Blue Team
Что такое Blue Team?
Blue TeamЗащитная команда, отвечающая за мониторинг, обнаружение, реагирование и постоянное улучшение защиты от атак.
Как и red team, термин blue team пришёл из военных учений, где «синие» представляли защитников. В кибербезопасности blue team объединяет аналитиков SOC, инженеров обнаружения, специалистов IR, threat-хантеров и операторов платформ безопасности (SIEM, EDR, XDR, SOAR, IAM). Их работа охватывает превенцию, обнаружение, реагирование и восстановление: укрепление систем, написание и тюнинг правил, триаж оповещений, руководство расследованиями инцидентов и передачу уроков в архитектуру и процессы. Эффективность blue team часто измеряют MTTD, MTTR и покрытием обнаружения относительно MITRE ATT&CK.
● Примеры
- 01
Аналитик SOC обрабатывает оповещение EDR и через данные SIEM подтверждает плацдарм, полученный через фишинг.
- 02
Инженер обнаружения пишет правило Sigma, чтобы ловить технику, использованную red team на прошлой неделе.
● Частые вопросы
Что такое Blue Team?
Защитная команда, отвечающая за мониторинг, обнаружение, реагирование и постоянное улучшение защиты от атак. Относится к категории Защита и операции в кибербезопасности.
Что означает Blue Team?
Защитная команда, отвечающая за мониторинг, обнаружение, реагирование и постоянное улучшение защиты от атак.
Как защититься от Blue Team?
Защита от Blue Team обычно сочетает технические меры и операционные практики, как описано в определении выше.