Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Sicherheitsoperationen Glossar

Blue Team

Das Blue Team ist die Verteidigungsseite in der Cybersicherheit: Es schützt Systeme, erkennt Angriffe, reagiert auf Incidents und verbessert kontinuierlich die Sicherheitslage. Im Gegensatz zum Red Team (Angreifer) oder Purple Team (beide kombiniert) ist das Blue Team der permanente Betrieb der Verteidigung - SOC, IR-Teams, Threat Hunter und Security Engineers.

Das Blue Team ist das Rückgrat der Unternehmens-Cybersicherheit: Es betreibt den Security Operations Center (SOC), führt Incident Response durch, analysiert Malware, jagt nach Bedrohungen und verbessert kontinuierlich Erkennungs- und Schutzmaßnahmen. Während das Red Team simuliert wie Angreifer denken, lebt das Blue Team im Alarmzustand und verteidigt täglich gegen echte Angriffe.

Blue Team Aufgaben und Rollen

Security Operations Center (SOC)

  • 24/7 Monitoring von SIEM, EDR, Firewall-Logs
  • Alarm-Triage: echt oder False Positive?
  • Erste Reaktion auf Incidents (Tier 1 / Tier 2)
  • Eskalation an Incident Response Team (Tier 3)
  • Metrics: MTTD (Mean Time to Detect), MTTR (Mean Time to Respond)

Incident Response (IR)

  • Koordination bei Sicherheitsvorfällen
  • Forensik: was ist passiert? Wie? Seit wann?
  • Containment: Schaden begrenzen, Angreifer isolieren
  • Eradication: Angreifer vollständig entfernen
  • Recovery: Systeme wiederherstellen
  • Lessons Learned: was verbessern?

Threat Intelligence (TI)

  • Sammlung von IOCs (IPs, Domains, Hashes) aus Feeds
  • MISP, OpenCTI, Threat Intel Plattformen
  • Einspeisung in SIEM und EDR für automatische Erkennung
  • Attribution: welche Angreifergruppe?

Threat Hunting

  • Proaktive Suche nach versteckten Angreifern
  • Hypothesenbasiert, MITRE ATT&CK-orientiert
  • Findet: was SIEM-Regeln nicht erkennen

Detection Engineering

  • Neue SIEM-Regeln schreiben
  • Sigma-Rules, YARA-Regeln, Suricata-Regeln
  • Fine-Tuning um False Positives zu reduzieren

Vulnerability Management

  • Schwachstellen-Scanning (Nessus, Qualys, Tenable)
  • Priorisierung nach CVSS und Business Context
  • Patch-Koordination mit IT-Betrieb

Security Engineering

  • Härtung von Systemen (CIS Benchmarks)
  • Firewall-Regeln optimieren
  • Zero Trust Architektur aufbauen
  • Sicherheitsarchitektur für neue Projekte

Blue Team Kernkompetenzen

Netzwerkprotokoll-Analyse

  • TCP/IP, DNS, HTTP, SMTP auf Paket-Ebene verstehen
  • Wireshark für Traffic-Analyse
  • Zeek/Suricata für Network Detection
  • NetFlow-Analyse für Volume-Anomalien

Log-Analyse

  • Windows Event Logs: kritische Event-IDs kennen
  • Linux syslog, auditd, auth.log
  • Firewall-Logs, Proxy-Logs, DNS-Logs
  • SIEM-Querysprachen: KQL, SPL, EQL

Malware-Analyse

  • Statische Analyse: PE-Header, Strings, YARA
  • Dynamische Analyse: Sandboxing (Any.run, Cuckoo)
  • Basics von Assembly für Reverse Engineering
  • IOC-Extraktion aus Malware-Samples

Digital Forensics

  • Disk-Images erstellen und analysieren (Autopsy, FTK)
  • Memory Forensics (Volatility Framework)
  • Timestomping-Erkennung, Anti-Forensik verstehen
  • Chain of Custody für gerichtsfeste Beweise

Tool-Übersicht

KategorieTools
SIEMMicrosoft Sentinel, Splunk, QRadar, Elastic SIEM
EDRCrowdStrike Falcon, SentinelOne, Microsoft Defender
NetworkZeek, Suricata, Wireshark, NetworkMiner
ForensikAutopsy, Volatility, Eric Zimmermann Tools
TIMISP, OpenCTI, Recorded Future, Mandiant Advantage
HuntVelociraptor, Hayabusa, Chainsaw

Blue Team KPIs und Metriken

Detection

MTTD (Mean Time to Detect):

