executing-red-team-engagement-planning

红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。

9 stars

Best use case

executing-red-team-engagement-planning is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。

Teams using executing-red-team-engagement-planning should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/executing-red-team-engagement-planning/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/executing-red-team-engagement-planning/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/executing-red-team-engagement-planning/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How executing-red-team-engagement-planning Compares

Feature / Agentexecuting-red-team-engagement-planningStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行红队演练规划

## 概述

红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。结构良好的演练计划确保红队模拟真实的对手行为,同时维持防止意外业务中断的安全护栏。

## 目标

- 明确演练范围,包括在测试范围内和范围外的资产、网络和人员
- 建立交战规则(ROE),包括紧急停止程序、通信渠道和法律边界
- 从 MITRE ATT&CK 框架中选择与组织威胁环境相匹配的适当威胁配置文件
- 创建将对手 TTP 映射到演练目标的详细攻击计划
- 制定与组织 SOC/蓝队的去冲突程序
- 为获得利益相关方批准而制作综合演练简报

## 核心概念

### 演练类型

| 类型 | 描述 | 范围 |
|------|-------------|-------|
| 全范围 | 包含物理、社会和网络向量的完整对手模拟 | 整个组织 |
| 假设已入侵 | 从初始立足点开始,专注于后渗透 | 内部网络 |
| 基于目标 | 针对特定关键资产(如域管理员、PII 外泄) | 指定目标 |
| 紫队(Purple Team) | 与蓝队协作改进检测能力 | 特定控制措施 |

### 交战规则组成要素

1. **范围定义**:IP 范围、域名、物理位置、人员
2. **限制**:不得触碰的系统/网络(如生产数据库、医疗设备)
3. **通信计划**:主要和备用联系渠道、升级程序
4. **紧急程序**:立即停止的暗语、事件响应协调
5. **法律授权**:已签署的授权书、物理测试的"免于被捕"证明
6. **数据处理**:测试过程中发现的敏感数据的处理和销毁方式
7. **时间表**:开始/结束日期、停止窗口期、报告截止日期

### 威胁配置文件选择

使用 MITRE ATT&CK Navigator 映射组织威胁,选择相关对手配置文件:

- **APT29(Cozy Bear)**:针对政府/国防行业,通过鱼叉式钓鱼、供应链攻击
- **APT28(Fancy Bear)**:针对政府组织,凭据收割、零日漏洞利用
- **FIN7**:针对金融行业,POS 恶意软件、社会工程学
- **Lazarus Group**:针对金融机构、加密货币交易所,破坏性恶意软件
- **Conti/Royal**:勒索软件运营者,双重勒索,RaaS 模式

## 实施步骤

### 阶段一:演练前准备

1. 与利益相关方召开初步范围会议
2. 识别关键资产和重要业务资产
3. 审查之前的安全评估和审计发现
4. 定义成功标准和演练目标
5. 起草交战规则文件

### 阶段二:威胁建模

1. 使用 MITRE ATT&CK 识别相关威胁行为者
2. 将威胁行为者 TTP 映射到组织攻击面
3. 选择主要和次要攻击场景
4. 制定包含特定技术 ID 的对手模拟计划
5. 为紫队机会建立检测检查点

### 阶段三:操作规划

1. 建立安全通信渠道(加密邮件、Signal 等)
2. 为红队制定操作安全(OPSEC)指南
3. 建立基础设施需求(C2 服务器、重定向器、钓鱼域名)
4. 制定分阶段攻击时间表,设置执行/不执行决策点
5. 与 SOC/IR 团队创建去冲突矩阵

### 阶段四:文档与批准

1. 汇编演练计划文件
2. 与法律顾问审查
3. 获得高管赞助人签字
4. 向红队操作员简报 ROE 和限制
5. 分发紧急联系卡

## 工具与资源

- **MITRE ATT&CK Navigator**:威胁行为者 TTP 映射和可视化
- **VECTR**:红队演练跟踪和指标平台
- **Cobalt Strike / Nighthawk**:C2 框架规划和基础设施设计
- **PlexTrac**:红队报告和演练管理平台
- **SCYTHE**:用于创建攻击计划的对手模拟平台

## 验证标准

- [ ] 已签署交战规则文件
- [ ] 已定义具有明确内/外边界的范围
- [ ] 已选择具有映射的 MITRE ATT&CK 技术的威胁配置文件
- [ ] 已测试并验证紧急停止程序
- [ ] 已向所有利益相关方分发通信计划
- [ ] 已获取并存档法律授权
- [ ] 红队操作员已简报并确认 ROE

