/ Directorio / Playground / cti-expert
← Todos los servidores ↗ GitHub
● Comunidad 7onez ⚡ Instantáneo

cti-expert

por 7onez · 7onez/cti-expert

Habilidad de análisis defensivo de CTI + OSINT para Claude Code — 67+ comandos y 35 técnicas, sin necesidad de claves API.

cti-expert convierte Claude Code en un analista junior de inteligencia de amenazas cibernéticas: enumera técnicas analíticas (ACH, SATs, modelo diamond, mapeo de kill-chain), extrae OSINT de fuentes públicas, y redacta hallazgos en formatos estructurados (compatibles con STIX, alineados con MITRE ATT&CK). Es una habilidad defensiva — no incluye herramientas ofensivas ni exploits.

▶ Ver demo 📦 Instalar 💡 Casos de uso

Por qué usarlo

Características clave

Demo en vivo

Cómo se ve en la práctica

cti-expert-skill.replay ▶ listo
0/0

Instalar

Elige tu cliente

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

Abre Claude Desktop → Settings → Developer → Edit Config. Reinicia después de guardar.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

Cursor usa el mismo esquema mcpServers que Claude Desktop. La configuración del proyecto prevalece sobre la global.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

Haz clic en el icono MCP Servers de la barra lateral de Cline y luego en "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

Mismo formato que Claude Desktop. Reinicia Windsurf para aplicar.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "cti-expert-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ]
    }
  ]
}

Continue usa un array de objetos de servidor en lugar de un mapa.

~/.config/zed/settings.json
{
  "context_servers": {
    "cti-expert-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/7onez/cti-expert",
          "~/.claude/skills/cti-expert"
        ]
      }
    }
  }
}

Añádelo a context_servers. Zed recarga en caliente al guardar.

claude mcp add cti-expert-skill -- git clone https://github.com/7onez/cti-expert ~/.claude/skills/cti-expert

Un solo comando. Verifica con claude mcp list. Quita con claude mcp remove.

Casos de uso

Usos del mundo real: cti-expert

Cómo enriquecer un indicador sospechoso (IP, dominio, hash) con OSINT público

👤 Analistas de SOC, responsables de incidentes, ingenieros de blue-team ⏱ ~15 min intermediate

Cuándo usarlo: Tienes un IOC de una alerta y necesitas contexto antes de escalar.

Requisitos previos
  • Habilidad clonada — git clone https://github.com/7onez/cti-expert ~/.claude/skills/cti-expert
Flujo
  1. Envía el indicador
    Enriquece 185.234.218.95 usando OSINT público — WHOIS, DNS pasivo (fuentes gratuitas), feeds de reputación.✓ Copiado
    → Contexto estructurado: ASN, geo, resoluciones históricas, malicioso confirmado
  2. Mapea a MITRE ATT&CK si procede
    Si esto coincide con una campaña conocida, mapea a tácticas/técnicas ATT&CK.✓ Copiado
    → Lista de TTP con IDs ATT&CK
  3. Redacta
    Produce un informe táctico: qué es, nivel de confianza, acciones recomendadas.✓ Copiado
    → Redacción breve y orientada a decisiones

Resultado: Un enriquecimiento defendible que puedas adjuntar a un ticket en minutos.

Errores comunes
  • Tratar puntuaciones de reputación como verdad absoluta — Registra la fuente + fecha; anota confianza explícitamente
  • Las consultas OSINT accidentalmente alertan al objetivo — Usa solo fuentes pasivas; sin escaneo activo
Combinar con: filesystem

Redacta un informe de campaña a partir de un puñado de artefactos

👤 Analistas de CTI que producen informes internos ⏱ ~45 min advanced

Cuándo usarlo: Te han pedido que conviertas un montón de IOCs, TTPs y notas en un resumen legible.

