red-team 是一項用於授權對手模擬規劃的技能,適合紅隊演練、攻擊路徑分析、MITRE ATT&CK 序列規劃、瓶頸點評分、OPSEC 風險註記與關鍵資產鎖定。內含 planner script 與方法論參考,協助在明確範圍內更安全地執行演練。

Stars22.1k
收藏0
評論0
加入時間2026年7月11日
分類渗透测试
安裝指令
npx skills add alirezarezvani/claude-skills --skill red-team
編輯評分

此技能評分為 82/100,對需要結構化紅隊演練規劃、而非通用攻擊安全提示的目錄使用者來說,是相當穩健的上架候選。Repository 證據顯示其具備足夠的方法論、工作流程指引,以及可用的 planner script,能讓代理程式以較少猜測觸發並執行該技能;不過缺少安裝指引,且技術涵蓋範圍可能受限,會在一定程度上影響採用。

82/100
亮點
  • 觸發範圍清楚:授權的紅隊演練、攻擊路徑分析、攻擊模擬,並明確區分其不適用於漏洞掃描或事件回應。
  • SKILL.md 具備紮實的作戰內容,包括 kill-chain 方法論、技術評分、瓶頸點分析、OPSEC 風險評估、關鍵資產鎖定、工作流程、反模式與交叉參照。
  • 包含可執行的輔助工具 `scripts/engagement_planner.py`,並提供使用範例、授權檢查、JSON 輸出、結束碼,以及技術/存取層級驗證。
注意事項
  • 技能路徑中沒有安裝指令或 README,因此使用者需要依照整體 repository 結構自行推斷安裝方式。
  • 從提供的摘錄來看,planner 似乎使用內建且範圍有限的技術目錄;若要涵蓋更完整的 MITRE ATT&CK,團隊可能需要自行擴充。
總覽

red-team skill 概覽

red-team skill 的用途

red-team skill 是一個用於授權對手模擬規劃的技能,可協助建立結構化的紅隊演練計畫、攻擊路徑、MITRE ATT&CK 技術序列、關鍵瓶頸分析、OPSEC 風險註記,以及核心資產(crown jewels)鎖定規劃。它最適合需要可重複規劃框架的資安團隊、顧問、紫隊負責人與 AI agents,而不是只靠臨場拼湊的攻擊安全提示詞。

這不是弱點掃描器、exploit 產生器,也不是事件應變 playbook。它真正的用途,是協助你推理:在已授權的模擬對手情境中,攻擊者如何從明確定義的存取層級往高價值資產移動、哪些技術會帶來最高的作業風險,以及防禦方可以在哪些位置驗證控制措施。

最適合的使用者與演練類型

當你已經具備書面授權、明確範圍的環境、已知或候選的 MITRE ATT&CK 技術,並且需要產出規劃文件時,適合使用這個 red-team skill。它適用於:

  • 已簽署 Rules of Engagement 的內部紅隊演練
  • 針對 AD、資料庫、雲端儲存或支付系統等核心資產的攻擊路徑分析
  • 防禦方需要預期 telemetry 與瓶頸點的紫隊規劃
  • 需要以投入成本與偵測風險評分來討論攻擊路徑的高階風險溝通

如果你只需要基本檢查清單、未驗證身分的弱點探索、惡意軟體開發,或緊急事件分診,它的幫助就比較有限。

這個技能的差異化價值

它真正有用的差異,在於規劃結構。此 repository 包含 SKILL.md、支援方法論文件 references/attack-path-methodology.md,以及輔助腳本 scripts/engagement_planner.py。三者合起來聚焦於:

  • 依選定技術組裝 kill-chain 階段
  • 使用偵測風險與前置條件進行投入成本評分
  • 在攻擊路徑中找出瓶頸點
  • OPSEC 風險評估
  • 核心資產路徑規劃

因此,red-team skill 比一般「幫我做一份紅隊計畫」的提示詞更具作業輪廓與規劃可操作性。

如何使用 red-team skill

red-team 安裝與 repository 閱讀路徑

在 Claude skills 環境中使用以下指令安裝此技能:

npx skills add alirezarezvani/claude-skills --skill red-team

安裝後,建議依照這個順序閱讀檔案:

  1. SKILL.md — 主要 workflow、邊界、反模式,以及演練邏輯
  2. scripts/engagement_planner.py — 展示預期輸入與輸出模型
  3. references/attack-path-methodology.md — 說明攻擊路徑圖、投入成本評分與瓶頸點分析

在撰寫 prompt 之前,這個腳本特別有用,因為它揭示了實務上的輸入 schema:--techniques--access-level--crown-jewels--authorized--json

red-team skill 需要的輸入

要讓 red-team 使用結果可靠,不要只提供模糊的目標。較好的輸入包含:

