anpa1200/cti-analyst-field-manual

# CTI 分析师现场手册 **标语：** 从威胁情报研究到可辩护的分析判断、狩猎假设与检测就绪输出。 ## 本项目是什么 CTI 分析师现场手册是一份专业的 Docusaurus 指南，专注于网络威胁情报技艺。它将 Andrey Pautov 在 Medium 上发表的公开 CTI 写作，转化为一份结构化的分析师操作手册，涵盖收集需求、证据处理、来源可靠性、置信度表述、归因、基础设施关联、行为体画像、威胁狩猎、CTI 到检测的转化、SOC 交接以及高管沟通等内容。 这并非仅仅是 Medium 文章的简单归档。这些文章被视为原始素材，并被重组为从业者的工作流程、检查清单、模板以及现场可用的输出。 ## 适用人群 - CTI 分析师 - 威胁情报研究员 - 检测工程师 - SOC 负责人 - 威胁狩猎人员 - 面向客户的网络情报顾问 - 负责审查 CTI 到检测技艺的安全研究招聘经理 ## 解决的问题 许多 CTI 输出之所以失败，是因为它们止步于研究笔记。本现场手册专注于从情报问题到证据支持的判断、遥测数据需求、狩猎假设、检测候选方案、SOC 行动以及高管决策的全链条。 ## 与相关项目的区别 - **客户驱动 AI CTI 项目：** 交付方法论和客户参与节点。 - **以色列政府威胁行为体 CTI：** 针对以色列公共部门暴露风险的行业及行为体特定知识库。 - **HexStrike AI 指南：** 工具导向的指南。 - **CTI 分析师现场手册：** 通用 CTI 技艺和分析师操作手册。 ## 如何使用本现场手册 1. 从[简介](docs/intro.md)和[什么是 CTI](docs/01-cti-foundations/what-is-cti.md)开始阅读。 2. 如果您以 CTI 分析师、检测工程师、SOC 负责人、高管或招聘经理的身份审阅，请使用[基于角色的阅读路径](docs/role-based-reading-paths.md)。 3. 在收集来源之前，先定义 PIR、SIR 和 EEI。 4. 在进行评估之前，使用来源可靠性和证据标签。 5. 在进行归因或映射 ATT&CK 之前，运用分析纪律。 6. 将情报转化为狩猎假设、检测待办事项、SOC 交接备注和高管摘要。 7. 使用模板以保持输出的一致性和可审查性。 8. 使用[权威参考书目](docs/references/authoritative-bibliography.md)获取理论来源；Medium 文章是作者/来源的灵感来源，但不是理论的主要权威。 ## 仓库结构 ``` docs/ intro.md limitations.md 01-cti-foundations/ 02-analytic-discipline/ 03-frameworks/ 04-attribution/ 05-infrastructure-pivoting/ 06-actor-research/ 07-sector-cti/ 08-cti-to-detection/ 09-ai-assisted-cti/ 10-templates/ governance/ review/ validation/ worked-examples/ references/ data/ src/pages/index.js sidebars.js ``` ## 工作流示例 - **收集规划：** PIR -> SIR -> EEI -> 来源登记簿 -> 收集缺口登记簿。 - **证据纪律：** 来源声称 -> 证据标签 -> 置信度理由 -> 矛盾/缺口记录。 - **归因审查：** 行为聚类 -> 替代假设 -> 证据强度阶梯 -> 置信度陈述。 - **基础设施研究：** 种子 IOC -> 被动 DNS/证书/ASN 关联 -> 聚类边界 -> 局限性。 - **CTI 到检测转化：** 来源声称 -> ATT&CK 映射 -> 遥测数据需求 -> 狩猎假设 -> 检测待办 -> SOC 交接。 - **检测成熟度：** 来源支持的行为 -> 遥测数据映射 -> 合成测试 -> 良性基线 -> 历史回放 -> SOC 试点 -> DRL-9 生产批准。 ## 验证方式 - `npm run check:links` 验证本地 Markdown 链接。 - `npm run build` 验证 Docusaurus 站点。 - `npm run validate` 运行两项检查。 - CI 在构建前运行链接验证。详见 [CI 验证证据](docs/validation/ci-validation-evidence.md)。 - 出版级差距记录在[出版级审查待办列表](docs/review/publication-grade-review.md)中。 ## 局限性 本项目是一份现场手册和作品集级技艺参考。它不是一个生产级 SOC 检测包，不是归因神谕，也不能替代客户遥测数据验证。详见[已知局限性](docs/limitations.md)。 ## 防御性使用声明 所有内容均旨在用于防御性、公开、TLP:CLEAR 级别的 CTI 实践。该仓库不包含恶意软件源代码、漏洞利用说明、泄露数据、凭据、受害者敏感信息或用于未授权访问的操作说明。 ## 作者链接 - Medium: [medium.com/@1200km](https://medium.com/@1200km) - GitHub: [github.com/anpa1200](https://github.com/anpa1200) - LinkedIn: [linkedin.com/in/andrey-pautov](https://www.linkedin.com/in/andrey-pautov/) ## GitHub 仓库描述 专业 CTI 分析师现场手册：证据纪律、归因、基础设施关联、行为体研究、CTI 到检测转化、SOC 交接及 AI 辅助工作流。 ## 建议的 GitHub 主题标签 `cti`, `cyber-threat-intelligence`, `threat-intelligence`, `detection-engineering`, `threat-hunting`, `mitre-attack`, `soc`, `analytic-tradecraft`, `docusaurus`, `tlp-clear` ## 许可证建议 推荐许可：文档内容采用 **CC BY 4.0**，任何未来的代码或脚本采用 **MIT**。在添加代码之前，该仓库将手册视为文档优先内容。 ## CTI 文档生态系统 本仓库是相互关联的三本 CTI 文档生态系统的一部分： - [CTI 分析师现场手册](https://anpa1200.github.io/cti-analyst-field-manual/) - 通用 CTI 技艺和分析师操作手册。 - [客户驱动 AI CTI 项目](https://anpa1200.github.io/customer-driven-ai-cti-project/) - 客户交付方法论、质量门控及 CTI 到检测项目控制。 - [以色列政府威胁行为体 CTI](https://anpa1200.github.io/israel-government-threat-actors-cti/) - 专注于以色列的行为体、工具、战术技术和程序、狩猎、检测及来源知识库。 使用文档站点中的生态系统页面，可以在技艺、交付方法论和特定行业情报之间切换浏览。

标签：AI辅助工作流, CTI分析师, SOC操作, SOC移交流程, 分析手册, 基础设施转向, 威胁情报分析, 威胁情报手册, 威胁研究, 安全运营, 实战手册, 归因分析, 情报工作流, 情报收集, 执行沟通, 扫描框架, 操作指南, 来源可靠性, 检测工程指南, 漏洞研究, 网络威胁情报, 网络安全, 置信评估, 自定义脚本, 行为者剖析, 证据纪律, 隐私保护