/ 目錄 / 演練場 / cti-expert
← 全部伺服器 ↗ GitHub
● 社群 7onez ⚡ 即開即用

cti-expert

作者 7onez · 7onez/cti-expert

Claude Code 的防禦性 CTI + OSINT 分析技能 — 67+ 個指令與 35 種技術,無需 API 金鑰。

cti-expert 將 Claude Code 轉化為初級網路威脅情報分析師:枚舉分析技術(ACH、SATs、鑽石模型、殺傷鏈對映),從公開來源擷取 OSINT,並以結構化格式(STIX 風格、對齊 MITRE ATT&CK)輸出分析結果。本技能專注於防禦用途 — 不包含任何攻擊性或漏洞利用工具。

▶ 觀看演示 📦 安裝 💡 使用場景

為什麼要用

核心特性

即時演示

實際使用效果

cti-expert-skill.replay ▶ 就緒
0/0

安裝

選擇你的客戶端

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

開啟 Claude Desktop → Settings → Developer → Edit Config。儲存後重啟應用。

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

Cursor 使用與 Claude Desktop 相同的 mcpServers 格式。專案級設定優先於全域。

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

點擊 Cline 側欄中的 MCP Servers 圖示,然後選 "Edit Configuration"。

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "cti-expert-skill": {
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ],
      "_inferred": true
    }
  }
}

格式與 Claude Desktop 相同。重啟 Windsurf 生效。

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "cti-expert-skill",
      "command": "git",
      "args": [
        "clone",
        "https://github.com/7onez/cti-expert",
        "~/.claude/skills/cti-expert"
      ]
    }
  ]
}

Continue 使用伺服器物件陣列,而非映射。

~/.config/zed/settings.json
{
  "context_servers": {
    "cti-expert-skill": {
      "command": {
        "path": "git",
        "args": [
          "clone",
          "https://github.com/7onez/cti-expert",
          "~/.claude/skills/cti-expert"
        ]
      }
    }
  }
}

加入 context_servers。Zed 儲存後熱重載。

claude mcp add cti-expert-skill -- git clone https://github.com/7onez/cti-expert ~/.claude/skills/cti-expert

一行命令搞定。用 claude mcp list 驗證,claude mcp remove 移除。

使用場景

實戰用法: cti-expert

如何使用公開 OSINT 豐富可疑指標(IP、網域、雜湊值)的情境資訊

👤 SOC 分析師、事件應變人員、藍隊工程師 ⏱ ~15 min intermediate

何時使用: 當你從告警中取得 IOC,需要在升級前先了解背景資訊時。

前置條件
  • 技能已複製 — git clone https://github.com/7onez/cti-expert ~/.claude/skills/cti-expert
步驟
  1. 提交指標
    Enrich 185.234.218.95 using public OSINT — WHOIS, passive DNS (free sources), reputation feeds.✓ 已複製
    → 結構化情境資訊:ASN、地理位置、歷史解析紀錄、已知惡意紀錄
  2. 視情況對映至 MITRE ATT&CK
    If this matches a known campaign, map to ATT&CK tactics/techniques.✓ 已複製
    → 含 ATT&CK ID 的 TTP 清單
  3. 撰寫報告
    Produce a tactical report: what it is, confidence level, recommended actions.✓ 已複製
    → 簡短且以決策為導向的報告

結果: 可作為附件加入工單的完整豐富分析,數分鐘內即可完成。

注意事項
  • 將聲譽評分視為最終事實 — 記錄來源與日期;明確標注信心等級
  • OSINT 查詢不慎警示目標 — 僅使用被動來源;不進行主動掃描
搭配使用: filesystem

根據少量鑑識素材撰寫攻擊活動報告

👤 負責產出內部報告的 CTI 分析師 ⏱ ~45 min advanced

何時使用: 當你需要將一堆 IOC、TTP 和筆記整理成可讀簡報時。

步驟
  1. 整合素材
    Here are the IOCs and notes. Cluster them by diamond-model facet (adversary, capability, infra, victim).✓ 已複製
    → 依鑽石模型各面向分群的結果
  2. 對映至 ATT&CK
    Map observed behaviors to ATT&CK; note coverage gaps.✓ 已複製
    → 覆蓋率矩陣
  3. 撰寫簡報
    Produce an executive section, a tactical section, and an IOC appendix.✓ 已複製
    → 三段式報告

結果: 一份結構一致、針對不同受眾分層的報告,可直接送審。

注意事項
  • 使用過度自信的語言(「幾乎可以確定」) — 強制套用 IC 風格的信心限定詞(高/中/低),並附上推理依據

執行 ACH(競爭假設分析)流程演練

👤 面對模糊歸因問題的分析師 ⏱ ~30 min advanced

何時使用: 多個威脅行為者都可能解釋現有證據,需要在做出判斷前建立分析結構時。

步驟
  1. 列出假設與證據
    Hypotheses: H1, H2, H3. Evidence: E1–E10. Set up the ACH matrix.✓ 已複製
    → 每個儲存格標有一致性評估的矩陣
  2. 找出具鑑別力的證據
    Which evidence items have the highest diagnostic value?✓ 已複製
    → 依鑑別能力排序的證據清單
  3. 報告矛盾最少的假設
    Pick the least-inconsistent hypothesis and list what would flip it.✓ 已複製
    → 最終選擇結果 + 可推翻判斷的反向證據觸發條件

結果: 一個有文件化推理依據、可說明的歸因決策。

注意事項
  • 先入為主地錨定在第一個假設 — 先完成矩陣,最後才下結論

組合

與其他 MCP 搭配,撬動十倍槓桿

cti-expert-skill + filesystem

將目錄中的原始告警批次處理成結構化分析結果

Enrich every IOC under alerts/2025-04-01/ and produce a consolidated daily tactical report.✓ 已複製

工具

此 MCP 暴露的能力

工具輸入參數何時呼叫成本
indicator-enrichment IOC (IP/domain/hash/URL) 對任何進入的指標進行初步分類時 free OSINT queries
attck-mapping observed behaviors 撰寫攻擊活動或偵測規則報告時 0
structured-analytic-techniques hypotheses + evidence 面對模糊的分析問題時 0
report-templates findings 最終報告產出階段 0

成本與限制

運行它的成本

API 配額
取決於所使用的 OSINT 來源;所有預設來源均為免費方案
每次呼叫 Token 數
每個指標工作流程約消耗 2–10k tokens
費用
free
提示
先從被動來源開始;僅在覆蓋率缺口明顯時才考慮加入付費資料來源

安全

權限、密鑰、影響範圍

憑證儲存: 預設無需儲存憑證;付費資料來源的 API 金鑰存放於環境變數中
資料出站: 僅限你加入允許清單的 OSINT 端點

故障排查

常見錯誤與修復

Rate limited by a public source

降低查詢頻率或切換至替代來源 — 許多 OSINT 端點對請求頻率相當敏感

Claude hallucinates an enrichment result

要求每項論述必須附上引用來源;拒絕接受無來源的豐富分析結果

ATT&CK mapping is too generic

提供具體的行為描述(程序、指令、網路模式),而非高層次摘要

替代方案

cti-expert 對比其他方案

替代方案何時用它替代權衡
claude-cybersecurity-skill你需要更廣泛的資安技能,而不僅限於 CTI 時涵蓋範圍較廣,但在 CTI 專業深度上較淺
claude-security-research-skill你的工作是研究漏洞,而非分類指標時完全不同的工作性質

更多

資源

📖 閱讀 GitHub 上的官方 README

🐙 查看未解決的 issue

🔍 瀏覽全部 400+ MCP 伺服器和 Skills