building-threat-actor-profile-from-osint

por mukul975

O skill building-threat-actor-profile-from-osint ajuda equipes de threat intelligence a transformar OSINT em perfis estruturados de atores de ameaça. Ele oferece suporte à análise de grupos nomeados ou campanhas, com mapeamento para ATT&CK, correlação de infraestrutura, rastreabilidade das fontes e notas de confiança para uma análise defensável.

Estrelas0

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaThreat Intelligence

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill building-threat-actor-profile-from-osint

Pontuação editorial

Este skill recebeu 66/100, o que significa que é publicável, mas apenas moderadamente forte para usuários do diretório. Ele traz conteúdo real de workflow de threat intelligence, sem placeholders, além de arquivos de código e referência de apoio; ainda assim, os usuários precisarão de algum conhecimento de domínio para instalar e executar com segurança.

66/100

Pontos fortes

Workflow substancial de profiling de atores de ameaça com OSINT, com foco claro em motivações do adversário, infraestrutura e TTPs.
Boa evidência operacional em ativos de apoio: um script em Python, uma referência de API e referências de repositório/arquivos ligadas a MITRE ATT&CK, OTX, Malpedia e ATT&CK Navigator.
Sem sinais de placeholder ou teste בלבד; o corpo do skill é robusto e estruturalmente completo, com vários títulos e seções orientadas a workflow.

Pontos de atenção

O gatilho está apenas moderadamente claro: a seção "When to Use" é genérica e não é muito específica sobre tarefas exatas do agente ou padrões de invocação.
A adoção pode exigir ferramentas e APIs externas (por exemplo, Shodan, SpiderFoot, Maltego, OTX, Malpedia), então a execução não é autônoma.

Osint Threat Actor Mitre Attack Stix Maltego Spiderfoot Cybersecurity

Visão geral

Visão geral da skill building-threat-actor-profile-from-osint

O que esta skill faz

A skill building-threat-actor-profile-from-osint ajuda você a transformar reportagens públicas dispersas em um perfil estruturado de threat actor. Ela foi criada para trabalhos de threat intelligence em que você precisa combinar fontes de OSINT, mapear infraestrutura e resumir motivações, capacidades e TTPs de um jeito que analistas realmente possam usar.

Casos de uso ideais

Use a skill building-threat-actor-profile-from-osint quando precisar de um perfil defensável para um grupo nomeado, um cluster suspeito ou uma campanha. Ela é indicada para analistas que trabalham com relatórios de fornecedores, mapeamento ATT&CK, dados de pulse no estilo OTX, referências STIX e correlação de infraestrutura — não para quem quer apenas resumos genéricos de notícias sobre cibersegurança.

O que a torna útil

Esta skill é mais prática do que um prompt livre porque aponta para etapas repetíveis de profiling e para estruturas de dados consistentes. O material de referência e o script auxiliar incluídos sugerem um fluxo centrado em dados ATT&CK, enriquecimento com OSINT e saída estruturada, o que é muito útil quando você precisa de entregáveis consistentes de threat intelligence.

Como usar a skill building-threat-actor-profile-from-osint

Instale e carregue

Use o caminho building-threat-actor-profile-from-osint install no seu fluxo de skills e, em seguida, abra primeiro skills/building-threat-actor-profile-from-osint/SKILL.md. Se você estiver usando o comando mais amplo de instalação do repositório, verifique se a skill está presente e depois inspecione diretamente a pasta da skill para ver os arquivos de referência e de script que realmente conduzem o workflow.

Comece com a entrada certa

Para um bom building-threat-actor-profile-from-osint usage, forneça um alvo específico o suficiente para pesquisa: nome do ator, alias, campanha, infraestrutura suspeita ou um pacote de fontes que você quer normalizar. Boas entradas incluem:

“Profile APT29 using public reporting, ATT&CK mapping, and known infrastructure.”
“Build a threat actor dossier for this group with confidence notes and source traceability.”
“Correlate public indicators and summarize likely TTPs, aliases, and defensive implications.”

Leia estes arquivos primeiro

Para um building-threat-actor-profile-from-osint guide rápido, revise SKILL.md, depois references/api-reference.md e, por fim, scripts/agent.py. SKILL.md traz a intenção operacional, o arquivo de referência expõe os formatos de dados externos e as APIs que a skill espera, e o script mostra a lógica real de extração e quais campos o workflow pode produzir.

Workflow que gera melhores resultados

Use a skill em três passagens: identifique o alvo, colete e normalize as fontes e, depois, converta a evidência em um perfil com fontes e nível de confiança. O melhor uso de building-threat-actor-profile-from-osint é pedir um dossiê que separe fatos confirmados de vínculos inferidos, porque tarefas com forte peso de atribuição falham quando evidência e julgamento são misturados.

