Ioc

building-ioc-defanging-and-sharing-pipeline 技能，用于提取 IOC，去武装 URL、IP、域名、邮箱和哈希值，然后通过 TAXII 或 MISP 将其转换为 STIX 2.1 并共享，适用于安全审计和威胁情报工作流。

analyzing-supply-chain-malware-artifacts 是一项用于分析恶意软件的技能，专门用于追踪被植入木马的更新、被投毒的依赖项以及构建流水线篡改。可用它来对比可信与不可信工件、提取 IOC、评估受影响范围，并减少猜测地输出调查结果。

面向恶意软件分析的 extracting-iocs-from-malware-samples 技能指南：从样本中提取哈希、IP、域名、URL、主机工件和验证线索，用于威胁情报与检测。

collecting-threat-intelligence-with-misp 技能可帮助你在 MISP 中采集、规范化、搜索并导出威胁情报。可将这份 collecting-threat-intelligence-with-misp 指南用于 feeds、PyMISP 工作流、事件过滤、warninglist 降噪，以及面向 Threat Modeling 和 CTI 运营的实用 collecting-threat-intelligence-with-misp 方法。

collecting-indicators-of-compromise 技能用于从事件证据中提取、丰富、评分并导出 IOC。适合安全审计流程、威胁情报共享，以及需要 STIX 2.1 输出的场景；当你需要的是一份实用的 collecting-indicators-of-compromise 指南，而不是泛化的事件响应提示词时，它会更合适。

building-threat-intelligence-platform 适用于使用 MISP、OpenCTI、TheHive、Cortex、STIX/TAXII 和 Elasticsearch 设计、部署并评审威胁情报平台的技能。可用于安装指引、使用流程，以及基于仓库参考和脚本的 Security Audit 规划。

automating-ioc-enrichment 可帮助用 VirusTotal、AbuseIPDB、Shodan 和 STIX 2.1 自动完成 IOC 富化，适用于 SOAR playbook、Python 流水线和工作流自动化。使用这个 automating-ioc-enrichment 技能，可以标准化分析师可直接使用的上下文，缩短分流时间，并产出可复用的富化结果。

使用 analyzing-threat-landscape-with-misp 技能通过 MISP 分析威胁态势。它会汇总事件统计、IoC 分布、威胁行为者和恶意软件趋势，以及随时间变化的情况，帮助生成威胁情报报告、SOC 简报和狩猎优先级建议。

analyzing-threat-intelligence-feeds 可帮助你摄取 CTI 情报源、规范化指标、评估情报源质量，并为 STIX 2.1 工作流丰富 IOC。这个 analyzing-threat-intelligence-feeds 技能面向威胁情报运营和数据分析，提供 TAXII、MISP 及商业情报源的实用指导。

analyzing-threat-actor-ttps-with-mitre-attack 技能可帮助将威胁报告映射到 MITRE ATT&CK 的战术、技术和子技术，构建覆盖视图，并优先识别检测缺口。它包含报告模板、ATT&CK 参考资料，以及用于技术查询和缺口分析的脚本，因此很适合 CTI、SOC、检测工程和威胁建模场景。

analyzing-indicators-of-compromise 可帮助对 IP、域名、URL、文件哈希和邮件痕迹等 IOC 进行分流研判。它支持威胁情报工作流，可基于有来源支撑的检查和清晰的分析员上下文，完成补充信息、置信度评分以及封禁/监控/白名单决策。