## 常见陷阱

1. **范围蠕变**:执行过程中将测试扩展到批准边界之外
2. **去冲突不足**:SOC 将红队活动作为真实事件进行调查
3. **缺少法律授权**:未获得适当的书面授权就进行测试
4. **不现实的威胁模型**:模拟与组织无关的威胁
5. **沟通不畅**:演练期间未能与利益相关方保持联系

## 相关技能

- performing-open-source-intelligence-gathering
- conducting-adversary-simulation-with-atomic-red-team
- performing-assumed-breach-red-team-exercise
- building-red-team-infrastructure-with-redirectors

Related Skills

performing-threat-emulation-with-atomic-red-team

9
from killvxk/cybersecurity-skills-zh

使用 atomic-operator Python 框架执行 Atomic Red Team 测试,进行 MITRE ATT&CK 技术验证。 从 YAML 原子测试加载测试定义、运行攻击模拟并验证检测覆盖率。适用于测试 SIEM 检测规则、 验证 EDR 覆盖率或开展紫队演练。

performing-red-team-with-covenant

9
from killvxk/cybersecurity-skills-zh

使用 Covenant C2 框架开展红队(Red Team)操作,用于授权的对手模拟,包括监听器设置、Grunt 部署、任务执行和横向移动(Lateral Movement)追踪。

performing-red-team-phishing-with-gophish

9
from killvxk/cybersecurity-skills-zh

使用 Python gophish 库自动化 GoPhish 钓鱼模拟活动。创建含追踪像素的邮件模板、 配置 SMTP 发送配置文件、从 CSV 构建目标组、发起活动,并分析结果, 包括打开率、点击率和凭据提交统计数据,用于安全意识评估。

performing-purple-team-exercise

9
from killvxk/cybersecurity-skills-zh

执行紫队(Purple Team)演练,通过协调红队对抗模拟与蓝队检测验证, 使用 MITRE ATT&CK 映射的攻击场景、实时检测测试和协作差距修复。 适用于 SOC 团队需要验证检测能力、提升分析师技能并通过结构化攻防协作填补检测缺口时。

executing-red-team-exercise

9
from killvxk/cybersecurity-skills-zh

执行全面的红队演练(Red Teaming),模拟真实世界对手针对组织的人员、流程和技术的攻击行动。红队以隐蔽性为主要目标,采用从初始侦察到目标完成的完整攻击生命周期,同时测试组织的检测和响应能力。与渗透测试不同,此技能聚焦于对手模拟而非漏洞识别。适用于红队演练、对手模拟、对手仿真或全范围攻击性安全评估等请求场景。

executing-phishing-simulation-campaign

9
from killvxk/cybersecurity-skills-zh

执行授权的钓鱼模拟活动,评估组织对基于电子邮件的社会工程攻击的脆弱性。测试人员设计真实的钓鱼场景,构建凭据收集基础设施,发送定向钓鱼邮件,并追踪打开率、点击率和凭据提交率,以衡量人员安全意识水平。适用于钓鱼模拟、社会工程评估、电子邮件安全测试或安全意识测量等请求场景。

executing-diamond-model-analysis

9
from killvxk/cybersecurity-skills-zh

将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点(对手、能力、基础设施、受害者),并识别它们之间的关系,以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者,或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。

executing-active-directory-attack-simulation

9
from killvxk/cybersecurity-skills-zh

对 Active Directory 环境执行授权攻击模拟,识别错误配置、弱凭据、危险特权路径以及可导致域沦陷的可利用信任关系。测试人员使用 BloodHound 进行攻击路径分析,使用 Mimikatz 进行凭据提取,使用 Impacket 进行协议级攻击,包括 Kerberoasting、AS-REP Roasting 和委派滥用。适用于 Active Directory 渗透测试、AD 攻击模拟、域沦陷测试或 Kerberos 攻击评估等请求场景。

conducting-full-scope-red-team-engagement

9
from killvxk/cybersecurity-skills-zh

规划并执行全范围红队演练,覆盖从侦察到后渗透的完整攻击链,使用符合 MITRE ATT&CK 的战术技术和程序(TTP),以评估组织的检测和响应能力。

building-red-team-c2-infrastructure-with-havoc

9
from killvxk/cybersecurity-skills-zh

部署和配置 Havoc C2 框架,包括团队服务器、HTTPS 监听器、重定向器和 Demon 代理,适用于授权红队(Red Team)行动。

triaging-vulnerabilities-with-ssvc-framework

9
from killvxk/cybersecurity-skills-zh

使用 CISA 的利益相关方特定漏洞分类(SSVC)决策树框架对漏洞进行分类和优先排序,产出可操作的修复优先级:Track、Track*、Attend 或 Act。

triaging-security-incident

9
from killvxk/cybersecurity-skills-zh

使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。