Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Penetration Testing Glossar

Purple Team

Kollaborativer Sicherheitsansatz, bei dem Angreifer (Red Team) und Verteidiger (Blue Team) gemeinsam arbeiten, um Detection und Response zu verbessern. Purple Teaming überbrückt die Lücke zwischen Angriffssimulation und operativer Sicherheitsverbesserung - mit sofortiger Rückkopplung.

Purple Teaming ist die synergetische Verbindung von Red Team (Angriff) und Blue Team (Verteidigung). Statt getrennte Übungen durchzuführen, arbeiten beide Teams zusammen: Der Angreifer zeigt eine Technik, der Verteidiger prüft ob er sie erkennt - und wenn nicht, verbessern beide gemeinsam die Detection.

Red Team vs. Blue Team vs. Purple Team

Red Team:

  • Simuliert echte Angreifer
  • Ziel: unentdeckt bleiben, Ziele erreichen
  • Ergebnis: “Wir sind eingedrungen, ohne erkannt zu werden”
  • Problem: Blue Team weiß nicht warum sie es verpasst haben

Blue Team:

  • Verteidigt die Umgebung
  • Reagiert auf Incidents
  • Problem: sieht nie wie Angreifer wirklich vorgehen

Purple Team:

  • Red + Blue arbeiten gemeinsam
  • Red führt Technik durch → Blue prüft Detection
  • Wenn nicht erkannt: gemeinsam Detection-Regel erstellen
  • Iteration bis Coverage vollständig
  • Ergebnis: “Für Technik T1059.001 haben wir jetzt 3 Detection-Regeln”

Purple Team Exercise - Ablauf

Vorbereitung

  1. MITRE ATT&CK-Framework als Grundlage
  2. Bedrohungsmodell: welche APT-Gruppen sind relevant? (“Wir sind im Finanzsektor → APT28, Lazarus Group”)
  3. Scope: welche ATT&CK-Techniken testen wir heute? (z.B. Credential Access: T1003, T1110, T1558)

Durchführung (iterativ für jede Technik)

  1. Red Team: Technik ankündigen (kein Überraschungseffekt!) - “Wir führen jetzt Kerberoasting durch (T1558.003)”
  2. Red Team: Technik ausführen
GetUserSPNs.py -request firma.de/analyst:Password123
  1. Blue Team: prüft Logs sofort - “Haben wir das in unserem SIEM gesehen?”
  2. Bei Miss: Gemeinsam analysieren - “Was hätte erkennbar sein müssen?” / “Event ID 4769 mit RC4-Verschlüsselung - warum keine Regel?”
  3. Detection-Regel erstellen - “Alert wenn: EventID=4769 AND TicketEncryptionType=0x17”
  4. Regel testen: Red Team wiederholt Technik - “Jetzt Alert?” → Ja: nächste Technik

ATT&CK-Coverage messen

MITRE ATT&CK Navigator

  • Visualisiert welche Techniken erkannt werden können
  • Grün: Detection vorhanden
  • Gelb: Partial Detection
  • Rot: keine Detection

Vor Purple Team Exercise

  • Viele rote Felder (keine Coverage)
  • Besonders T1059 (Command & Scripting), T1003 (Credential Dumping) und T1486 (Ransomware Encryption) oft unabgedeckt

Nach Purple Team Exercise

  • Coverage messbar gestiegen
  • Jeder rote Bereich hat Priorisierung
  • Detection-Lücken dokumentiert + Roadmap für Schließung

Reporting an Management

“Wir haben heute 15 ATT&CK-Techniken getestet. 10 wurden erkannt, 5 wurden verbessert. Verbleibende Lücke: T1190 (Exploit Public-Facing Application) → Erfordert NGFW-IPS-Update (geplant Q2 2026)“

Purple Teaming mit MITRE CALDERA

# CALDERA - Open Source Adversary Emulation Platform
# MITRE ATT&CK Technik ausführen und Detection prüfen

# CALDERA starten
git clone https://github.com/mitre/caldera.git
cd caldera
pip3 install -r requirements.txt
python3 server.py --insecure

# Im Browser: http://localhost:8888
# Admin/admin

# Operationen:
# 1. Ability (Technik) wählen aus ATT&CK-Bibliothek
# 2. Adversary (Angriffsprofil) zusammenstellen
# 3. Operation starten → Agent führt Technik aus
# 4. Logs im SIEM prüfen

# Beliebte Abilities:
# T1059.001: PowerShell Execution (Test: was wird geloggt?)
# T1003.001: LSASS Memory Dump (Test: EDR Alert?)
# T1071.001: HTTP C2 Beaconing (Test: NDR Detection?)

# Atomic Red Team (alternative):
# Invoke-AtomicTest T1059.001 -TestNumbers 1

Purple Team vs. Penetrationstest

KriteriumPenetrationstestPurple Team
ZielSchwachstellen findenDetection & Response verbessern
ErgebnisBefundliste + EmpfehlungenVerbesserte SIEM-Regeln, Playbooks
SichtAngreifer-PerspektiveGemeinsam (Red + Blue)
Output”Diese Schwachstellen existieren""Diese Techniken werden jetzt erkannt”

Wann welches Verfahren?

  • Penetrationstest: Erst einmal: Schwachstellen finden und beheben
  • Purple Team: Danach: Detection-Coverage systematisch verbessern
  • Red Team Exercise: Realer Angriffstest (nach Purple-Team-Phase)

Für welche Unternehmen?

AnsatzZielgruppe
PenetrationstestAlle (Mindestanforderung)
Purple TeamUnternehmen mit eigenem SOC-Team
Red TeamEnterprise mit reifem Sicherheitsprogramm

AWARE7 Leistungen zum Thema

Penetrationstest Red Team Assessment

Ausführlicher Wiki-Artikel

Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen

13 min Lesezeit

Threat Intelligence: Angreifer verstehen bevor sie angreifen

11 min Lesezeit

Verwandte Begriffe

MITRE ATT&CK Red Team / Blue Team / Purple Team SOC (Security Operations Center) Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung