Saldırı ve savunma ekipleri genellikle birbirinden kopuk çalışır: Red bulur, Blue düzeltmeye çalışır, ama arada değerli bilgi kaybolur. Purple Team bu duvarı kaldırır; iki ekibi aynı masaya oturtur ve öğrenmeyi hızlandırır.
SAVKOR’un Purple Team çalışmaları, MITRE ATT&CK matrisi üzerinde yürür. Red ekip bir tekniği çalıştırırken Blue ekip tespit sürecini gerçek zamanlı izler; kaçırılan her teknik için tespit kuralları anında geliştirilir ve yeniden test edilir. Sonuç, teorik değil, kanıtlanmış ve ölçülebilir bir tespit kabiliyeti artışıdır.
Test Kapsamı
- Red ve Blue ekiplerinin koordineli çalışması
- Teknik bazında tespit doğrulama
- SIEM/EDR kural ve alarm iyileştirme
- Tespit boşluklarının gerçek zamanlı kapatılması
- MITRE ATT&CK kapsam haritalaması
- Bilgi aktarımı ve ekip gelişimi
Metodoloji
- 01
Planlama & Kapsam
Test edilecek ATT&CK teknikleri ve hedef kontroller birlikte belirlenir.
- 02
Koordineli Uygulama
Red ekip teknikleri çalıştırırken Blue ekip tespit sürecini gerçek zamanlı izler.
- 03
Anlık Değerlendirme
Her teknik için tespit edildi/edilmedi durumu birlikte değerlendirilir.
- 04
İyileştirme
Kaçırılan teknikler için tespit kuralları anında geliştirilir ve yeniden test edilir.
- 05
Raporlama
Önce/sonra kapsam karşılaştırması ve kalıcı iyileştirme önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve tespit olgunluğu görünümü
- Teknik bazında önce/sonra tespit sonuçları
- Geliştirilen SIEM/EDR tespit kuralları
- MITRE ATT&CK kapsam haritası
- Ekip için bilgi aktarımı ve öneriler
Sık Sorulan Sorular
Purple Team, Red ve Blue'nun yerini mi alır?
Hayır, onları birleştirir. Purple Team ayrı bir ekip değil, Red ve Blue'nun aynı masada, birbirinden öğrenerek çalıştığı bir yaklaşımdır. Amaç rekabet değil, tespit kabiliyetini birlikte geliştirmektir.
Kendi güvenlik ekibimiz yoksa yapılabilir mi?
Purple Team'in en büyük faydası mevcut bir Blue Team (SOC/güvenlik ekibi) ile ortaya çıkar. Ekibiniz yoksa önce Red Team veya adversary emulation daha uygun olabilir; birlikte değerlendirebiliriz.
Sonucunda ekibimiz ne kazanır?
Somut olarak geliştirilmiş tespit kuralları, kapatılmış tespit boşlukları ve ekibinizin gerçek saldırı teknikleriyle kazandığı deneyim. Kalıcı bir kabiliyet artışı hedeflenir.