Atomic Red Team
¿Qué es Atomic Red Team?
Atomic Red TeamBiblioteca open source de pruebas pequenas y focalizadas creada por Red Canary que emula tecnicas individuales de MITRE ATT&CK para validar detecciones y controles.
Atomic Red Team es un proyecto open source mantenido por Red Canary que provee una biblioteca de pruebas pequenas y portables mapeadas a tecnicas y subtecnicas de MITRE ATT&CK. Cada test atomico es un procedimiento definido en YAML con prerrequisitos, ejecutor (PowerShell, sh, command_prompt o manual) y pasos de limpieza, y se ejecuta en segundos. El modulo PowerShell asociado Invoke-AtomicRedTeam orquesta la ejecucion. Los equipos azules usan Atomic Red Team para validar que las detecciones de endpoint y SIEM disparan, medir la cobertura segun la matriz ATT&CK y formar nuevos analistas con emulacion de adversarios reproducible. Los atomics complementan herramientas mas amplias como Caldera y plataformas comerciales de BAS.
● Ejemplos
- 01
Ejecutar Atomic T1059.001-1 para verificar que el EDR detecta una ejecucion benigna de PowerShell con comandos codificados.
- 02
Generar una capa de ATT&CK Navigator con los atomics ejecutados para visualizar lagunas de cobertura.
● Preguntas frecuentes
¿Qué es Atomic Red Team?
Biblioteca open source de pruebas pequenas y focalizadas creada por Red Canary que emula tecnicas individuales de MITRE ATT&CK para validar detecciones y controles. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Atomic Red Team?
Biblioteca open source de pruebas pequenas y focalizadas creada por Red Canary que emula tecnicas individuales de MITRE ATT&CK para validar detecciones y controles.
¿Cómo funciona Atomic Red Team?
Atomic Red Team es un proyecto open source mantenido por Red Canary que provee una biblioteca de pruebas pequenas y portables mapeadas a tecnicas y subtecnicas de MITRE ATT&CK. Cada test atomico es un procedimiento definido en YAML con prerrequisitos, ejecutor (PowerShell, sh, command_prompt o manual) y pasos de limpieza, y se ejecuta en segundos. El modulo PowerShell asociado Invoke-AtomicRedTeam orquesta la ejecucion. Los equipos azules usan Atomic Red Team para validar que las detecciones de endpoint y SIEM disparan, medir la cobertura segun la matriz ATT&CK y formar nuevos analistas con emulacion de adversarios reproducible. Los atomics complementan herramientas mas amplias como Caldera y plataformas comerciales de BAS.
¿Cómo defenderse de Atomic Red Team?
Las defensas contra Atomic Red Team combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Atomic Red Team?
Nombres alternativos comunes: ART.
● Términos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza y correlaciona telemetría de seguridad de toda la organización para detectar, investigar, cumplir y reportar.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.