cti-expert MCP — حالات الاستخدام, التثبيت & عرض مباشر

لماذا تستخدمه

الميزات الأساسية

اختصارات أوامر 67+ للمهام الشائعة في ذكاء التهديدات
35 تقنية تحليلية (ACH, diamond model, SATs)
مساعدات تعيين MITRE ATT&CK
OSINT عام فقط — بدون مفاتيح API، بدون خدمات مدفوعة مطلوبة
قوالب إعداد تقارير منظمة (تنفيذي، تكتيكي، تقني)

عرض مباشر

كيف يبدو في الممارسة

cti-expert-skill.replay ▶ جاهز

0/0

التثبيت

اختر العميل

~/Library/Application Support/Claude/claude_desktop_config.json · Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

افتح Claude Desktop → Settings → Developer → Edit Config. أعد التشغيل بعد الحفظ.

~/.cursor/mcp.json · .cursor/mcp.json

{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

يستخدم Cursor نفس مخطط mcpServers مثل Claude Desktop. إعدادات المشروع أولى من الإعدادات العامة.

VS Code → Cline → MCP Servers → Edit

{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

انقر على أيقونة MCP Servers في شريط Cline الجانبي، ثم "Edit Configuration".

~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

نفس الصيغة مثل Claude Desktop. أعد تشغيل Windsurf لتطبيق التغييرات.

~/.continue/config.json

{
  "mcpServers": [
    {
      "name": "cti-expert-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ]
    }
  ]
}

يستخدم Continue مصفوفة من كائنات الخادم بدلاً من خريطة.

~/.config/zed/settings.json

{
  "context_servers": {
    "cti-expert-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/7onez/cti-expert",
          "~/.claude/skills/cti-expert"
        ]
      }
    }
  }
}

أضف إلى context_servers. يعيد Zed التحميل تلقائيًا عند الحفظ.

claude mcp add cti-expert-skill -- git clone https://github.com/7onez/cti-expert ~/.claude/skills/cti-expert

أمر من سطر واحد. تحقق باستخدام claude mcp list. احذف باستخدام claude mcp remove.

حالات الاستخدام

استخدامات عملية: cti-expert

كيفية إثراء مؤشر مريب (IP, domain, hash) باستخدام OSINT عام

👤 محللو SOC, مستجيبو الحوادث, مهندسو الفريق الأزرق ⏱ ~15 min intermediate

متى تستخدمه: لديك IOC من تنبيه وتحتاج إلى سياق قبل الإبلاغ عنه

المتطلبات الأساسية

تم استنساخ المهارة — git clone https://github.com/7onez/cti-expert ~/.claude/skills/cti-expert

الخطوات

قدم المؤشر

أثرِ 185.234.218.95 باستخدام OSINT عام — WHOIS, passive DNS (free sources), reputation feeds✓ تم النسخ

→ سياق منظم: ASN, geo, historical resolutions, known bad
عيّن إلى MITRE ATT&CK إن أمكن

إذا تطابق هذا مع حملة معروفة، عيّنه إلى ATT&CK tactics/techniques✓ تم النسخ

→ قائمة TTP مع ATT&CK IDs
اكتب التقرير

أنتج تقريراً تكتيكياً: ما هو، مستوى الثقة، الإجراءات الموصى بها✓ تم النسخ

→ تقرير موجز وموجه نحو القرار

النتيجة: إثراء يمكن الدفاع عنه يمكنك إرفاقه بتذكرة في دقائق

المزالق

معاملة درجات السمعة كحقيقة مطلقة — سجل المصدر + التاريخ؛ اذكر الثقة بوضوح
استعلامات OSINT قد تنبه الهدف عن غير قصد — استخدم المصادر السلبية فقط؛ بدون فحص نشط

اجمعها مع: filesystem

صيغ مسودة تقرير حملة من عدد قليل من الأثريات

👤 محللو ذكاء التهديدات الذين ينتجون تقارير داخلية ⏱ ~45 min advanced

متى تستخدمه: طُلب منك تحويل مجموعة من IOCs, TTPs, والملاحظات إلى ملخص قابل للقراءة

الخطوات

جميع الأثريات

فيما يلي IOCs والملاحظات. جميعها حسب diamond-model facet (adversary, capability, infra, victim)✓ تم النسخ

→ تجميع على شكل diamond-model
عيّن إلى ATT&CK

عيّن السلوكيات المرصودة إلى ATT&CK؛ لاحظ فجوات التغطية✓ تم النسخ

→ مصفوفة التغطية
اكتب الملخص

أنتج قسماً تنفيذياً، وقسماً تكتيكياً، وملحق IOC✓ تم النسخ

→ تقرير من 3 أجزاء

النتيجة: تقرير متسق وموزع حسب الجمهور جاهز للمراجعة

المزالق

تضخيم لغة الثقة ('almost certainly') — فرض qualifiers بأسلوب IC (high/moderate/low) مع التفكير

