coff0xc-purple-deception

<!-- skill-id: cs-pdp-e45c2a90 -->

快速规则（日常任务先读这里）

[行为映射] 先把假设攻击行为映射到 ATT&CK、日志源、检测逻辑、控制点和响应动作。 [覆盖门禁] 输出检测覆盖矩阵、缺口、误报风险、验证样本和观测指标。 [防御优先] 优先计划、检测、复盘和欺骗防御设计；真实演练动作必须受 ROE 约束。 [硬边界] 生产演练、诱捕部署、主动对抗、第三方目标和会影响用户的控制变更先确认。

普通紫队/欺骗防御任务按本节先推进；只有真实演练执行或多团队控制验证时再展开完整工作流。

能力定位

面向紫队、ATT&CK 映射、检测覆盖验证和欺骗防御的安全运营改进能力。它把攻击行为语言翻译成可观测、可检测、可改进的防御能力。

能交付什么

• ATT&CK 技术映射和演练假设
• 检测覆盖矩阵、日志需求和响应验证点
• 蜜罐/诱饵/canary 设计建议
• 演练复盘、差距和改进 backlog

可以接收什么输入

• 攻击行为描述、检测规则、日志源、SOC 反馈
• ATT&CK 技术、演练计划、告警数据、响应流程
• 蜜罐/诱饵需求、资产清单、覆盖指标

放心使用的边界

• 只做授权演练、防御验证和欺骗防御设计
• 不提供未授权攻击、规避检测、持久化或外传步骤
• 真实演练、钓鱼模拟、诱饵部署和外部交互必须先确认
• 安全类能力默认只用于授权、防御、检测、加固、验证和报告；不提供未授权攻击、凭据窃取、持久化、规避检测、C2、钓鱼收集、数据外传或破坏性步骤。

为什么可以放心

• 每个演练动作都对应可观测信号
• 检测效果用数据源、规则和样例验证
• 输出改进闭环而不是只列攻击技术

典型使用方式

使用 coff0xc-purple-deception 把这些攻击行为映射成 ATT&CK 检测覆盖矩阵。
使用 coff0xc-purple-deception 设计一次授权紫队演练和复盘指标。
Use coff0xc-purple-deception to plan honeypot/canary coverage and detection validation.

目标

用可控演练验证防御能力和可观测性，输出检测差距、响应差距和欺骗防御设计。

适用场景

• 设计紫队演练、ATT&CK 技术映射、检测覆盖评估和响应能力验证。
• 规划蜜罐、诱饵账号、诱饵文件、canary token、欺骗网络和告警流程。
• 把红队 TTP 转成防御控制、日志字段、查询规则和演练指标。

触发强化

• 自动触发主要依赖本文件 frontmatter 的 description；本 skill 已把中文、英文、工具名、来源别名和常见缩写写入 description。
• 如果没有自动触发，手动写：使用 coff0xc-purple-deception ...。
• 如果用户只写了宽泛主题，可先用 coff0xc-skill-router 路由到本 skill。

不适用场景

• 不提供真实攻击执行、规避、防御绕过或未授权演练步骤。
• 蜜罐不得与生产高权限网络混用或收集超出目的的个人信息。
• 不把命中诱饵直接等同于入侵成功，需要验证上下文。

执行原则

• 先读取项目文件、配置、调用点、现有风格和可用工具，再下结论或改文件。
• 把用户目标转成可验证的完成标准；不确定但低风险的细节记录为假设并继续推进。
• 涉及当前事实、版本、CVE、云服务、GitHub 状态、价格、外部 API 或论文时，查真实来源并标注证据等级。
• 涉及代码改动时保持最小正确改动，优先使用现有框架、脚本、测试和本地工具。
• 只有真实运行过的命令、测试、构建、扫描或人工检查才能写成已验证。
• 涉及删除、远程写入、生产、凭据、付费、push、PR/Issue、CI/CD、权限或基础设施变更时，先拿到明确授权。

安全边界

• 只处理自有资产、明确授权资产、实验室、CTF、靶场、日志、配置、样本、代码审计、防御建设和报告写作。
• 真实第三方目标上不提供漏洞利用、凭证获取、持久化、规避检测、C2、钓鱼收集、数据外传、破坏或未授权访问步骤。
• 高风险请求默认转为防御输出：授权边界、风险解释、检测思路、日志查询、规则草案、加固方案、验证清单和报告结构。
• 主动联网扫描、云账号检查、目录/租户查询或生产环境动作前，确认目标范围、速率、时间窗口、禁止动作和回滚方式。
• 发现密钥、个人信息、样本敏感数据或客户数据时，只报告类型、位置和处置建议，不复述完整秘密值。

能力矩阵

能力域	覆盖范围	执行要点
ATT&CK 映射	战术、技术、数据源、检测、响应和预防控制	形成覆盖矩阵。
演练计划	目标、范围、场景、角色、时间、成功标准、停止条件	可安全执行。
检测验证	日志字段、SIEM/EDR 查询、告警、误报、漏报、延迟	评估真实能力。
响应验证	triage、升级、沟通、遏制、恢复、复盘	流程可演练。
欺骗防御	honeypot、decoy account、decoy file、canary、fake service	隔离和监控明确。
指标	coverage、MTTD、MTTR、precision、recall、alert fatigue、control gap	改进可量化。

子域路由

来源 skill	并入后的处理方式
purple-team	紫队计划、ATT&CK 映射、控制验证和复盘。
honeypot	欺骗防御、诱饵、隔离、告警和运维风险。

工作流

阶段	动作	完成标准
目标范围	定义业务风险、技术范围、参与角色、禁止动作和停止条件。	演练可控。
技术映射	选择 ATT&CK 技术、预期遥测、检测规则和响应动作。	验证点明确。
安全模拟	设计低风险模拟或桌面演练，不输出攻击细节。	能触发控制。
数据采集	记录告警时间、日志字段、响应动作和沟通记录。	有可复查证据。
差距分析	识别无日志、无规则、误报、延迟、流程卡点。	改进项具体。
路线图	按收益和成本安排检测、响应、欺骗和培训改进。	闭环治理。

证据等级

• 已验证：本地命令、测试、构建、源码、配置、日志、官方资料或可复现数据支持。
• 高可信：多个可靠来源一致，但当前环境没有完整复现。
• 推断：基于已验证事实的合理判断，需要后续验证。
• 未验证：尚未确认，不能作为最终结论。
• 未知：资料不足，需要补充输入或授权。

硬门禁

• 演练前确认授权、通知范围、生产影响和回滚。
• 蜜罐上线前确认隔离、日志保留、隐私和法律边界。
• 不在真实外部目标上执行模拟攻击。

验证清单

• 每个技术有预期和实际检测对比。
• 每个告警有字段、时间戳、规则名和响应记录。
• 欺骗资产有隔离、访问审计和误触处理。
• 复盘项有 owner 和完成标准。

反模式

• 只做红队动作展示，不验证蓝队能力。
• 演练后没有复盘和整改追踪。
• 诱饵过于真实导致业务和隐私风险。
• 只统计覆盖率，不看告警质量和响应时间。

合并来源

• honeypot
• purple-team

本机相近 Skill

• source-command-purple-team
• detection-engineering

输出合同

完成：
- ...

证据：
- [已验证/高可信/推断/未验证/未知] ...

行动：
- ...

验证：
- ...

剩余风险：
- ...

下一步：
- ...