Stix

building-ioc-defanging-and-sharing-pipeline 技能，用于提取 IOC，去武装 URL、IP、域名、邮箱和哈希值，然后通过 TAXII 或 MISP 将其转换为 STIX 2.1 并共享，适用于安全审计和威胁情报工作流。

analyzing-campaign-attribution-evidence 帮助分析师综合评估基础设施重叠、ATT&CK 一致性、恶意软件相似性、时间线和语言痕迹，以形成更有依据的 campaign 归因结论。适用于 CTI、事件分析和 Security Audit 复核的 analyzing-campaign-attribution-evidence 指南。

evaluating-threat-intelligence-platforms 可帮助你从情报源接入、STIX/TAXII 支持、自动化、分析师工作流、集成能力和总体拥有成本等维度，对 TIP 产品进行对比评估。可将这份 evaluating-threat-intelligence-platforms 指南用于采购、迁移或成熟度规划；在平台选型会影响可追溯性和证据共享时，也适用于 Threat Modeling 场景下的 evaluating-threat-intelligence-platforms。

correlating-threat-campaigns 可帮助威胁情报分析师将事件、IOC 和 TTP 关联为以 campaign 为单位的证据。可用于对比历史事件、区分强关联与弱匹配，并为 MISP、SIEM 和 CTI 报告构建更有说服力的聚类分析。

collecting-threat-intelligence-with-misp 技能可帮助你在 MISP 中采集、规范化、搜索并导出威胁情报。可将这份 collecting-threat-intelligence-with-misp 指南用于 feeds、PyMISP 工作流、事件过滤、warninglist 降噪，以及面向 Threat Modeling 和 CTI 运营的实用 collecting-threat-intelligence-with-misp 方法。

collecting-indicators-of-compromise 技能用于从事件证据中提取、丰富、评分并导出 IOC。适合安全审计流程、威胁情报共享，以及需要 STIX 2.1 输出的场景；当你需要的是一份实用的 collecting-indicators-of-compromise 指南，而不是泛化的事件响应提示词时，它会更合适。

building-threat-intelligence-platform 适用于使用 MISP、OpenCTI、TheHive、Cortex、STIX/TAXII 和 Elasticsearch 设计、部署并评审威胁情报平台的技能。可用于安装指引、使用流程，以及基于仓库参考和脚本的 Security Audit 规划。

building-threat-actor-profile-from-osint 可帮助威胁情报团队将 OSINT 转化为结构化的威胁行为者画像。它支持对已命名的组织或活动进行画像分析，并提供 ATT&CK 映射、基础设施关联、来源可追溯性和置信度说明，便于形成可辩护的分析结论。

analyzing-threat-intelligence-feeds 可帮助你摄取 CTI 情报源、规范化指标、评估情报源质量，并为 STIX 2.1 工作流丰富 IOC。这个 analyzing-threat-intelligence-feeds 技能面向威胁情报运营和数据分析，提供 TAXII、MISP 及商业情报源的实用指导。

analyzing-threat-actor-ttps-with-mitre-attack 技能可帮助将威胁报告映射到 MITRE ATT&CK 的战术、技术和子技术，构建覆盖视图，并优先识别检测缺口。它包含报告模板、ATT&CK 参考资料，以及用于技术查询和缺口分析的脚本，因此很适合 CTI、SOC、检测工程和威胁建模场景。

analyzing-indicators-of-compromise 可帮助对 IP、域名、URL、文件哈希和邮件痕迹等 IOC 进行分流研判。它支持威胁情报工作流，可基于有来源支撑的检查和清晰的分析员上下文，完成补充信息、置信度评分以及封禁/监控/白名单决策。