Purple Team
Что такое Purple Team?
Purple TeamСовместный формат учений, в котором red и blue team открыто работают вместе, чтобы улучшать обнаружение и реагирование почти в реальном времени.
Purple team — это сплав «красных» и «синих». В отличие от скрытной оценки, такое упражнение прозрачно: наступательные операторы выполняют конкретные TTP, а защитники одновременно наблюдают телеметрию, проверяют детекты и сразу же подкручивают правила. Цель — не «победить», а максимизировать обучение по каждой технике и оставить организации измеримые улучшения: новые правила, лучшие логи, настроенные оповещения, более быстрые ранбуки. Обычно объём purple-учений задаётся по MITRE ATT&CK; этот формат хорошо закрывает пробелы видимости, которые традиционный red team выявляет, но не успевает устранить.
● Примеры
- 01
Двухдневное упражнение, где red team последовательно выполняет 20 техник ATT&CK, а blue в реальном времени тюнит детекты.
- 02
Постоянная purple-программа, еженедельно эмулирующая свежие плейбуки шифровальщиков.
● Частые вопросы
Что такое Purple Team?
Совместный формат учений, в котором red и blue team открыто работают вместе, чтобы улучшать обнаружение и реагирование почти в реальном времени. Относится к категории Защита и операции в кибербезопасности.
Что означает Purple Team?
Совместный формат учений, в котором red и blue team открыто работают вместе, чтобы улучшать обнаружение и реагирование почти в реальном времени.
Как защититься от Purple Team?
Защита от Purple Team обычно сочетает технические меры и операционные практики, как описано в определении выше.