Generates structured cyber threat intelligence reports at strategic, operational, and tactical levels tailored to executives, SOC teams, and analysts. For CTI writing, threat briefings, industry summaries, and post-incident assessments.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
在以下情况下使用本技能:
Generates structured cyber threat intelligence reports at strategic, operational, tactical, and flash levels for executives, SOC teams, and analysts from raw data or assessments.
Generates structured cyber threat intelligence reports at strategic, operational, and tactical levels for executives, SOC teams, and analysts from raw data.
Manages end-to-end cyber threat intelligence (CTI) lifecycle: planning, collection, processing, analysis, dissemination, and feedback. Use for establishing/maturing CTI programs, defining PIRs, or feedback loops.
Share bugs, ideas, or general feedback.
在以下情况下使用本技能:
请勿使用本技能进行原始 IOC 分发——使用 TIP/MISP 进行自动化 IOC 共享,将报告生成保留用于经过分析的完成情报。
选择合适的情报产品类型:
战略情报报告:面向 C 级高管、董事会、风险委员会
操作情报报告:面向 CISO、安全总监、IR 负责人
战术情报简报:面向 SOC 分析师、威胁猎手、漏洞管理人员
闪报:针对即将发生或活跃威胁的紧急通知
应用来自政府和专业实践的情报写作标准:
标题/关键判断:以简洁语言表述最重要的发现。
置信度限定词(使用 DNI ICD 203 的语言):
证据归因:使用参考编号 [1]、[2] 引用来源;在 TLP:AMBER/RED 产品中保持来源匿名。
使用结构化格式:
执行摘要(3-5 个要点):关键发现、即时业务风险、首要建议行动
威胁概述:对手是谁?他们的目标是什么?这对我们为何重要?
技术分析:带有 ATT&CK 技术 ID 的 TTP、IOC、观察到的活动行为
影响评估:攻击成功时的潜在操作、财务、声誉影响
建议行动:按优先级排列、有时限的防御措施,并指定责任方
附录:完整 IOC 列表、YARA 规则、Sigma 检测、原始来源参考
根据来源敏感性和共享协议选择 TLP:
在每页页眉和页脚包含 TLP 水印。
分发前进行以下检查:
| 术语 | 定义 |
|---|---|
| 完成情报 | 经过分析、情境化的情报产品,可供决策者直接使用;与原始收集数据不同 |
| 关键判断 | 报告的主要分析结论;在开篇段落中清晰表述 |
| TLP | 流量标记协议——FIRST 标准的分类系统,用于控制情报共享范围 |
| ICD 203 | 情报社区指令 203——美国政府分析标准,包括置信度语言 |
| 闪报 | 针对即将发生威胁的紧急、时效性情报通知;优先速度而非深度 |
| 情报缺口 | 收集不足以回答 PIR 的领域;应在报告中明确记录 |