Purple Team
Was ist Purple Team?
Purple TeamKollaboratives Übungsmodell, in dem Red und Blue Team offen zusammenarbeiten, um Detection und Response nahezu in Echtzeit zu verbessern.
Purple Team ist die Mischung aus Rot und Blau. Statt einer verdeckten Beurteilung läuft die Übung transparent ab: Offensive Operatoren führen gezielt TTPs aus, während die Verteidiger Telemetrie beobachten, Detections validieren und Regeln direkt nachjustieren. Ziel ist nicht „Sieg", sondern maximaler Lernzuwachs pro Technik und nachweisbare Verbesserungen: neue Detections, bessere Logs, getunte Alarme, schnellere Runbooks. Purple Teaming wird meist entlang MITRE ATT&CK organisiert und schließt sehr wirksam die Sichtbarkeitslücken, die klassische Red-Team-Übungen aufdecken, aber selten beheben können.
● Beispiele
- 01
Zweitägige Übung, in der das Red Team 20 ATT&CK-Techniken sequenziell ausführt, während Blue live Detections tunt.
- 02
Kontinuierliches Purple-Programm, das wöchentlich aktuelle Ransomware-Playbooks emuliert.
● Häufige Fragen
Was ist Purple Team?
Kollaboratives Übungsmodell, in dem Red und Blue Team offen zusammenarbeiten, um Detection und Response nahezu in Echtzeit zu verbessern. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Purple Team?
Kollaboratives Übungsmodell, in dem Red und Blue Team offen zusammenarbeiten, um Detection und Response nahezu in Echtzeit zu verbessern.
Wie schützt man sich gegen Purple Team?
Schutzmaßnahmen gegen Purple Team kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.