Marco de 11 use cases operativos que estructuran un programa CTI corporativo desde repositorio de keywords (Use Case 0) hasta sharing con partners externos (Use Case 10). Cada use case tiene mismo schema: Resumen, Objetivo, Inputs, Workflow, Outputs, Fuentes, Herramientas, Metricas, Beneficiaries, Integracion con otros UCs, Referencias.

Los UCs forman una cadena de valor CTI: keywords (UC0) alimentan platform alerts (UC1), que se enriquecen con feeds (UC2), priorizadas con vulnerability intel (UC3), monitoreadas vs infostealers (UC4), agregadas en daily report (UC5), filtradas para phishing intel (UC6), convertidas en hunt hypotheses (UC7), elevadas a strategic intel (UC8), mapeadas con MITRE ATT&CK por sector (UC9), y compartidas via STIX/TAXII con partners (UC10). Es un programa CTI completo en 11 piezas modulares.

Implementar los 11 UCs simultaneamente es excesivo. Madurez tipica: empezar por UC0 (keywords) + UC1 (alerts) + UC2 (feeds), anadir UC5 (daily report) en mes 3, UC9 (MITRE mapping) en mes 6, UC10 (sharing) en mes 12. Medir cada UC con sus propias metricas (UC1: alert volume + false positive rate; UC5: time to publish; UC10: sharing partners count).

No incluye UCs sobre: detection engineering (sigma/yara/kestrel), red team integration, BAS (breach attack simulation), threat modeling, ASM (attack surface management), o vendor risk assessment. Programa CTI maduro de 2026 anade ~10 UCs adicionales.