حافظ
همکاری قرمز و آبی

تمرینات تیم بنفش

همکاری بلادرنگ تیم قرمز و آبی برای بهبود سریع قابلیت‌های تشخیص. تست تکنیک‌های حمله واقعی با بازخورد فوری و ایجاد قوانین تشخیص.

MITRE ATT&CKبهبود تکرارشوندهSigma/YARA Rulesتست تشخیص
درخواست تمرین تیم بنفشمشاوره رایگان

قدرت همکاری

تیم بنفش = بهترین‌های تیم قرمز + تیم آبی با همکاری بلادرنگ

تیم قرمز
  • اجرای تکنیک‌های حمله واقعی
  • تست کنترل‌های امنیتی
  • شناسایی نقاط ضعف
  • شبیه‌سازی مهاجم
پیشنهادی
تیم بنفش
  • همکاری بلادرنگ
  • انتقال دانش فوری
  • بهبود تکرارشونده
  • اشتراک TTPs
تیم آبی
  • نظارت و تشخیص حملات
  • پاسخ به حادثه
  • بهبود کنترل‌ها
  • تنظیم SIEM/EDR

چه چیزی شامل می‌شود

همکاری بلادرنگ

تیم قرمز تکنیک‌ها را اجرا می‌کند در حالی که تیم آبی نظارت، شناسایی و پاسخ می‌دهد—با حلقه بازخورد فوری

مبتنی بر MITRE ATT&CK

پوشش سیستماتیک تاکتیک‌ها و تکنیک‌ها با نرخ‌های تشخیص قابل اندازه‌گیری برای هر تکنیک

تحلیل شکاف تشخیص

نگاشت جامع آنچه شناسایی شد در برابر آنچه از دست رفت با توصیه‌های بهبود خاص

انتقال دانش

تیم آبی TTP های مهاجم را دست اول یاد می‌گیرد و قابلیت‌های شکار و تشخیص خود را بهبود می‌دهد

مهندسی تشخیص

ایجاد و تنظیم قوانین SIEM، سیاست‌های EDR و منطق تشخیص بر اساس اجرای حمله واقعی

بهبود تکرارشونده

چرخه مداوم حمله → تشخیص → بهبود → تست مجدد تا دستیابی به پوشش تشخیص

انواع تمرینات

از تمرینات ساده تا شبیه‌سازی تهدید پیشرفته

سطح مبتدی
تمرینات میز تحریر

بررسی مبتنی بر گفتگوی سناریوهای حمله بدون اجرای واقعی

سطح متوسط
تست تشخیص

اجرای تکنیک‌های خاص برای اعتبارسنجی و تنظیم قوانین تشخیص

سطح متوسط
تست اتمی

اجرای تکنیک‌های ATT&CK انفرادی با تست‌های Atomic Red Team

سطح پیشرفته
شبیه‌سازی زنجیره حمله

شبیه‌سازی حملات چند مرحله‌ای برای تست قابلیت‌های تشخیص سرتاسری

سطح پیشرفته
شبیه‌سازی تهدید

شبیه‌سازی گروه‌های APT خاص بر اساس تهدید اطلاعاتی با رویکرد تیم بنفش

برنامه سازمانی
تیم بنفش مداوم

برنامه مداوم با تمرینات منظم در طول سال

دسته‌بندی تکنیک‌های تست‌شده

نمونه‌ای از تکنیک‌های MITRE ATT&CK که در تمرینات پوشش می‌دهیم

دسترسی اولیه
فیشینگ (ماکرو، لینک، پیوست)Drive-by CompromiseExternal Remote ServicesValid Accounts
اجرا
PowerShellWindows Command ShellScheduled TaskWindows Management Instrumentation
پایداری
Registry Run KeysScheduled TasksServicesAccount Creation
فرار از دفاع
AMSI BypassObfuscationProcess InjectionMasquerading
دسترسی به اعتبارنامه
LSASS MemoryKerberoastingDCSyncCredential Dumping
حرکت جانبی
Pass-the-HashPass-the-TicketRemote ServicesWinRM/PsExec

