executing-red-team-engagement-planning
红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。
Best use case
executing-red-team-engagement-planning is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。
Teams using executing-red-team-engagement-planning should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/executing-red-team-engagement-planning/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How executing-red-team-engagement-planning Compares
| Feature / Agent | executing-red-team-engagement-planning | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行红队演练规划 ## 概述 红队演练规划是在任何攻击测试开始之前,确定范围、目标、交战规则(ROE)、威胁模型选择和操作时间表的基础阶段。结构良好的演练计划确保红队模拟真实的对手行为,同时维持防止意外业务中断的安全护栏。 ## 目标 - 明确演练范围,包括在测试范围内和范围外的资产、网络和人员 - 建立交战规则(ROE),包括紧急停止程序、通信渠道和法律边界 - 从 MITRE ATT&CK 框架中选择与组织威胁环境相匹配的适当威胁配置文件 - 创建将对手 TTP 映射到演练目标的详细攻击计划 - 制定与组织 SOC/蓝队的去冲突程序 - 为获得利益相关方批准而制作综合演练简报 ## 核心概念 ### 演练类型 | 类型 | 描述 | 范围 | |------|-------------|-------| | 全范围 | 包含物理、社会和网络向量的完整对手模拟 | 整个组织 | | 假设已入侵 | 从初始立足点开始,专注于后渗透 | 内部网络 | | 基于目标 | 针对特定关键资产(如域管理员、PII 外泄) | 指定目标 | | 紫队(Purple Team) | 与蓝队协作改进检测能力 | 特定控制措施 | ### 交战规则组成要素 1. **范围定义**:IP 范围、域名、物理位置、人员 2. **限制**:不得触碰的系统/网络(如生产数据库、医疗设备) 3. **通信计划**:主要和备用联系渠道、升级程序 4. **紧急程序**:立即停止的暗语、事件响应协调 5. **法律授权**:已签署的授权书、物理测试的"免于被捕"证明 6. **数据处理**:测试过程中发现的敏感数据的处理和销毁方式 7. **时间表**:开始/结束日期、停止窗口期、报告截止日期 ### 威胁配置文件选择 使用 MITRE ATT&CK Navigator 映射组织威胁,选择相关对手配置文件: - **APT29(Cozy Bear)**:针对政府/国防行业,通过鱼叉式钓鱼、供应链攻击 - **APT28(Fancy Bear)**:针对政府组织,凭据收割、零日漏洞利用 - **FIN7**:针对金融行业,POS 恶意软件、社会工程学 - **Lazarus Group**:针对金融机构、加密货币交易所,破坏性恶意软件 - **Conti/Royal**:勒索软件运营者,双重勒索,RaaS 模式 ## 实施步骤 ### 阶段一:演练前准备 1. 与利益相关方召开初步范围会议 2. 识别关键资产和重要业务资产 3. 审查之前的安全评估和审计发现 4. 定义成功标准和演练目标 5. 起草交战规则文件 ### 阶段二:威胁建模 1. 使用 MITRE ATT&CK 识别相关威胁行为者 2. 将威胁行为者 TTP 映射到组织攻击面 3. 选择主要和次要攻击场景 4. 制定包含特定技术 ID 的对手模拟计划 5. 为紫队机会建立检测检查点 ### 阶段三:操作规划 1. 建立安全通信渠道(加密邮件、Signal 等) 2. 为红队制定操作安全(OPSEC)指南 3. 建立基础设施需求(C2 服务器、重定向器、钓鱼域名) 4. 制定分阶段攻击时间表,设置执行/不执行决策点 5. 与 SOC/IR 团队创建去冲突矩阵 ### 阶段四:文档与批准 1. 汇编演练计划文件 2. 与法律顾问审查 3. 获得高管赞助人签字 4. 向红队操作员简报 ROE 和限制 5. 