Skill

executing-diamond-model-analysis

Applies Diamond Model to structure intrusions into adversary, capability, infrastructure, and victim vertices with relationships for investigation, attribution, and event clustering to common threat actors. For post-incident analysis and threat intel products.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

在以下情况下使用本技能：

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

implementing-diamond-model-analysis

Implements Diamond Model for cyber intrusion analysis in Python: classifies events by adversary/capability/infrastructure/victim, builds activity threads and attack graphs with NetworkX. For threat intelligence from intrusion data.

7 files

cybersecurity-skills-zh

analyzing-cyber-kill-chain

5.9k

Analyzes intrusions against Lockheed Martin Cyber Kill Chain to map adversary phases, defense gaps, and preventive controls for post-incident analysis and security planning.

3 files

cybersecurity-skills

analyzing-cyber-kill-chain

Maps intrusion activity to Lockheed Martin Cyber Kill Chain phases, identifies completed stages, defense gaps, and preventive controls. For post-incident analysis, security control design, and detection mapping.

asi

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

执行菱形模型分析

适用场景

在以下情况下使用本技能：

分析已确认的入侵事件，了解完整的对手-能力-基础设施-受害者关系
尝试使用共享基础设施或能力指标，将两起或多起事件关联到共同的威胁行为者
构建在正式分析框架中解释对手行为的完成情报产品

请勿使用本技能进行主动事件遏制——菱形模型分析是事后或同步进行的情报活动，而非响应程序。

前置条件

已完成的事件调查数据：日志、取证产物、恶意软件样本、网络捕获
可访问 MITRE ATT&CK、VirusTotal、Shodan 和被动 DNS 数据库，用于顶点富化
链接分析平台（Maltego、Analyst's Notebook 或 Neo4j 等图数据库），用于多事件关联
熟悉菱形模型原始论文：Caltagirone、Pendergast、Betz（2013）

工作流程

步骤 1：填充四个核心顶点

对手顶点：谁实施了活动？

操作者（直接键盘访问）与客户（委托攻击的人）的区别
归因置信度（低/中/高），附支持证据
已知别名、ATT&CK 组织 ID、行业目标历史

能力顶点：使用了哪些工具和技术？

恶意软件家族：名称、YARA 签名、行为特征
漏洞利用：利用的 CVE、利用工具包标识符
使用的 ATT&CK 技术（T 编号）
能力复杂程度：商业（现货）vs. 定制开发

基础设施顶点：使用了哪些系统实施攻击？

C2 服务器：IP、域名、托管提供商、证书指纹
投递基础设施：网络钓鱼域名、水坑攻击、受攻击服务器
操作中继节点（ORB）：隐藏真实来源的中间代理

受害者顶点：针对谁/什么？

组织画像：行业、规模、地区、技术栈
角色：被针对的特定个人（CISO、财务团队、高管）
目标资产：知识产权、金融系统、OT/ICS

步骤 2：识别顶点关系（边）

记录顶点间的关系：

对手 → 使用 → 能力（恶意软件开发/部署关系）
对手 → 使用 → 基础设施（操作关系）
基础设施 → 投递 → 能力（技术投递机制）
能力 → 针对 → 受害者（攻击面关系）
基础设施 → 攻击 → 受害者（直接连接）

每条边至少应有两个独立数据点支撑（基于证据，而非推断）。

步骤 3：应用元特征进行富化

元特征提供超出四顶点的额外上下文：

时间戳：入侵每个阶段何时发生？映射到网络杀伤链阶段。

阶段：此活动代表哪个杀伤链阶段？

侦察 → 武器化 → 投递 → 利用 → 安装 → C2 → 目标行动

方向：攻击方向（外部到内部、内部到外部用于数据渗出）

结果：每个对手行动的结果（成功/失败/部分）

资源：对手投入的资源（时间、金钱、基础设施成本、零日使用）

步骤 4：使用顶点枢纽聚类事件

应用菱形模型枢纽逻辑聚类相关事件：

基础设施枢纽：多起事件使用相同的 C2 IP → 相同或相关的对手
能力枢纽：相同的恶意软件哈希或 YARA 签名 → 相同的工具开发者
对手枢纽：相同的受害者学模式（行业+地区+资产类型）→ 相同的目标标准
受害者枢纽：同一受害者出现在多起事件中 → 针对该组织的持续性活动

事件 A：IP 185.220.101.x，域名 evil-redir[.]com，SUNBURST 恶意软件变种
事件 B：IP 185.220.101.y（同一 /24），域名 redir-evil[.]com，修改版 SUNBURST
→ 基础设施聚类（同一 /24 块）+ 能力聚类（同一恶意软件家族）= 高置信度同一行为者

步骤 5：生成结构化分析输出

以结构化格式记录分析：

每个独立入侵事件的菱形事件图
跨时间连接多个事件的活动线索
带有置信度评估的活动组（聚类）
竞争假说分析：带有证据加权的替代归因解释（ACH 方法论）

核心概念

术语	定义
菱形模型	入侵分析框架，包含四个顶点（对手、能力、基础设施、受害者），通过代表关系的边相连
活动线索	代表单一对手行动的按时间排列的菱形事件序列
活动组	通过共享顶点属性关联的菱形事件集群，表明存在共同对手
操作者 vs. 客户	菱形模型区分：操作者拥有键盘访问权限；客户指挥/资助行动
枢纽	使用已知顶点值发现其他相关事件或基础设施（例如一个 IP 揭示 20 多个 C2 域名）
ACH	竞争假说分析——用于评估多个归因假说证据的结构化分析技术

工具与系统

Maltego：基于图谱的链接分析，非常适合可视化菱形顶点关系和基础设施枢纽
Neo4j：用于大规模存储和查询复杂菱形事件集群的图数据库；支持 Cypher 查询语言
MISP：通过 MISP Galaxy 和关联引擎支持菱形模型元特征标记
Analyst's Notebook（IBM i2）：执法/情报级别的链接分析，用于对手关系映射

常见陷阱

混淆操作者和客户：不区分实施攻击者和指挥攻击者会导致错误的归因目标。
基础设施重用假设：防弹托管提供商向多个犯罪组织出售相同的 IP 块。没有额外佐证时，共享 IP ≠ 相同行为者。
无置信度级别的分析：没有置信度限定词呈现的菱形模型结论，显得比证据所支持的更确定。
忽视受害者顶点：分析通常过度关注对手/能力，忽视受害者表征，而受害者表征对预测未来目标至关重要。
静态图表：菱形事件应有时间戳，并随新证据出现而更新。没有版本历史的静态图表会掩盖分析演变。