Blue Team
O que é Blue Team?
Blue TeamEquipe defensiva responsável por monitorar, detectar, responder e melhorar continuamente as defesas contra ataques.
Assim como o red team, o conceito de blue team vem de exercícios militares em que a força "azul" representava os defensores. Em cibersegurança, o blue team reúne analistas de SOC, engenheiros de detecção, respondedores de incidentes, threat hunters e operadores das plataformas (SIEM, EDR, XDR, SOAR, IAM). O trabalho abrange prevenção, detecção, resposta e recuperação: endurecer sistemas, escrever e afinar detecções, triar alertas, conduzir investigações e levar as lições aprendidas para a arquitetura e o processo. A eficácia do blue team costuma ser medida por MTTD, MTTR e cobertura de detecção em relação ao MITRE ATT&CK.
● Exemplos
- 01
Um analista de SOC tria um alerta de EDR e pivota pelos dados do SIEM para confirmar um ponto de apoio originado de phishing.
- 02
Um engenheiro de detecção escreve uma regra Sigma para capturar a técnica usada no exercício red team da semana passada.
● Perguntas frequentes
O que é Blue Team?
Equipe defensiva responsável por monitorar, detectar, responder e melhorar continuamente as defesas contra ataques. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Blue Team?
Equipe defensiva responsável por monitorar, detectar, responder e melhorar continuamente as defesas contra ataques.
Como se defender contra Blue Team?
As defesas contra Blue Team costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.