作组、执法伙伴关系
- 内部来源:SIEM 日志、EDR 遥测、网络钓鱼提交邮箱

记录收集缺口和填补缺口的相关成本。

### 步骤 3:处理和规范化

实现自动化处理管道:
- 摄入 → 规范化为 STIX 2.1 → 去重 → 富化 → 置信度评分
- 在分析前拒绝无法验证或重复的指标
- 用来源、收集日期和有效期标记所有已处理数据

### 步骤 4:分析和生产

在三个级别生产情报:
- **战略**:面向高层的季度威胁态势报告;行业趋势、地缘政治背景
- **操作**:面向安全领导层的周度活动报告;活跃活动、对手活动
- **战术**:面向 SOC 的每日 IOC 公告;带拦截/监控建议的可操作指标

应用结构化分析技术:竞争假设分析(ACH)、关键假设检查、魔鬼代言人。

### 步骤 5:传播

将产品格式与受众匹配:
- 高层管理者:带风险评级、业务影响和建议决策的 1 页 PDF
- SOC 分析师:SIEM 就绪的 IOC 列表、Sigma 规则、MISP 事件
- 漏洞管理:带 EPSS 分数和利用可能性的 CVE 列表
- IT/安全领导:带技术附录的完整情报报告

按产品类型应用 TLP 分类和分发列表。

### 步骤 6:反馈和评估

在传播后 5 个工作日内收集反馈:
- 产品是否解决了 PIR?
- 可操作性是否足够?
- 缺少哪些数据?

按季度跟踪指标:PIR 覆盖率、IOC 真正率、传播时间、相关方满意度(NPS 或结构化调查)。

## 核心概念

| 术语 | 定义 |
|------|-----------|
| **PIR** | 优先情报需求——驱动情报收集和分析的具体、可操作问题 |
| **情报生命周期** | 六阶段迭代过程:规划 → 收集 → 处理 → 分析 → 传播 → 反馈 |
| **战略情报** | 用于高层决策的长期威胁趋势分析;时间范围 6-24 个月 |
| **操作情报** | 用于安全计划决策的活动级别分析;时间范围 1-6 个月 |
| **战术情报** | 用于即时检测和拦截的具体 IOC 和 TTP;时间范围数小时至数天 |
| **FIRST CTI-SIG** | 事件响应和安全团队论坛——CTI 特别兴趣组成熟度模型 |

## 工具与系统

- **ThreatConnect**:内置情报生命周期工作流、PIR 跟踪和相关方报告仪表盘的 TIP
- **MISP**:支持从收集到共享的情报生命周期的开源 TIP
- **OpenCTI**:具有情报产品工作流管理的基于图形的 CTI 平台
- **Recorded Future**:具有与情报生命周期对齐的结构化情报报告的商业平台

## 常见陷阱

- **无指导的收集**:在没有 PIR 的情况下摄入所有可用 Feed 会产生数据过载,没有可操作情报。
- **缺少反馈循环**:没有结构化反馈,CTI 团队生产的报告无法满足相关方需求并失去组织相关性。
- **仅战术关注**:过度强调 IOC 共享忽视了为安全投资和风险决策提供信息的战略情报。
- **无指标计划**:没有跟踪检测贡献、真正率和相关方满意度就无法证明 CTI 计划价值。
- **资金不足的收集**:没有适当的收集来源就无法回答 PIR;记录并上报缺口,而非生产低置信度估计。