قم بتشغيل ACH (Analysis of Competing Hypotheses) walk-through

👤 محللون يتعاملون مع نسبة غامضة ⏱ ~30 min advanced

متى تستخدمه: يمكن لعدة جهات فاعلة أن تشرح الأدلة؛ تريد هيكلاً قبل اختيار واحدة

الخطوات

قائمة الفرضيات + الأدلة

Hypotheses: H1, H2, H3. Evidence: E1–E10. قم بإعداد مصفوفة ACH✓ تم النسخ

→ مصفوفة مع علامات اتساق لكل خلية
حدد الأدلة التشخيصية

أي عناصر الأدلة لها أعلى قيمة تشخيصية؟✓ تم النسخ

→ الأدلة مرتبة حسب القدرة على التمييز
قرر الفرضية الأقل تضاربا

اختر الفرضية الأقل تضاربا وأدرج ما سيقلبها✓ تم النسخ

→ Selection + counter-evidence triggers

النتيجة: قرار نسبة شفاف مع تفكير موثق

المزالق

التثبيت على الفرضية الأولى — فرض المصفوفة أولاً، الاستنتاج أخيراً

التركيبات

اجمعها مع خوادم MCP أخرى لتحقيق نتائج x10

cti-expert-skill + filesystem

معالجة دليل من التنبيهات الأولية إلى النتائج المنظمة

أثرِ كل IOC تحت alerts/2025-04-01/ وأنتج تقريراً تكتيكياً يومياً موحداً✓ تم النسخ

الأدوات

ما يوفره هذا الـ MCP

الأداة	المدخلات	متى تستدعيها	التكلفة
indicator-enrichment	IOC (IP/domain/hash/URL)	فرز أي مؤشر قادم	free OSINT queries
attck-mapping	observed behaviors	عند كتابة الحملات أو الكشف	0
structured-analytic-techniques	hypotheses + evidence	مشاكل التحليل الغامضة	0
report-templates	findings	خطوة الإبلاغ النهائية	0

التكلفة والحدود

تكلفة التشغيل

حصة API: يعتمد على مصادر OSINT المستخدمة؛ جميع المصادر الافتراضية مجانية
الرموز لكل استدعاء: 2–10k tokens لكل سير عمل مؤشر
التكلفة المالية: مجاني
نصيحة: ابدأ بالمصادر السلبية فقط؛ أضف خدمات مدفوعة فقط إذا كانت فجوات التغطية تبررها

الأمان

الصلاحيات والأسرار ونطاق الأثر

تخزين بيانات الاعتماد: لا شيء بشكل افتراضي؛ أي مفتاح API للخدمة المدفوعة يعيش في env vars

نقل البيانات الخارجي: فقط نقاط نهاية OSINT التي تسمح قائمتك

استخدام دفاعي صارم — لا تستخدم ناتج الإثراء لاستهداف الأفراد أو المنظمات
قد يتم تسجيل استعلامات OSINT بواسطة البنية التحتية للهدف؛ فضل المصادر السلبية
احترم الأطر القانونية (GDPR, data protection) عند التعامل مع IOCs المرتبطة بالأشخاص

استكشاف الأخطاء

الأخطاء الشائعة وحلولها

تم الحد من المعدل بواسطة مصدر عام

قيد أو تبديل إلى مصدر بديل — نقاط نهاية OSINT كثيرة حساسة

Claude يتخيل نتيجة إثراء

طلب اقتباسات لكل مطالبة؛ رفض الإثراء بدون مصدر

تعيين ATT&CK عام جداً

قدم سلوكيات ملموسة (processes, commands, network patterns)، وليس ملخصات عالية المستوى

البدائل

cti-expert مقابل البدائل

البديل	متى تستخدمها	المقايضة
claude-cybersecurity-skill	تريد مهارات أمان أوسع، وليس فقط CTI	أوسع لكن أقل عمقاً في تفاصيل CTI
claude-security-research-skill	أنت تبحث عن الثغرات بدلاً من فرز المؤشرات	وظيفة مختلفة تماماً

cti-expert

لماذا تستخدمه

الميزات الأساسية

عرض مباشر

كيف يبدو في الممارسة

التثبيت

اختر العميل

حالات الاستخدام

استخدامات عملية: cti-expert

كيفية إثراء مؤشر مريب (IP, domain, hash) باستخدام OSINT عام

المتطلبات الأساسية

الخطوات

المزالق

صيغ مسودة تقرير حملة من عدد قليل من الأثريات

الخطوات

المزالق

قم بتشغيل ACH (Analysis of Competing Hypotheses) walk-through

الخطوات

المزالق

التركيبات

اجمعها مع خوادم MCP أخرى لتحقيق نتائج x10

الأدوات

ما يوفره هذا الـ MCP

التكلفة والحدود

تكلفة التشغيل

الأمان

الصلاحيات والأسرار ونطاق الأثر

استكشاف الأخطاء

الأخطاء الشائعة وحلولها

البدائل

cti-expert مقابل البدائل

المزيد

الموارد