分发紧急联系卡 ## 工具与资源 - **MITRE ATT&CK Navigator**:威胁行为者 TTP 映射和可视化 - **VECTR**:红队演练跟踪和指标平台 - **Cobalt Strike / Nighthawk**:C2 框架规划和基础设施设计 - **PlexTrac**:红队报告和演练管理平台 - **SCYTHE**:用于创建攻击计划的对手模拟平台 ## 验证标准 - [ ] 已签署交战规则文件 - [ ] 已定义具有明确内/外边界的范围 - [ ] 已选择具有映射的 MITRE ATT&CK 技术的威胁配置文件 - [ ] 已测试并验证紧急停止程序 - [ ] 已向所有利益相关方分发通信计划 - [ ] 已获取并存档法律授权 - [ ] 红队操作员已简报并确认 ROE ## 常见陷阱 1. **范围蠕变**:执行过程中将测试扩展到批准边界之外 2. **去冲突不足**:SOC 将红队活动作为真实事件进行调查 3. **缺少法律授权**:未获得适当的书面授权就进行测试 4. **不现实的威胁模型**:模拟与组织无关的威胁 5. **沟通不畅**:演练期间未能与利益相关方保持联系 ## 相关技能 - performing-open-source-intelligence-gathering - conducting-adversary-simulation-with-atomic-red-team - performing-assumed-breach-red-team-exercise - building-red-team-infrastructure-with-redirectors
Related Skills
performing-threat-emulation-with-atomic-red-team
使用 atomic-operator Python 框架执行 Atomic Red Team 测试,进行 MITRE ATT&CK 技术验证。 从 YAML 原子测试加载测试定义、运行攻击模拟并验证检测覆盖率。适用于测试 SIEM 检测规则、 验证 EDR 覆盖率或开展紫队演练。
performing-red-team-with-covenant
使用 Covenant C2 框架开展红队(Red Team)操作,用于授权的对手模拟,包括监听器设置、Grunt 部署、任务执行和横向移动(Lateral Movement)追踪。
performing-red-team-phishing-with-gophish
使用 Python gophish 库自动化 GoPhish 钓鱼模拟活动。创建含追踪像素的邮件模板、 配置 SMTP 发送配置文件、从 CSV 构建目标组、发起活动,并分析结果, 包括打开率、点击率和凭据提交统计数据,用于安全意识评估。
performing-purple-team-exercise
执行紫队(Purple Team)演练,通过协调红队对抗模拟与蓝队检测验证, 使用 MITRE ATT&CK 映射的攻击场景、实时检测测试和协作差距修复。 适用于 SOC 团队需要验证检测能力、提升分析师技能并通过结构化攻防协作填补检测缺口时。
executing-red-team-exercise
执行全面的红队演练(Red Teaming),模拟真实世界对手针对组织的人员、流程和技术的攻击行动。红队以隐蔽性为主要目标,采用从初始侦察到目标完成的完整攻击生命周期,同时测试组织的检测和响应能力。与渗透测试不同,此技能聚焦于对手模拟而非漏洞识别。适用于红队演练、对手模拟、对手仿真或全范围攻击性安全评估等请求场景。
executing-phishing-simulation-campaign
执行授权的钓鱼模拟活动,评估组织对基于电子邮件的社会工程攻击的脆弱性。测试人员设计真实的钓鱼场景,构建凭据收集基础设施,发送定向钓鱼邮件,并追踪打开率、点击率和凭据提交率,以衡量人员安全意识水平。适用于钓鱼模拟、社会工程评估、电子邮件安全测试或安全意识测量等请求场景。
executing-diamond-model-analysis
将入侵分析菱形模型应用于将对手活动结构化为四个核心顶点(对手、能力、基础设施、受害者),并识别它们之间的关系,以引导调查和归因活动。适用于分析已完成的入侵事件、将不同事件关联到共同威胁行为者,或构建用于威胁情报传播的结构化分析产品时。适用于涉及菱形模型、入侵分析、活动聚类或对手归因方法论的请求。
executing-active-directory-attack-simulation
对 Active Directory 环境执行授权攻击模拟,识别错误配置、弱凭据、危险特权路径以及可导致域沦陷的可利用信任关系。测试人员使用 BloodHound 进行攻击路径分析,使用 Mimikatz 进行凭据提取,使用 Impacket 进行协议级攻击,包括 Kerberoasting、AS-REP Roasting 和委派滥用。适用于 Active Directory 渗透测试、AD 攻击模拟、域沦陷测试或 Kerberos 攻击评估等请求场景。
conducting-full-scope-red-team-engagement
规划并执行全范围红队演练,覆盖从侦察到后渗透的完整攻击链,使用符合 MITRE ATT&CK 的战术技术和程序(TTP),以评估组织的检测和响应能力。
building-red-team-c2-infrastructure-with-havoc
部署和配置 Havoc C2 框架,包括团队服务器、HTTPS 监听器、重定向器和 Demon 代理,适用于授权红队(Red Team)行动。
triaging-vulnerabilities-with-ssvc-framework
使用 CISA 的利益相关方特定漏洞分类(SSVC)决策树框架对漏洞进行分类和优先排序,产出可操作的修复优先级:Track、Track*、Attend 或 Act。
triaging-security-incident
使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。