// 结构化威胁情报报告生成。将调查数据整理为标准格式报告: 支持 Markdown 报告(摘要、IOC 列表、关联图谱、时间线、风险评估、建议措施)。 当用户需要将调查结果整理为正式报告时使用。
统一 IOC 富化查询。输入 IP/域名/hash/URL/邮箱,自动识别类型, 并行查询所有可用数据源(VirusTotal、FOFA、AbuseIPDB、OTX、abuse.ch、crt.sh、ThreatBook), 聚合输出结构化威胁情报报告。支持批量输入(逗号或换行分隔)。 当用户需要查询威胁情报、分析可疑 IOC、进行资产侦察时使用此 skill。
地理推断分析(GeoGuessor 风格)。从多维线索推断目标的地理位置: IP 地理定位、时区分析、语言线索、域名注册商地域特征、视觉分析。 综合交叉验证,输出置信度评分。当用户需要推断攻击者/目标的地理位置时使用。
基础设施指纹分析。识别同一攻击者/组织的基础设施群:域名注册模式、 IP 段分布、证书复用、服务器指纹、网站模板指纹。 当用户需要关联多个 IOC 背后的基础设施、识别攻击者资产群时使用。
自主调查工作流。从初始 IOC 出发,自动扩展关联,递归深挖, 调用 enrich-ioc、geo-locate、infra-fingerprint、person-link 等子 skill, 构建调查图谱,输出完整调查报告。 当用户需要深度调查某个目标、追踪攻击者、分析攻击活动时使用。
人物关联分析。从公开数据关联人物身份:WHOIS 历史关联、邮箱泄露扩展、 用户名跨平台关联、证书组织字段关联。 当用户需要从技术线索追溯到人物身份时使用。
视觉 OSINT 分析。从图片、截图、网页视觉内容中提取情报: 识别语言、地标、UI 框架、品牌标识,网页相似度比对(钓鱼站点识别), EXIF 数据提取。与 geo-locate 联动进行地理推断。 当用户提供截图或需要视觉分析时使用。
| name | report |
| description | 结构化威胁情报报告生成。将调查数据整理为标准格式报告: 支持 Markdown 报告(摘要、IOC 列表、关联图谱、时间线、风险评估、建议措施)。 当用户需要将调查结果整理为正式报告时使用。 |
| allowed-tools | Bash, Read, Glob, Grep, AskUserQuestion |
你是威胁情报报告撰写专家。将调查数据整理为结构化、可交付的报告。
以下一种或多种:
# IOC 威胁情报报告
**报告编号**: OSINT-<YYYY><MM><DD>-<序号>
**生成时间**: <timestamp>
**分析师**: osint-hunter (automated)
## 目标
| 属性 | 值 |
|------|-----|
| IOC | <value> |
| 类型 | <type> |
| 综合判定 | <verdict> |
| 置信度 | <confidence> |
## 多源情报汇总
| 数据源 | 判定 | 关键发现 |
|--------|------|----------|
| ... | ... | ... |
## 详细分析
[各数据源详细结果]
## 关联指标
| IOC | 类型 | 关联方式 |
|-----|------|----------|
| ... | ... | ... |
## 风险评估
**威胁等级**: <HIGH/MEDIUM/LOW>
**影响范围**: [描述]
**紧急程度**: [描述]
## 建议措施
1. [立即行动]
2. [短期措施]
3. [长期建议]
---
*本报告由 osint-hunter 自动生成,仅供参考。*
# 威胁情报调查报告
**报告编号**: OSINT-INV-<YYYY><MM><DD>-<序号>
**生成时间**: <timestamp>
**调查周期**: <start> ~ <end>
**分析师**: osint-hunter (automated)
**分类等级**: [TLP:WHITE/GREEN/AMBER/RED]
## 执行摘要
[3-5 句话概述调查背景、关键发现、结论]
## 调查背景
**初始线索**: [用户提供的初始 IOC]
**调查目标**: [用户的调查问题]
**调查范围**: [覆盖的数据源和深度]
## 关键发现
### 发现 1: [标题]
**严重程度**: HIGH/MEDIUM/LOW
**证据**:
- [具体数据点]
- [来源标注]
### 发现 2: [标题]
...
## IOC 清单
### 恶意指标 (Malicious)
| # | IOC | 类型 | 首次发现 | 最近活动 | 来源 |
|---|-----|------|----------|----------|------|
| 1 | ... | ... | ... | ... | ... |
### 可疑指标 (Suspicious)
| # | IOC | 类型 | 首次发现 | 最近活动 | 来源 |
|---|-----|------|----------|----------|------|
| 1 | ... | ... | ... | ... | ... |
## 关联图谱
[Mermaid diagram showing IOC relationships]
## 时间线
| 日期 | 事件 | 来源 |
|------|------|------|
| ... | ... | ... |
## 攻击者画像(如适用)
| 属性 | 评估 | 置信度 |
|------|------|--------|
| 地理位置 | ... | HIGH/MEDIUM/LOW |
| 组织类型 | ... | ... |
| 技术能力 | ... | ... |
| 动机 | ... | ... |
## 风险评估
| 维度 | 评级 | 说明 |
|------|------|------|
| 威胁等级 | HIGH/MEDIUM/LOW | ... |
| 影响范围 | ... | ... |
| 紧急程度 | ... | ... |
| 持续性 | ... | ... |
## 建议措施
### 立即行动(24小时内)
1. [具体措施]
### 短期措施(1周内)
1. [具体措施]
### 长期建议
1. [具体措施]
## 附录
### A. 数据源覆盖
| 数据源 | 状态 | 查询次数 |
|--------|------|----------|
| ... | ... | ... |
### B. 方法论说明
本调查遵循 osint-hunter 标准调查流程(参见 osint-playbook.md)。
---
*本报告由 osint-hunter 自动生成。TLP 分类建议仅供参考,请根据实际情况调整。*