red-team
von alirezarezvanired-team ist ein Skill zur Planung autorisierter Angreifersimulationen für Red-Team-Engagements, Angriffspfadanalysen, MITRE ATT&CK-Sequenzierung, Choke-Point-Bewertung, OPSEC-Risikohinweise und Crown-Jewel-Targeting. Enthalten sind ein Planner-Skript und eine Methodikreferenz für sicherere Übungen mit klar definiertem Scope.
Dieser Skill erreicht 82/100 Punkte und ist damit ein solider Kandidat für Verzeichnisnutzer, die strukturierte Planung für Red-Team-Engagements benötigen statt eines generischen Offensive-Security-Prompts. Die Repository-Belege zeigen ausreichend Methodik, Workflow-Hinweise und ein nutzbares Planner-Skript, damit ein Agent den Skill mit weniger Rätselraten auslösen und ausführen kann. Die Nutzung wird jedoch etwas durch fehlende Installationshinweise und vermutlich begrenzte Technikabdeckung eingeschränkt.
- Klarer Trigger-Bereich: autorisierte Red-Team-Engagements, Angriffspfadanalysen, offensive Simulationen und eine eindeutige Abgrenzung zu Vulnerability Scanning oder Incident Response.
- Umfangreiche operative Inhalte in SKILL.md, darunter Kill-Chain-Methodik, Technikbewertung, Choke-Point-Analyse, OPSEC-Risikobewertung, Crown-Jewel-Targeting, Workflows, Anti-Patterns und Querverweise.
- Enthält ausführbare unterstützende Tools, `scripts/engagement_planner.py`, mit Nutzungsbeispielen, Autorisierungsprüfung, JSON-Ausgabe, Exit Codes sowie Validierung von Technik- und Zugriffsebenen.
- Im Skill-Pfad gibt es keinen Installationsbefehl und kein README. Nutzer müssen die Installation daher aus der allgemeinen Repository-Struktur ableiten.
- Der Planner scheint im bereitgestellten Auszug einen begrenzten integrierten Technik-Katalog zu verwenden. Teams müssen ihn für eine breitere MITRE ATT&CK-Abdeckung möglicherweise erweitern.
Überblick über den red-team skill
Wofür der red-team skill gedacht ist
Der red-team skill ist ein Planungs-Skill für autorisierte Angreifersimulationen. Er unterstützt beim Erstellen strukturierter Red-Team-Engagement-Pläne, Angriffspfade, MITRE ATT&CK-Techniksequenzen, Choke-Point-Analysen, OPSEC-Risikohinweise und Crown-Jewel-Zieldefinitionen. Er eignet sich besonders für Security-Teams, Beratende, Purple-Team-Leads und AI Agents, die ein wiederholbares Planungsframework benötigen statt eines spontanen Offensive-Security-Prompts.
Er ist kein Vulnerability Scanner, kein Exploit-Generator und kein Incident-Response-Playbook. Sein eigentlicher Zweck ist, nachvollziehbar zu analysieren, wie sich ein autorisierter simulierter Angreifer von einem definierten Zugriffslevel aus in Richtung besonders wertvoller Assets bewegen könnte, welche Techniken das größte operative Risiko erzeugen und an welchen Stellen Verteidiger Kontrollen validieren können.
Geeignete Nutzer und Engagement-Typen
Nutze diesen red-team skill, wenn bereits eine schriftliche Autorisierung, ein abgegrenzter Scope, bekannte oder mögliche MITRE ATT&CK-Techniken und der Bedarf an Planungsartefakten vorliegen. Er passt für:
- Interne Red-Team-Übungen mit unterzeichneten Rules of Engagement
- Angriffspfadanalysen für Crown Jewels wie AD, Datenbanken, Cloud Storage oder Zahlungssysteme
- Purple-Team-Planung, bei der Verteidiger erwartete Telemetrie und Choke Points benötigen
- Risiko-Dialoge mit dem Management, in denen Angriffspfade nach Aufwand und Erkennungsrisiko bewertet werden müssen
Weniger geeignet ist er, wenn du nur eine einfache Checkliste, unauthentifizierte Schwachstellensuche, Malware-Entwicklung oder Notfall-Triage brauchst.
