performing-threat-intelligence-sharing-with-misp
使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流
Best use case
performing-threat-intelligence-sharing-with-misp is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流
Teams using performing-threat-intelligence-sharing-with-misp should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-threat-intelligence-sharing-with-misp/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-threat-intelligence-sharing-with-misp Compares
| Feature / Agent | performing-threat-intelligence-sharing-with-misp | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用 PyMISP 在 MISP 平台上创建、丰富和共享威胁情报事件,包括 IOC 管理、情报源集成、STIX 导出及社区共享工作流
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 MISP 执行威胁情报共享 ## 概述 MISP(恶意软件信息共享平台,Malware Information Sharing Platform)是一个开源威胁情报平台,专为收集、存储、分发和共享网络安全指标及威胁信息而设计。PyMISP 是通过 REST API 与 MISP 实例交互的官方 Python 库,支持程序化事件创建、属性管理、标签分配、星系簇(Galaxy Cluster)附加及情报源同步。本技能涵盖使用 PyMISP 创建包含结构化 IOC(IP 地址、域名、文件哈希、URL)的事件、用 MITRE ATT&CK 标签丰富事件、管理共享组(Sharing Group)和分发级别(Distribution Level)、搜索已有情报,以及导出为 STIX 2.1 格式以实现与其他平台的互操作性。 ## 前置条件 - MISP 实例(v2.4+),已启用 API 访问 - Python 3.9+,安装 `pymisp`(`pip install pymisp`) - MISP API 密钥(设置 > 认证密钥) - 理解 MISP 数据模型(事件、属性、对象、标签、星系) - 了解 TLP 标记和共享协议 ## 步骤 1. 安装 PyMISP:`pip install pymisp` 2. 初始化 `ExpandedPyMISP(url, key, ssl=True)` 连接 3. 创建包含信息描述、分发级别、威胁等级和分析状态的 `MISPEvent` 4. 通过 `event.add_attribute(type, value)` 添加 IP、域名、哈希等属性 5. 应用 TLP 标签和 MITRE ATT&CK 技术标签 6. 使用 `misp.publish(event)` 发布事件 7. 使用 `misp.search(controller='events', value=..., type_attribute=...)` 搜索已有事件 8. 启用并配置威胁情报源以自动摄入 IOC 9. 导出为 STIX 2.1 格式用于跨平台共享 10. 验证共享组配置和同步服务器设置 ## 预期输出 JSON 报告,汇总已创建的事件、添加的属性、应用的标签、情报源同步状态,以及与已有情报的关联命中,包含事件 ID 和分发元数据。
Related Skills
tracking-threat-actor-infrastructure
威胁行为者基础设施追踪涉及使用被动 DNS、证书透明度日志、Shodan/Censys 扫描、WHOIS 分析和网络指纹技术,对对手控制的 C2 服务器、钓鱼域名和暂存服务器等资产进行监控、映射和持续追踪
profiling-threat-actor-groups
通过聚合 TTP 文档、历史活动数据、工具指纹和来自多个情报源的归因指标,为 APT 组织、犯罪组织和黑客活动组织开发全面的威胁行为者画像。适用于就行业特定威胁向管理层汇报、更新威胁模型假设,或针对特定对手优先部署防御控制措施。当涉及 MITRE ATT&CK 组织、Mandiant APT 画像、CrowdStrike 对手命名或行业特定威胁简报时激活。
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。