Atomic Red Team
Qu'est-ce que Atomic Red Team ?
Atomic Red TeamBibliotheque open source de petits tests cibles publiee par Red Canary, qui emule des techniques individuelles MITRE ATT&CK pour valider les detections et controles.
Atomic Red Team est un projet open source maintenu par Red Canary qui fournit une bibliotheque de petits tests portables relies aux techniques et sous-techniques MITRE ATT&CK. Chaque test atomique est une procedure decrite en YAML avec prerequis, executeur (PowerShell, sh, command_prompt ou manuel) et etapes de nettoyage, executable en quelques secondes. Le module PowerShell Invoke-AtomicRedTeam orchestre l'execution. Les blue teams utilisent Atomic Red Team pour verifier que les detections EDR et SIEM se declenchent, mesurer la couverture selon la matrice ATT&CK et former de nouveaux analystes via une emulation d'adversaire reproductible. Les atomics completent des outils plus larges comme Caldera et les plateformes BAS commerciales.
● Exemples
- 01
Lancer Atomic T1059.001-1 pour confirmer que l'EDR detecte une execution PowerShell benigne avec commande encodee.
- 02
Generer une couche ATT&CK Navigator des atomics executes afin de visualiser les zones non couvertes.
● Questions fréquentes
Qu'est-ce que Atomic Red Team ?
Bibliotheque open source de petits tests cibles publiee par Red Canary, qui emule des techniques individuelles MITRE ATT&CK pour valider les detections et controles. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Atomic Red Team ?
Bibliotheque open source de petits tests cibles publiee par Red Canary, qui emule des techniques individuelles MITRE ATT&CK pour valider les detections et controles.
Comment fonctionne Atomic Red Team ?
Atomic Red Team est un projet open source maintenu par Red Canary qui fournit une bibliotheque de petits tests portables relies aux techniques et sous-techniques MITRE ATT&CK. Chaque test atomique est une procedure decrite en YAML avec prerequis, executeur (PowerShell, sh, command_prompt ou manuel) et etapes de nettoyage, executable en quelques secondes. Le module PowerShell Invoke-AtomicRedTeam orchestre l'execution. Les blue teams utilisent Atomic Red Team pour verifier que les detections EDR et SIEM se declenchent, mesurer la couverture selon la matrice ATT&CK et former de nouveaux analystes via une emulation d'adversaire reproductible. Les atomics completent des outils plus larges comme Caldera et les plateformes BAS commerciales.
Comment se défendre contre Atomic Red Team ?
Les défenses contre Atomic Red Team combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Atomic Red Team ?
Noms alternatifs courants : ART.
● Termes liés
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.