Blue Team
¿Qué es Blue Team?
Blue TeamGrupo defensivo responsable de monitorizar, detectar, responder y mejorar continuamente las defensas frente a ataques.
Como los red teams, el concepto de blue team proviene de ejercicios militares en los que la fuerza "azul" representaba a los defensores. En ciberseguridad, el blue team agrupa a analistas del SOC, ingenieros de detección, respondedores de incidentes, threat hunters y a los operadores de las plataformas de seguridad (SIEM, EDR, XDR, SOAR, IAM). Su trabajo abarca prevención, detección, respuesta y recuperación: endurecer sistemas, escribir y afinar detecciones, triar alertas, dirigir investigaciones de incidentes y trasladar las lecciones aprendidas a la arquitectura y al proceso. La eficacia del blue team se mide con métricas como MTTD, MTTR y cobertura de detección frente a MITRE ATT&CK.
● Ejemplos
- 01
Un analista de SOC tría una alerta de EDR y pivota en los datos del SIEM para confirmar un foothold por phishing.
- 02
Un ingeniero de detección escribe una regla Sigma para capturar la técnica usada en el ejercicio red team de la semana pasada.
● Preguntas frecuentes
¿Qué es Blue Team?
Grupo defensivo responsable de monitorizar, detectar, responder y mejorar continuamente las defensas frente a ataques. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Blue Team?
Grupo defensivo responsable de monitorizar, detectar, responder y mejorar continuamente las defensas frente a ataques.
¿Cómo defenderse de Blue Team?
Las defensas contra Blue Team combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.