Related Skills

performing-threat-intelligence-sharing-with-misp

9
from killvxk/cybersecurity-skills-zh

使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流

performing-ssl-certificate-lifecycle-management

9
from killvxk/cybersecurity-skills-zh

SSL/TLS 证书生命周期管理涵盖请求、颁发、部署、监控、续期和吊销 X.509 证书的完整流程。不当的证书管理是导致中断和安全事件的主要原因。本技能涵盖使用 Python 和 ACME 协议工具自动化整个证书生命周期。

performing-open-source-intelligence-gathering

9
from killvxk/cybersecurity-skills-zh

开源情报(OSINT)收集是红队演练的第一个主动阶段,操作员收集关于目标组织的公开可用信息,以识别攻击面、社会工程学目标、技术栈和凭据泄露情况。

performing-indicator-lifecycle-management

9
from killvxk/cybersecurity-skills-zh

指标生命周期管理跟踪 IOC 从初始发现到验证、富化、部署、监控和最终停用的全过程。本技能涵盖实施 IOC 质量评估、老化策略、置信度衰减评分、误报跟踪、命中率监控和自动到期的系统化流程,以维护高质量、可操作的指标数据库,最大限度减少分析师疲劳并提高检测效能。

managing-cloud-identity-with-okta

9
from killvxk/cybersecurity-skills-zh

本技能涵盖将 Okta 部署为云环境集中身份提供商,配置与 AWS、Azure 和 GCP 的 SSO 集成,使用 Okta FastPass 部署抗钓鱼 MFA,管理用户预配置和取消配置的生命周期自动化,以及基于设备态势和风险信号实施自适应访问策略。

implementing-threat-intelligence-platform

9
from killvxk/cybersecurity-skills-zh

构建以 MISP 为后端的威胁情报平台,从多个 Feed 摄入 IOC,通过 Galaxy 集群关联事件,并通过 VirusTotal 和 AbuseIPDB 富化指标。使用 PyMISP 创建事件、添加带 IDS 标志的属性、标记 MITRE ATT&CK 技术,并导出 STIX 2.1 Bundle 供下游 SIEM 消费。

implementing-threat-intelligence-lifecycle-management

9
from killvxk/cybersecurity-skills-zh

实现结构化威胁情报生命周期,涵盖规划、收集、处理、分析、传播和反馈阶段,为组织决策生产可操作情报。

generating-threat-intelligence-reports

9
from killvxk/cybersecurity-skills-zh

生成战略、操作和战术级别的结构化网络威胁情报报告,针对特定受众(包括高管、安全运营团队和技术分析师)量身定制。适用于从原始收集数据生成完成情报产品、创建行业威胁简报,或提供事后情报评估时。适用于涉及 CTI 报告写作、威胁简报、情报产品、完成情报或高管安全报告的请求。

evaluating-threat-intelligence-platforms

9
from killvxk/cybersecurity-skills-zh

根据组织需求(包括推送集成能力、STIX/TAXII 支持、工作流自动化、分析师界面和总体拥有成本)评估和选择威胁情报平台(TIP)产品。适用于开展 TIP 采购、在 TIP 解决方案之间迁移,或评估当前 TIP 是否满足项目成熟度要求时。适用于涉及 ThreatConnect、MISP、OpenCTI、Anomali、EclecticIQ 或 TIP 采购决策的请求。

collecting-threat-intelligence-with-misp

9
from killvxk/cybersecurity-skills-zh

MISP(恶意软件信息共享平台)是一个开源威胁情报平台,用于收集、共享、存储和关联定向攻击的失陷指标(IOC)、威胁情报、金融欺诈信息、漏洞信息或反恐信息。

collecting-open-source-intelligence

9
from killvxk/cybersecurity-skills-zh

使用公开可用的数据源、被动侦察工具和暗网监控,收集并综合关于威胁行为者、恶意基础设施和攻击活动的开源情报(OSINT)。适用于调查外部威胁行为者基础设施、为授权红队评估执行预参与侦察,或使用公开对手上下文丰富 CTI 报告。适用于涉及 Maltego、Shodan、OSINT framework、SpiderFoot 或基础设施侦察的请求。

building-threat-intelligence-platform

9
from killvxk/cybersecurity-skills-zh

构建威胁情报平台(TIP)涉及将多个 CTI 工具部署和集成到统一系统中,用于收集、分析、富化和分发威胁情报,包括 MISP、OpenCTI、TheHive 和 Cortex 的开源工具集成。