Blue Team
Was ist Blue Team?
Blue TeamDefensives Sicherheitsteam, das Angriffe überwacht, erkennt, abwehrt und die Verteidigung kontinuierlich verbessert.
Wie das Red-Team stammt der Begriff Blue Team aus militärischen Übungen, in denen die "blaue" Partei die Verteidiger darstellte. In der Cybersicherheit umfasst das Blue Team SOC-Analysten, Detection Engineers, Incident Responder, Threat Hunter und die Betreiber der Sicherheitsplattformen (SIEM, EDR, XDR, SOAR, IAM). Die Arbeit reicht von Prävention, Detection, Response bis Recovery: Härtung, Schreiben und Tuning von Detections, Triage, Leitung von Incident-Investigations und Übertragen der Erkenntnisse in Architektur und Prozess. Die Effektivität wird oft an Kennzahlen wie MTTD, MTTR und Detection-Coverage gegenüber MITRE ATT&CK gemessen.
● Beispiele
- 01
Ein SOC-Analyst triagiert einen EDR-Alarm und pivotiert über SIEM-Daten, um einen Phishing-getriebenen Foothold zu bestätigen.
- 02
Ein Detection Engineer schreibt eine Sigma-Regel zur Erkennung der Technik aus der Red-Team-Übung der letzten Woche.
● Häufige Fragen
Was ist Blue Team?
Defensives Sicherheitsteam, das Angriffe überwacht, erkennt, abwehrt und die Verteidigung kontinuierlich verbessert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Blue Team?
Defensives Sicherheitsteam, das Angriffe überwacht, erkennt, abwehrt und die Verteidigung kontinuierlich verbessert.
Wie schützt man sich gegen Blue Team?
Schutzmaßnahmen gegen Blue Team kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.