蓝队

Q: 蓝队 是什么?

负责监控、检测、响应并持续改进防御能力的防守方安全团队。 它属于网络安全的 防御与运营 分类。

Q: 如何防御 蓝队?

针对 蓝队 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

蓝队是什么?

蓝队负责监控、检测、响应并持续改进防御能力的防守方安全团队。

蓝队概念同样来自军事演习,其中"蓝方"代表防守方。网络安全中,蓝队包括 SOC 分析师、检测工程师、应急响应人员、威胁猎手以及各安全平台(SIEM、EDR、XDR、SOAR、IAM)的运营者。其工作覆盖预防、检测、响应与恢复:加固系统、编写并优化检测规则、研判告警、主导事件调查,并将经验反馈回架构与流程。蓝队的成效通常以 MTTD、MTTR 以及相对 MITRE ATT&CK 的检测覆盖率等指标衡量。

● 示例

01
SOC 分析师研判 EDR 告警,通过 SIEM 数据透视确认一次由钓鱼引发的立足点。
02
检测工程师为上周红队演练中使用的技术编写一条 Sigma 规则。

● 常见问题

蓝队是什么?

负责监控、检测、响应并持续改进防御能力的防守方安全团队。它属于网络安全的防御与运营分类。

蓝队是什么意思?

负责监控、检测、响应并持续改进防御能力的防守方安全团队。

如何防御蓝队?

针对蓝队的防御通常结合技术控制与运营实践,详见上方完整定义。

蓝队

蓝队是什么?

● 示例

● 常见问题

● 相关术语

● 另见

蓝队 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

蓝队是什么?