Red Team vs. Blue Team: Praxis & Rollen

Begriffe (kurz)

• Red Team: adversary emulation, stealth, chain-based
• Blue Team: detection, response, hardening, monitoring
• Purple Team: gemeinsames Üben: „Kann Blue das sehen?“

MITRE ATT&CK als gemeinsame Sprache

ATT&CK hilft, Technik und Detection zu verknüpfen: TTPs → Logs → Detections → Response.

• Mapping: TTP → Datenquelle (EDR, Windows Event Log, Firewall)
• Detection Gap Analysis: was seht ihr heute nicht?
• Use-Case Backlog: priorisiert nach Risiko

Beispiel: Übung „Credential Access“

• Red: Password spraying / token theft (simuliert)
• Blue: Sign-in risk + unusual location + MFA fatigue detection
• Outcome: Conditional Access, rate limiting, alerts, playbook

Deliverables, die bleiben

• Detection Rules (Sigma/KQL), Runbooks, Tuning Notes
• Lessons Learned + backlog items mit Owner
• Retest/Repeat im Quartal