Definição de escopo
Definimos, junto com o cliente, os objetivos do exercício, os ativos envolvidos, os cenários prioritários, as restrições operacionais e os limites de execução.
Purple Team · 03 · serviço
Ataque e defesaevoluindojuntos.
Exercícios colaborativos em que técnicas ofensivas são executadas com o Blue Team acompanhando em tempo real. Cada ação se transforma em uma oportunidade para aprimorar detecções, revisar alertas e fortalecer a resposta a incidentes.
Aprendizado em loop fechado.
A diferença em relação ao Red Team está na transparência. No Purple Team, o Blue Team sabe que a atividade está acontecendo, acompanha as técnicas executadas, analisa a telemetria gerada e participa dos ajustes defensivos. Cada técnica aplicada se torna uma oportunidade para melhorar regras de SIEM, EDR, WAF, playbooks e processos de resposta. O resultado não é apenas um relatório, mas uma evolução prática da cobertura defensiva.
Como funciona o exercício
Seleção de TTPs
Selecionamos técnicas relevantes da matriz MITRE ATT&CK de acordo com o contexto, os riscos, a superfície de ataque e a stack defensiva do cliente.
Execução controlada
Executamos as TTPs em ambiente autorizado e monitorado, simulando comportamentos adversários reais sem comprometer a continuidade operacional.
Observação conjunta
O Blue Team acompanha a execução em tempo real, analisando logs, alertas, eventos, telemetria e comportamento dos controles defensivos.
Ajuste imediato
Quando uma técnica não é detectada, investigamos a causa em conjunto e orientamos os ajustes necessários nas regras, correlações, integrações ou processos de resposta.
Re-execução controlada
Após os ajustes, a técnica é executada novamente para validar se a detecção ocorre de forma adequada e dentro do comportamento esperado.
Cobertura por matriz
Ao final do exercício, a organização recebe um mapa atualizado de cobertura MITRE ATT&CK, indicando técnicas cobertas, parcialmente cobertas e não cobertas.
Capacitação e transferência
Consolidamos os aprendizados com o time defensivo, reforçando como reconhecer padrões ofensivos, investigar eventos e evoluir a detecção com base nas técnicas executadas.
Como o exercício se organiza
01step
Alinhamento
Definimos as TTPs a serem avaliadas, o ambiente em escopo, as ferramentas defensivas envolvidas e os critérios de sucesso do exercício.
02step
Baseline
Mapeamos a cobertura atual em relação à matriz MITRE ATT&CK, estabelecendo o ponto inicial para medir a evolução durante o exercício.
03step
Execução transparente
As técnicas são executadas de forma controlada e acompanhada, permitindo que o Blue Team observe eventos, logs, alertas e lacunas de visibilidade.
04step
Ajuste defensivo
Quando a detecção não ocorre, ou ocorre de forma incompleta, trabalhamos junto com o time para revisar regras, correlações, alertas e procedimentos.
05step
Re-execução
Após cada ajuste relevante, a técnica é repetida para confirmar se a melhoria aplicada produziu o resultado esperado.
06step
Relatório de cobertura
Entregamos um mapa atualizado de cobertura ATT&CK, incluindo técnicas executadas, detecções observadas, ajustes realizados, gaps remanescentes e recomendações.
Por que faz diferença
benefício
Cobertura mensurável
A organização visualiza a evolução da cobertura defensiva antes e depois do exercício, com base em técnicas reais da matriz ATT&CK.
benefício
Melhorias aplicadas durante o exercício
O resultado inclui ajustes práticos em regras, correlações, alertas ou processos, reduzindo a distância entre diagnóstico e melhoria operacional.
benefício
Blue Team mais preparado
A equipe aprende na prática como técnicas ofensivas aparecem nos logs, nos alertas e na telemetria das ferramentas de segurança.
benefício
Decisão de investimento informada
O exercício ajuda a diferenciar gaps de tecnologia, processo, visibilidade, configuração e capacitação da equipe.
benefício
Complemento entre Pentest e Red Team
É mais colaborativo que Red Team e mais orientado à detecção do que Pentest, sendo ideal para times que querem evoluir maturidade defensiva.
benefício
Evolução contínua da defesa
Pode ser realizado em ciclos recorrentes, com foco em novas técnicas, novos vetores e melhorias progressivas na cobertura defensiva.
Perguntas frequentes
Não obrigatoriamente. Porém, o exercício gera mais valor quando a organização já possui alguma stack defensiva em operação, como SIEM, EDR, XDR, WAF ou processos mínimos de análise e resposta. Para ambientes ainda sem detecção estruturada, pode ser mais indicado iniciar por Pentest ou assessment defensivo.
Quer transformar técnicas ofensivas em melhoria real de detecção?
Conte o contexto do seu Blue Team, a stack defensiva utilizada e os principais cenários que deseja validar. Retornamos com uma proposta de exercício, escopo e próximos passos.