Was diesen Skill unterscheidet
Der entscheidende Unterschied liegt in seiner Planungsstruktur. Das Repository enthält SKILL.md, ein unterstützendes Methodikdokument unter references/attack-path-methodology.md und ein Hilfsskript unter scripts/engagement_planner.py. Zusammen konzentrieren sie sich auf:
- Aufbau von Kill-Chain-Phasen aus ausgewählten Techniken
- Aufwandsscoring anhand von Erkennungsrisiko und Voraussetzungen
- Identifikation von Choke Points über Angriffspfade hinweg
- OPSEC-Risikobewertung
- Planung von Pfaden zu Crown Jewels
Dadurch hat der red-team skill deutlich mehr operative Struktur als ein allgemeiner Prompt wie „erstelle mir einen Red-Team-Plan“.
So nutzt du den red-team skill
red-team Installation und Lesepfad im Repository
Installiere den Skill in einer Claude-Skills-Umgebung mit:
npx skills add alirezarezvani/claude-skills --skill red-team
Lies nach der Installation die Dateien in dieser Reihenfolge:
SKILL.md— Hauptworkflow, Grenzen, Anti-Patterns und Engagement-Logikscripts/engagement_planner.py— zeigt die erwarteten Eingaben und das Ausgabemodellreferences/attack-path-methodology.md— erklärt Angriffspfadgraphen, Aufwandsscoring und Choke-Point-Analyse
Das Skript ist vor dem Prompting besonders hilfreich, weil es das praktische Eingabeschema sichtbar macht: --techniques, --access-level, --crown-jewels, --authorized und --json.
Welche Eingaben der red-team skill braucht
Für eine verlässliche red-team Nutzung solltest du mehr liefern als ein vages Ziel. Gute Eingaben sind zum Beispiel:
- Autorisierungsstatus und Zusammenfassung der RoE
- Engagement-Ziel, etwa Validierung von Detection oder Simulation des Zugriffs auf Crown Jewels
- Ausgangs-Zugriffslevel:
external,internalodercredentialed - Systeme, Business Units, Cloud Accounts oder Netzwerksegmente im Scope
- Systeme außerhalb des Scopes und untersagte Aktionen
- Mögliche MITRE ATT&CK-Techniken, zum Beispiel
T1078,T1059,T1003 - Crown Jewels, etwa „Domain Controller“, „S3 Data Lake“ oder „PCI database“
- Annahmen zu Detection, Logging und EDR
- Gewünschtes Ausgabeformat: Plan, Angriffspfadtabelle, OPSEC-Risikoregister oder JSON
Ein schwacher Prompt bittet um „einen Red-Team-Plan“. Ein stärkerer Prompt liefert Einschränkungen, die der Skill bewerten und in eine Reihenfolge bringen kann.
Prompt-Muster für bessere red-team Ergebnisse
Nutze den Skill, indem du den Agent aufforderst, die Methodik aus dem Repository anzuwenden, statt sie nur zusammenzufassen. Beispiel:
Use the
red-teamskill to create an authorized engagement plan. We have signed RoE for a production-safe simulation against the corporate Windows domain. Starting access level iscredentialed. In scope: AD, endpoint fleet, internal file shares. Out of scope: destructive actions, persistence beyond test window, password spraying, and production data exfiltration. Candidate techniques:T1078,T1059.001,T1003.001,T1550.002. Crown jewels: Domain Controller and HR file share. Prioritize attack paths by effort score and detection risk, identify choke points, list OPSEC risks, and suggest defender validation points.
Dieser Prompt funktioniert, weil er Autorisierung, Scope, Zugriffslevel, Techniken, Crown Jewels und Ausgabeerwartungen bereitstellt.
Das Engagement-Planner-Skript verwenden
Das Hilfsskript kann lokal aus dem Skill-Verzeichnis ausgeführt werden, wenn du vor dem Schreiben eines narrativen Plans eine strukturierte Ausgabe möchtest:
python3 scripts/engagement_planner.py --techniques T1059,T1078,T1003 --access-level external --authorized --json
Nutze --list-techniques, um die unterstützten Technique IDs zu prüfen. Betrachte das Skript als Planungshilfe, nicht als vollständige Engagement-Freigabe. Die eingebaute Technikauswahl ist begrenzt; übertrage daher bei Bedarf deinen realen ATT&CK-Katalog und deine Umgebungseinschränkungen wieder in den Skill-Prompt.
red-team skill FAQ
Ist red-team für Penetration Testing gedacht?
red-team kann red-team für Penetration Testing unterstützen, ist aber enger gefasst und strategischer als eine typische Pentest-Checkliste. Penetration Testing legt häufig den Schwerpunkt auf das Finden und Validieren von Schwachstellen. Dieser Skill konzentriert sich auf Angreifersimulation: Techniken sequenzieren, Angriffspfade modellieren, Choke Points identifizieren und Detection- sowie Response-Kontrollen testen.
