Manages end-to-end cyber threat intelligence (CTI) lifecycle: planning, collection, processing, analysis, dissemination, and feedback. Use for establishing/maturing CTI programs, defining PIRs, or feedback loops.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
在以下情况下使用本技能:
Manages cyber threat intelligence lifecycle from planning and PIR definition through collection, processing, analysis, dissemination, and feedback. For CTI program maturity and stakeholder alignment.
Manages cyber threat intelligence lifecycle from PIR planning and stakeholder requirements to collection, STIX processing, analysis, dissemination, and feedback for CTI program maturity.
Implements threat intelligence lifecycle management covering planning, collection, processing, analysis, dissemination, and feedback stages using Python with pymisp and stix2 for CTI programs.
Share bugs, ideas, or general feedback.
在以下情况下使用本技能:
请勿使用本技能进行日常 IOC 分类或特定事件情报任务——这些任务使用操作情报工作流,而非生命周期管理。
与相关方定义优先情报需求(PIR):
示例 PIR:"勒索软件组织 Cl0p 目前是否正在使用 MoveIT 或 GoAnywhere 漏洞针对我们行业的组织?"
将 PIR 映射到所需收集来源:
记录收集缺口和填补缺口的相关成本。
实现自动化处理管道:
在三个级别生产情报:
应用结构化分析技术:竞争假设分析(ACH)、关键假设检查、魔鬼代言人。
将产品格式与受众匹配:
按产品类型应用 TLP 分类和分发列表。
在传播后 5 个工作日内收集反馈:
按季度跟踪指标:PIR 覆盖率、IOC 真正率、传播时间、相关方满意度(NPS 或结构化调查)。
| 术语 | 定义 |
|---|---|
| PIR | 优先情报需求——驱动情报收集和分析的具体、可操作问题 |
| 情报生命周期 | 六阶段迭代过程:规划 → 收集 → 处理 → 分析 → 传播 → 反馈 |
| 战略情报 | 用于高层决策的长期威胁趋势分析;时间范围 6-24 个月 |
| 操作情报 | 用于安全计划决策的活动级别分析;时间范围 1-6 个月 |
| 战术情报 | 用于即时检测和拦截的具体 IOC 和 TTP;时间范围数小时至数天 |
| FIRST CTI-SIG | 事件响应和安全团队论坛——CTI 特别兴趣组成熟度模型 |