فرآیند تمرین

1
برنامه‌ریزی و تعریف دامنه
۱-۲ روز
  • تعیین تاکتیک‌ها و تکنیک‌های هدف
  • بررسی قابلیت‌های فعلی تشخیص
  • تعریف معیارهای موفقیت
  • ایجاد برنامه تمرین
2
آماده‌سازی محیط
۱-۲ روز
  • راه‌اندازی ابزارهای نظارت
  • دسترسی به داشبوردهای SIEM/EDR
  • آماده‌سازی ابزارهای حمله
  • ایجاد کانال‌های ارتباطی
3
اجرا و مشاهده
تمرین اصلی
  • اجرای تکنیک توسط تیم قرمز
  • نظارت بلادرنگ توسط تیم آبی
  • مستندسازی نتایج تشخیص
  • بحث فوری درباره یافته‌ها
4
تحلیل و بهبود
بعد از هر تکنیک
  • تحلیل چرایی تشخیص یا عدم تشخیص
  • ایجاد/تنظیم قوانین تشخیص
  • بهبود پوشش لاگ‌گیری
  • به‌روزرسانی runbook ها
5
تست مجدد و اعتبارسنجی
بعد از بهبودها
  • اجرای مجدد تکنیک‌های از دست رفته
  • اعتبارسنجی قوانین جدید
  • تأیید عدم false positive
  • مستندسازی پیشرفت
6
گزارش و نقشه راه
۲-۳ روز
  • گزارش پوشش تشخیص
  • نقشه راه بهبود
  • توصیه‌های ابزاری
  • برنامه تمرینات آینده

تحویل‌دادنی‌ها

ماتریس پوشش تشخیص

نمای نگاشت‌شده به ATT&CK از قابلیت‌های تشخیص: شناسایی‌شده، تا حدی شناسایی‌شده، از دست رفته

بسته قوانین تشخیص

قوانین Sigma، YARA و خاص SIEM که در طول تمرینات ایجاد/تنظیم شدند

گزارش یافته‌های فنی

تحلیل دقیق هر تکنیک تست‌شده با وضعیت تشخیص و توصیه‌ها

نقشه راه بهبود

اقدامات اولویت‌بندی‌شده برای بهبود پوشش تشخیص با تخمین تلاش

Playbook های به‌روزشده

رویه‌های پاسخ به حادثه بهبودیافته بر اساس آموخته‌های تمرین

خلاصه مدیریتی

نمای کلی سطح بالا از بلوغ تشخیص و مسیر بهبود

مزایای تیم بنفش

بهبود سریع‌تر تشخیص

بازخورد فوری یادگیری را تسریع می‌کند در مقایسه با انتظار برای گزارش نهایی تیم قرمز

توسعه مهارت تیم

تیم آبی ذهنیت و تکنیک‌های مهاجم را مستقیماً از تیم قرمز یاد می‌گیرد

پیشرفت قابل اندازه‌گیری

پیگیری بهبود پوشش تشخیص در طول زمان با معیارهای ATT&CK

تشخیص‌های اعتبارسنجی‌شده

بدانید تشخیص‌های شما واقعاً در برابر تکنیک‌های حمله واقعی کار می‌کنند

ارتباط بهتر تیم

شکستن سیلوها بین تیم‌های امنیت تهاجمی و دفاعی

امنیت پیشگیرانه

ساختن دفاع در برابر TTP های شناخته‌شده قبل از حمله مهاجمان واقعی

سوالات متداول

تفاوت تیم بنفش و تیم قرمز چیست؟
آیا برای تیم بنفش به یک برنامه امنیتی بالغ نیاز داریم؟
چارچوب MITRE ATT&CK چگونه در تمرینات تیم بنفش استفاده می‌شود؟
تمرین تیم بنفش معمولاً چقدر طول می‌کشد؟
چه ابزارهایی در تمرینات تیم بنفش استفاده می‌شوند؟
چه قوانین تشخیصی در طول تمرینات ایجاد می‌کنید؟
آیا تیم امنیتی ما باید تجربه تمرینات تیم بنفش داشته باشد؟
آیا تیم بنفش می‌تواند از راه دور انجام شود؟
چگونه اولویت‌بندی می‌کنید که کدام تکنیک‌ها را تست کنید؟
بازگشت سرمایه تمرینات تیم بنفش چیست؟
آماده بهبود قابلیت‌های تشخیص هستید؟
با تیم ما تماس بگیرید تا یک برنامه تمرین تیم بنفش متناسب با نیازهای شما طراحی کنیم
درخواست تمرینمشاوره رایگان