FAQ da skill building-threat-actor-profile-from-osint

Isso é só para Threat Intelligence?

Sim, o caso de uso building-threat-actor-profile-from-osint for Threat Intelligence é o encaixe principal. A skill funciona melhor quando você precisa analisar comportamento de adversários, infraestrutura e sinais públicos de atribuição, e não para gestão genérica de vulnerabilidades ou automação de resposta a incidentes.

Eu já preciso ter ferramentas de OSINT?

Não necessariamente, mas ajuda. O repositório faz referência a ferramentas e fontes de dados como ATT&CK STIX data, AlienVault OTX, Maltego e SpiderFoot, então a skill funciona melhor se você conseguir acessar pelo menos parte dessas entradas ou fontes públicas equivalentes.

É melhor do que um prompt simples?

Geralmente sim, porque a skill oferece uma estrutura mais repetível para profiling, coleta de fontes e alinhamento com ATT&CK. Um prompt simples pode pedir um perfil, mas a configuração da building-threat-actor-profile-from-osint skill é melhor quando você precisa de um workflow mais fácil de repetir, revisar e adaptar.

Quando eu não devo usar?

Não use se você precisa de um resumo rápido em um parágrafo ou se não tem nenhuma identidade-alvo e nenhum material de origem. Esta skill é mais valiosa quando você já tem OSINT suficiente para justificar um perfil real, e não quando quer uma atribuição especulativa com base em uma única pista.

Como melhorar a skill building-threat-actor-profile-from-osint

Dê evidências, não só um nome

O maior ganho de qualidade vem de fornecer material de origem junto com o nome do ator. Para obter melhores resultados com a building-threat-actor-profile-from-osint skill, inclua links, trechos, IOCs, relatórios publicados, aliases, técnicas ATT&CK e datas para que a saída consiga distinguir correlação de suposição.

Peça o formato de perfil de que você precisa

Seja explícito sobre o entregável: resumo executivo, dossiê de analista, mapeamento ATT&CK, tabela de infraestrutura ou avaliação com nível de confiança. Se o resultado for apoiar briefings, peça uma conclusão curta mais um apêndice de evidências; se for apoiar investigações, peça um formato que priorize fontes, indicadores e pontos de pivotagem.

Erros comuns a evitar

O erro mais comum é especificar pouco o alvo, o que leva a uma saída ampla ou ruidosa. Outro problema é pedir certeza de atribuição sem evidência suficiente. Para decisões de building-threat-actor-profile-from-osint install, a skill vale a pena quando você consegue alimentar material suficiente para sustentar correlação; caso contrário, a saída continuará rasa.

Itere com uma segunda passada mais precisa

Depois da primeira passada, refine o perfil pedindo lacunas, alegações contestadas e cobertura faltante de infraestrutura ou TTPs. O melhor fluxo de building-threat-actor-profile-from-osint guide é iterativo: primeiro monte o dossiê, depois solicite uma revisão de confiança e, por fim, peça um resumo defensivo adaptado às necessidades da sua equipe.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

evaluating-threat-intelligence-platforms

por mukul975

evaluating-threat-intelligence-platforms ajuda você a comparar produtos TIP por ingestão de feeds, suporte a STIX/TAXII, automação, fluxo de trabalho do analista, integrações e custo total de propriedade. Use este guia de evaluating-threat-intelligence-platforms para compras, migração ou planejamento de maturidade, incluindo evaluating-threat-intelligence-platforms para Threat Modeling quando a escolha da plataforma afetar rastreabilidade e compartilhamento de evidências.

Threat Modeling

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-insider-threat-behaviors

por mukul975

detecting-insider-threat-behaviors ajuda analistas a caçar sinais de risco interno, como acesso incomum a dados, atividade fora do horário, grandes volumes de download, abuso de privilégios e indícios de roubo próximos à demissão. Use este guia de detecting-insider-threat-behaviors para threat hunting, triagem no estilo UEBA e modelagem de ameaças com modelos de workflow, exemplos de consultas para SIEM e pesos de risco.

Threat Modeling

Favoritos 0GitHub 0

detecting-credential-dumping-techniques

por mukul975

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

Security Audit

Favoritos 0GitHub 0

detecting-command-and-control-over-dns

por mukul975

detecting-command-and-control-over-dns é uma skill de cibersegurança para identificar C2 sobre DNS, incluindo tunneling, beaconing, domínios DGA e abuso de TXT/CNAME. Ela apoia analistas de SOC, threat hunters e auditorias de segurança com checagem de entropia, correlação com passive DNS e fluxos de detecção no estilo Zeek ou Suricata.

