Skill

analyzing-threat-intelligence-feeds

Analyzes structured and unstructured CTI feeds to extract actionable IOCs, adversary tactics, and attack context. For importing feeds, STIX 2.1 normalization, quality assessment, and IOC enrichment.

Python

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

在以下情况下使用本技能：

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

analyzing-threat-intelligence-feeds

5.9k

Analyzes threat intelligence feeds to extract IOCs, adversary tactics, and context. Normalizes heterogeneous formats to STIX 2.1, evaluates feed quality, and enriches for CTI pipelines.

3 files

cybersecurity-skills

analyzing-threat-intelligence-feeds

Analyzes threat intelligence feeds to extract IOCs, adversary tactics, and context. Normalizes to STIX 2.1, evaluates quality for platforms like ThreatConnect, MISP, Recorded Future.

asi

building-threat-intelligence-feed-integration

Builds automated threat intelligence pipelines integrating STIX/TAXII sources, open-source feeds like Abuse.ch, and commercial platforms into SIEM for real-time IOC matching and alerting. For SOC teams standardizing and distributing TI.

3 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

分析威胁情报推送

适用场景

在以下情况下使用本技能：

导入新的商业或 OSINT 威胁情报，评估其信噪比
将异构 IOC 格式（STIX 2.1、OpenIOC、YARA、Sigma）规范化为统一架构
评估情报的时效性、准确性以及与组织威胁画像的相关性
构建将 IOC 与 SIEM 事件关联的自动化富化流水线

不适用于未建立 CTI 基线时进行原始数据包捕获分析或实时事件分诊。

前置条件

访问威胁情报平台（TIP），如 ThreatConnect、MISP 或 OpenCTI
至少一个商业情报的 API 密钥（Recorded Future、Mandiant Advantage 或 VirusTotal Enterprise）
TAXII 2.1 客户端库（taxii2-client Python 包或同类工具）
具有 TIP 指标数据库读写权限的角色

工作流程

步骤 1：枚举并优先排序情报来源

按类型列出所有可用情报（商业、政府、ISAC、OSINT）：

商业：Recorded Future、Mandiant Advantage、CrowdStrike Falcon Intelligence
政府：CISA AIS（自动指标共享）、FBI InfraGard、MS-ISAC
OSINT：AlienVault OTX、Abuse.ch、PhishTank、Emerging Threats

对每个情报从以下维度打分：更新频率、历史准确率、对您所在行业的覆盖度、以及溯源深度。使用基于 NIST SP 800-150（网络威胁信息共享指南）标准的加权评分矩阵。

步骤 2：通过 TAXII 2.1 或 API 导入

对于支持 TAXII 的情报：

taxii2-client discover https://feed.example.com/taxii/
taxii2-client get-collection --collection-id <id> --since 2024-01-01

对于 REST API 情报（如 Recorded Future）：

使用 risk_score_min=65 查询 /v2/indicator/search 以过滤低置信度 IOC
为 API 弹性应用速率限制和指数退避

步骤 3：规范化为 STIX 2.1

使用 OASIS 标准架构将每个 IOC 转换为 STIX 2.1 对象：

IP 地址 → 带 pattern: "[ipv4-addr:value = '...']" 的 indicator 对象
域名 → 带 pattern: "[domain-name:value = '...']" 的 indicator
文件哈希 → 带 pattern: "[file:hashes.SHA-256 = '...']" 的 indicator

附加 relationship 对象，将指标链接到 threat-actor 或 malware 对象。根据来源准确率评级设置 confidence 字段（0-100）。

步骤 4：去重和富化

使用规范化后的值+类型作为复合键，针对 TIP 现有数据库进行去重。对保留的 IOC 进行富化：

VirusTotal：检测率、沙箱行为报告
PassiveTotal (RiskIQ)：WHOIS 历史、被动 DNS、SSL 证书链
Shodan：Banner 数据、开放端口、地理位置

步骤 5：分发到消费系统

通过 TAXII 2.1 推送将富化后的指标导出到 SIEM（Splunk、Microsoft Sentinel）、防火墙（Palo Alto XSOAR Playbook）和 EDR 平台。按指标类型设置 TTL：IP 地址 30 天、域名 90 天、文件哈希 1 年。

核心概念

术语	定义
STIX 2.1	结构化威胁信息表达式——OASIS 标准 JSON 架构，用于 CTI 对象（指标、威胁行为者、攻击活动和关系）
TAXII 2.1	情报信息可信自动交换——基于 HTTPS 的协议，用于在服务器和客户端之间共享 STIX 内容
IOC（失陷指标）	表明系统可能已被攻陷的可观测工件（IP、域名、哈希、URL）
TLP	流量灯协议——以颜色编码分类（RED/AMBER/GREEN/WHITE），定义 CTI 的共享限制
置信度分数	STIX 中的数值（0-100），反映生产者对指标恶意溯源的确信程度
情报准确性	以生产检测中真正例率衡量的情报历史准确率

工具与系统

ThreatConnect TC Exchange：聚合 100+ 个商业和 OSINT 情报；提供 IOC 富化的自动化 Playbook
MISP（恶意软件信息共享平台）：支持 STIX/TAXII 的开源 TIP；被 ISAC 和政府 CERT 广泛使用
OpenCTI：具有原生 MITRE ATT&CK 集成和基于图的关系可视化的开源平台
Recorded Future：具有 AI 风险评分和实时暗网监控的商业情报
taxii2-client：TAXII 2.0/2.1 客户端操作的 Python 库（pip install taxii2-client）
PyMISP：用于 MISP 情报管理和 IOC 提交的 Python API

常见陷阱

IOC 过期陈旧：IP 地址和域名频繁轮换；应用 1 年前的 IOC 会产生误报。执行 TTL 策略。
缺少上下文：在不了解相关攻击活动或对手的情况下封锁 IOC 可能中断合法业务流量（如与恶意行为者共享的 CDN IP）。
情报重叠但未去重：从五个情报来源导入相同 IOC 却不去重，会导致指标数量膨胀和 SIEM 规则复杂度增加。
TLP 违规：在授权范围之外重新分发 RED 级别情报违反共享协议和信任关系。
对低置信度指标过度封锁：置信度低于 50 的指标应触发仅检测规则，而非封锁规则，以避免运营中断。