Flujo
  1. Agrupa los artefactos
    Aquí están los IOCs y las notas. Agrúpalos por faceta del modelo diamond (adversario, capacidad, infra, víctima).✓ Copiado
    → Agrupamiento con forma de modelo diamond
  2. Mapea a ATT&CK
    Mapea comportamientos observados a ATT&CK; anota brechas de cobertura.✓ Copiado
    → Matriz de cobertura
  3. Redacta el resumen
    Produce una sección ejecutiva, una sección táctica, y un apéndice de IOCs.✓ Copiado
    → Informe de 3 partes

Resultado: Un informe coherente, estructurado por audiencia, listo para revisión.

Errores comunes
  • Inflar lenguaje de confianza ('casi seguramente') — Fuerza calificadores al estilo IC (alto/moderado/bajo) con razonamientos

Ejecuta un análisis ACH (Análisis de Hipótesis Competidoras)

👤 Analistas lidiando con atribución ambigua ⏱ ~30 min advanced

Cuándo usarlo: Múltiples actores podrían explicar la evidencia; quieres estructura antes de elegir uno.

Flujo
  1. Lista hipótesis + evidencia
    Hipótesis: H1, H2, H3. Evidencia: E1–E10. Configura la matriz ACH.✓ Copiado
    → Matriz con marcas de consistencia por celda
  2. Identifica evidencia diagnóstica
    ¿Qué elementos de evidencia tienen mayor valor diagnóstico?✓ Copiado
    → Evidencia clasificada por capacidad de discriminación
  3. Reporta la hipótesis menos inconsistente
    Elige la hipótesis menos inconsistente e lista qué la invertiría.✓ Copiado
    → Selección + desencadenantes de contra-evidencia

Resultado: Una decisión de atribución transparente con razonamiento documentado.

Errores comunes
  • Anclarse en la primera hipótesis — Fuerza la matriz primero, conclusión al final

Combinaciones

Combínalo con otros MCPs para multiplicar por 10

cti-expert-skill + filesystem

Procesar un directorio de alertas brutas en hallazgos estructurados

Enriquece todos los IOC bajo alerts/2025-04-01/ y produce un informe táctico diario consolidado.✓ Copiado

Herramientas

Lo que expone este MCP

HerramientaEntradasCuándo llamarCoste
indicator-enrichment IOC (IP/dominio/hash/URL) Triaje de cualquier indicador entrante consultas OSINT gratuitas
attck-mapping comportamientos observados Al redactar campañas o detecciones 0
structured-analytic-techniques hipótesis + evidencia Problemas de análisis ambiguos 0
report-templates hallazgos Paso final de informes 0

Coste y límites

Lo que cuesta ejecutarlo

Cuota de API
depende de las fuentes OSINT usadas; todas las fuentes predeterminadas son gratuitas
Tokens por llamada
2–10k tokens por flujo de indicador
Monetario
gratuito
Consejo
Comienza solo con fuentes pasivas; añade feeds de pago solo si las brechas de cobertura lo justifican

Seguridad

Permisos, secretos, alcance

Almacenamiento de credenciales: ninguno por defecto; cualquier cllave API de feed de pago vive en variables de entorno
Salida de datos: solo los endpoints OSINT que permitas

Resolución de problemas

Errores comunes y soluciones

Limitación de velocidad por una fuente pública

Reduce la velocidad o cambia a una fuente alternativa — muchos endpoints OSINT son sensibles

Claude alucina un resultado de enriquecimiento

Requiere citas para cada afirmación; rechaza enriquecimiento sin fuentes

El mapeo ATT&CK es demasiado genérico

Proporciona comportamientos concretos (procesos, comandos, patrones de red), no resúmenes de alto nivel

Alternativas

cti-expert vs otros

AlternativaCuándo usarlaContrapartida
claude-cybersecurity-skillQuieres habilidades de seguridad más amplias, no solo CTIMás amplia pero menos profunda en especificidades CTI
claude-security-research-skillEstás investigando vulnerabilidades en lugar de triajear indicadoresTrabajo completamente diferente

Más

Recursos

📖 Lee el README oficial en GitHub

🐙 Ver issues abiertas

🔍 Ver todos los 400+ servidores MCP y Skills