  • 授權狀態與 RoE 摘要
  • 演練目標,例如偵測驗證或核心資產存取模擬
  • 起始存取層級:externalinternalcredentialed
  • 範圍內的系統、事業單位、cloud accounts 或 network segments
  • 範圍外的系統與禁止行為
  • 候選 MITRE ATT&CK 技術,例如 T1078T1059T1003
  • 核心資產,例如 “Domain Controller”、“S3 Data Lake” 或 “PCI database”
  • 偵測、logging 與 EDR 假設
  • 需要的輸出格式:plan、attack path table、OPSEC risk register 或 JSON

較弱的 prompt 只會要求「一份紅隊計畫」。較強的 prompt 會給出技能可以評分與排序的限制條件。

更有效使用 red-team 的 prompt 寫法

使用這個技能時,應要求 agent 套用 repository 的方法論,而不只是摘要文件。範例:

Use the red-team skill to create an authorized engagement plan. We have signed RoE for a production-safe simulation against the corporate Windows domain. Starting access level is credentialed. In scope: AD, endpoint fleet, internal file shares. Out of scope: destructive actions, persistence beyond test window, password spraying, and production data exfiltration. Candidate techniques: T1078, T1059.001, T1003.001, T1550.002. Crown jewels: Domain Controller and HR file share. Prioritize attack paths by effort score and detection risk, identify choke points, list OPSEC risks, and suggest defender validation points.

這個 prompt 有效,是因為它提供了授權、範圍、存取層級、技術、核心資產與輸出期待。

使用 engagement planner 腳本

如果你想在撰寫敘事型計畫之前先取得結構化輸出,可以在 skill 目錄中本機執行輔助腳本:

python3 scripts/engagement_planner.py --techniques T1059,T1078,T1003 --access-level external --authorized --json

使用 --list-techniques 可查看支援的 technique IDs。請把這個腳本視為規劃輔助工具,而不是完整的演練授權依據。它內建的 technique 清單有限,因此必要時仍要把你實際的 ATT&CK catalog 與環境限制映射回 skill prompt。

red-team skill 常見問題

red-team 適合用於 Penetration Testing 嗎?

red-team 可以支援 red-team for Penetration Testing 類型的工作,但它比標準 pentest checklist 更聚焦、也更偏策略。Penetration testing 通常強調尋找與驗證弱點;這個技能則強調對手模擬:排序技術、建模攻擊路徑、找出瓶頸點,並測試偵測與應變控制。

初學者可以使用這個 red-team skill 嗎?

初學者可以用它學習結構化的演練規劃,但不應把它視為授權或作業許可。這個技能假設你理解 RoE、範圍邊界、MITRE ATT&CK 術語、存取層級,以及為什麼 OPSEC 在合法資安演練中很重要。如果這些概念不熟,建議搭配資深資安審閱者使用。

主要導入障礙有哪些?

最大的障礙通常是缺少授權、範圍模糊,以及環境脈絡不完整。若只提供「某家公司網路」,但沒有存取層級、允許技術、禁止行為、核心資產與偵測假設,這個技能無法負責任地進行規劃。另一個障礙,是期待內附腳本涵蓋所有 ATT&CK 技術;它是實用的 planner,不是完整的 ATT&CK database。

什麼時候不該使用?

不要將此技能用於未授權目標、exploit development、惡意軟體指令、credential theft、超出核准測試期間的 persistence,或沒有簽署 RoE 的 live-fire activity。若任務是事件應變、合規佐證資料蒐集,或單純弱點掃描,也應避免使用;這些需要不同的 workflow。

如何改善 red-team skill

用更明確的限制條件改善 red-team 輸出

提升 red-team 結果最快的方法,就是把限制條件講清楚。請包含時間窗口、業務影響上限、允許工具、封鎖技術、logging coverage,以及「成功」的定義。例如,「simulate access to the HR file share without data exfiltration」會比「get to HR data」產生更安全、也更可執行的規劃。

常見失敗模式

請留意過於籠統、略過 RoE 假設、過度偏好華麗技術,或忽略偵測風險的計畫。另一個常見問題,是只有單一路線的線性 kill chain,沒有替代方案。你可以要求提供多條路徑、投入成本評分、可能偵測點,以及防禦方可衡量控制有效性的瓶頸點。

在第一版計畫後持續迭代

取得第一版輸出後,可以提出具體 follow-up:

  • “Re-rank paths assuming EDR detects PowerShell heavily.”
  • “Remove techniques outside credentialed-access scope.”
  • “Convert this into a purple-team exercise table.”
  • “Add expected telemetry for each phase.”
  • “Identify the minimum safe simulation steps for executives.”

這些迭代能把 red-team guide 從靜態 template,轉成符合你實際環境的計畫。

依你的環境延伸技能

對成熟團隊來說,可以用自己的 ATT&CK mappings、資產重要性模型、EDR 可視性假設、cloud identity paths,以及已核准 technique library 來自訂技能輸入。你也可以調整 engagement_planner.py,加入內部 technique constraints、detection scores 與 crown jewel definitions。這個技能越能反映你的實際控制措施與 RoE,它的攻擊路徑分析就越有用。

評分與評論

尚無評分
分享你的評論
登入後即可為這項技能評分並留言。
G
0/10000
最新評論
儲存中...