Security Audit

Favoritos 0GitHub 0

correlating-security-events-in-qradar

por mukul975

correlating-security-events-in-qradar ajuda equipes de SOC e detecção a correlacionar offenses do IBM QRadar com AQL, contexto de offenses, regras personalizadas e dados de referência. Use este guia para investigar incidentes, reduzir falsos positivos e criar uma lógica de correlação mais forte para resposta a incidentes.

Incident Response

Favoritos 0GitHub 0

auditing-tls-certificate-transparency-logs

por mukul975

A skill de auditoria de logs de Certificate Transparency TLS ajuda equipes de segurança a monitorar logs de Certificate Transparency para domínios próprios, detectar emissões de certificados não autorizadas, descobrir subdomínios expostos por certificados e acompanhar atividades suspeitas de CA com um fluxo de trabalho repetível de Auditoria de Segurança.

Security Audit

Favoritos 0GitHub 0

analyzing-windows-event-logs-in-splunk

por mukul975

A skill de análise de logs de eventos do Windows no Splunk ajuda analistas de SOC a investigar logs de Security, System e Sysmon no Splunk para ataques de autenticação, elevação de privilégio, persistência e movimento lateral. Use-a para triagem de incidentes, engenharia de detecção e análise de linha do tempo, com padrões SPL mapeados e orientação por IDs de evento.

Incident Triage

Favoritos 0GitHub 0

analyzing-windows-amcache-artifacts

por mukul975

A skill analyzing-windows-amcache-artifacts faz o parsing dos dados do Windows Amcache.hve para recuperar evidências de execução de programas, software instalado, atividade de dispositivos e carregamento de drivers em fluxos de trabalho de DFIR e auditoria de segurança. Ela usa o AmcacheParser e orientações baseadas em regipy para apoiar a extração de artefatos, a correlação por SHA-1 e a revisão de linha do tempo.

Security Audit

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Security Audit

Favoritos 0GitHub 0

analyzing-network-traffic-of-malware

por mukul975

A skill analyzing-network-traffic-of-malware ajuda a inspecionar PCAPs e telemetria de execuções em sandbox ou de resposta a incidentes para encontrar C2, exfiltração, downloads de payload, DNS tunneling e ideias de detecção. É um guia prático de analyzing-network-traffic-of-malware para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-indicators-of-compromise

por mukul975

O skill analyzing-indicators-of-compromise ajuda a fazer triagem de IOCs como IPs, domínios, URLs, hashes de arquivos e artefatos de e-mail. Ele oferece suporte a fluxos de inteligência de ameaças para enriquecimento, pontuação de confiança e decisões de bloquear/monitorar/listar como confiável, usando verificações apoiadas por fontes e contexto claro para o analista.

Threat Intelligence

Favoritos 0GitHub 0

analyzing-cyber-kill-chain

por mukul975

A skill analyzing-cyber-kill-chain ajuda a mapear atividades de intrusão na Lockheed Martin Cyber Kill Chain para mostrar o que aconteceu, onde as defesas resistiram ou falharam e quais controles poderiam ter interrompido o ataque mais cedo. É útil para resposta a incidentes, análise de lacunas de detecção e análise de analyzing-cyber-kill-chain para Threat Intelligence.

Threat Intelligence

Favoritos 0GitHub 0

collecting-indicators-of-compromise

por mukul975

Skill collecting-indicators-of-compromise para extrair, enriquecer, pontuar e exportar IOCs a partir de evidências de incidentes. Use em fluxos de Auditoria de Segurança, compartilhamento de threat intel e saída em STIX 2.1 quando você precisar de um guia prático de collecting-indicators-of-compromise em vez de um prompt genérico de resposta a incidentes.

Security Audit

Favoritos 0GitHub 0

detecting-business-email-compromise

por mukul975

A skill detecting-business-email-compromise ajuda analistas, equipes de SOC e respondedores de incidentes a identificar tentativas de BEC usando checagens de cabeçalhos de e-mail, sinais de engenharia social, lógica de detecção e fluxos de trabalho voltados à resposta. Use-a como um guia prático de detecting-business-email-compromise para triagem, validação e contenção.

Incident Response

Favoritos 0GitHub 6.1k

analyzing-command-and-control-communication

por mukul975

analyzing-command-and-control-communication ajuda a analisar tráfego C2 de malware para identificar beaconing, decodificar comandos, mapear a infraestrutura e dar suporte a Security Audit, threat hunting e triagem de malware com evidências baseadas em PCAP e orientação prática de fluxo de trabalho.

Security Audit

Favoritos 0GitHub 0