Können Einsteiger diesen red-team skill verwenden?
Einsteiger können ihn nutzen, um strukturierte Engagement-Planung zu lernen. Sie sollten ihn aber nicht als Autorisierung oder operative Erlaubnis verstehen. Der Skill setzt voraus, dass du RoE, Scope-Grenzen, MITRE ATT&CK-Begriffe, Zugriffslevel und die Bedeutung von OPSEC in einer legitimen Security-Übung verstehst. Wenn diese Grundlagen noch nicht vertraut sind, sollte ein erfahrener Security Reviewer eingebunden werden.
Was sind die wichtigsten Hürden bei der Einführung?
Die größten Hürden sind fehlende Autorisierung, ein unklarer Scope und unvollständiger Umgebungskontext. Der Skill kann nicht verantwortungsvoll rund um „ein Unternehmensnetzwerk“ planen, wenn Zugriffslevel, erlaubte Techniken, verbotene Aktionen, Crown Jewels und Detection-Annahmen fehlen. Eine weitere Hürde ist die Erwartung, dass das enthaltene Skript jede ATT&CK-Technik abdeckt; es ist ein praktischer Planner, keine vollständige ATT&CK-Datenbank.
Wann sollte ich ihn nicht verwenden?
Verwende diesen Skill nicht für nicht autorisiertes Targeting, Exploit-Entwicklung, Malware-Anleitungen, Credential Theft, Persistenz außerhalb eines genehmigten Tests oder Live-Fire-Aktivitäten ohne unterzeichnete RoE. Vermeide ihn außerdem, wenn es um Incident Response, das Sammeln von Compliance-Nachweisen oder einfache Vulnerability Scans geht; dafür sind andere Workflows erforderlich.
So verbesserst du den red-team skill
red-team Outputs durch klarere Einschränkungen verbessern
Der schnellste Weg zu besseren red-team Ergebnissen ist, Einschränkungen explizit zu machen. Nenne Zeitfenster, Grenzen für geschäftliche Auswirkungen, erlaubte Tools, ausgeschlossene Techniken, Logging-Abdeckung und die Definition von „Erfolg“. Zum Beispiel führt „simuliere Zugriff auf den HR file share ohne Datenexfiltration“ zu einer sichereren und besser umsetzbaren Planung als „gelange an HR-Daten“.
Häufige Fehlermuster, auf die du achten solltest
Achte auf Pläne, die zu generisch bleiben, RoE-Annahmen überspringen, auffällige Techniken überbewerten oder Erkennungsrisiken ignorieren. Ein weiteres typisches Problem ist eine lineare Kill Chain ohne Alternativen. Bitte gezielt um mehrere Pfade, Aufwandsscores, wahrscheinliche Detection Points und Choke Points, an denen Verteidiger die Wirksamkeit von Kontrollen messen können.
Nach dem ersten Plan iterieren
Stelle nach der ersten Ausgabe gezielte Folgefragen:
- “Re-rank paths assuming EDR detects PowerShell heavily.”
- “Remove techniques outside credentialed-access scope.”
- “Convert this into a purple-team exercise table.”
- “Add expected telemetry for each phase.”
- “Identify the minimum safe simulation steps for executives.”
Diese Iterationen machen aus dem red-team Leitfaden einen umgebungsspezifischen Plan statt einer statischen Vorlage.
Den Skill für deine Umgebung erweitern
Reife Teams können die Skill-Eingaben mit eigenen ATT&CK-Mappings, einem Modell zur Asset-Kritikalität, EDR-Sichtbarkeitsannahmen, Cloud-Identity-Pfaden und einer freigegebenen Technikbibliothek anpassen. Du kannst außerdem engagement_planner.py erweitern, um interne Technikeinschränkungen, Detection Scores und Crown-Jewel-Definitionen abzubilden. Je stärker der Skill deine tatsächlichen Kontrollen und RoE widerspiegelt, desto nützlicher wird seine Angriffspfadanalyse.