  • Wie lange bis Angriff erkannt?
  • Branchen-Benchmark: Ø 207 Tage (IBM Cost of Data Breach 2024)
  • Ziel: < 24 Stunden für kritische Systeme

Alert Volume und False Positive Rate:

  • Zu viele Alarme → Alert Fatigue → echte Alarme übersehen!
  • Ziel: < 10% False Positive Rate bei Tier-1-Alarmen

Response

MTTR (Mean Time to Respond):

  • Zeit von Erkennung bis Containment
  • Ziel: < 1 Stunde für kritische Incidents

MTTC (Mean Time to Contain):

  • Zeit bis Angreifer vollständig isoliert
  • Ziel: < 4 Stunden für Ransomware

Coverage

MITRE ATT&CK Coverage Matrix:

  • Welche TTPs können wir erkennen?
  • Welche haben wir keine Detection-Regel?
  • Tool: att&ck-navigator.mitre.org

Log Coverage:

  • Welche Systeme schicken Logs ins SIEM?
  • Lücken: welche kritischen Assets fehlen?

Quality

Mean Dwell Time:

  • Wie lange waren Angreifer vor Erkennung im Netz?
  • Ziel: < 14 Tage (idealerweise < 24 Stunden!)

Repeat Incidents:

  • Gleicher Angriffstyp mehrfach erfolgreich?
  • Lessons Learned werden nicht umgesetzt!

Blue Team vs. Red Team - Zusammenarbeit im Purple Team

Blue Team allein:

  • Kennt eigene Umgebung gut
  • Weiß oft nicht: was können echte Angreifer ausrichten?
  • “Wir haben noch nie einen Alarm gehabt” ≠ kein Angreifer da!

Red Team allein:

  • Findet Schwachstellen
  • Report landet beim Management → aber Blue Team setzt nicht um?
  • Red Team kennt Verteidigung nicht - schießt an realer Erkennung vorbei

Purple Team (Blue + Red zusammen):

  • Red Team führt Technik vor: “Wir haben Kerberoasting gemacht”
  • Blue Team prüft: wurde das erkannt? Alarm ausgelöst?
  • Live-Verbesserung der Detection-Rules
  • Sofortiger Feedback-Loop statt “Report in 6 Wochen”

Purple Team Session Ablauf

  1. Red Team kündigt TTP an: “Wir führen jetzt Pass-the-Hash aus”
  2. Blue Team monitort in Echtzeit im SIEM/EDR
  3. Red Team führt aus
  4. Gemeinsame Analyse: erkannt? Alarm? False Negative?
  5. Sofort: neue Detection Rule schreiben oder bestehende verbessern
  6. Test wiederholen: wird die Regel jetzt ausgelöst?

Vorteile gegenüber klassischem Red Teaming:

  • Keine Wartezeit auf Report
  • Blue Team versteht wirklich was Red Team gemacht hat
  • Detection Engineering in Echtzeit
  • Team-Building zwischen Offense und Defense

Blue Team Ressourcen und Zertifizierungen

Einstieg

  • CompTIA Security+ (SY0-701): Breites Grundwissen, anerkannt
  • CompTIA CySA+ (CS0-003): SOC-Analyst-Fokus, SIEM, Threat Hunting

Mittelklasse

  • GIAC GCIA (Intrusion Analyst): Netzwerk-Forensik, IDS/IPS
  • GIAC GCIH (Incident Handler): Incident Response Prozesse
  • EC-Council CHFI (Computer Hacking Forensic Investigator): Digital Forensics

Advanced

  • GIAC GREM (Reverse Engineering Malware): Malware-Analyse
  • GIAC GDAT (Defending Advanced Threats): Fortgeschrittene Verteidigung
  • Offensive Security OSDA (SOC Analyst): Praktisch ausgerichtet

Kostenlose Lernressourcen

  • Splunk Free Training (Fundamentals 1+2)
  • Microsoft SC-200 Learning Path (Sentinel)
  • Blue Team Labs Online (blueteamlabs.online)
  • CyberDefenders (cyberdefenders.org)
  • SANS Cyber Aces (kostenlos)
  • MITRE ATT&CK Training

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Incident Response

9 Min. Lesezeit

Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen

13 min Lesezeit

Threat Intelligence: Angreifer verstehen bevor sie angreifen

11 min Lesezeit

Verwandte Begriffe

Purple Team Red Team / Blue Team / Purple Team SIEM SOC (Security Operations Center) Threat Hunting
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung