Adaptive Threat Detection

Aanval en verdediging samenwerken
om detectie direct te verbeteren.

Purple Teaming combineert aanvalstechnieken met real-time detectieverbetering. Het Red Team voert uit, het Blue Team leert live en verbetert direct. Meetbare groei van je MITRE ATT&CK-dekking.

Neem contact op 24/7 Incident Hotline

Wat is Purple Teaming?

Je weet dat je MITRE ATT&CK-dekking niet compleet is. Maar welke technieken mis je? En hoe fix je dat snel? Purple Teaming geeft het antwoord. DEFION's Red Team voert aanvalstechnieken uit terwijl jouw Blue Team meekijkt en in real-time leert. Bij elke gemiste detectie worden detectieregels ter plekke aangepast en getest. Na een Purple Team sessie heb je een MITRE ATT&CK heatmap voor en na, nieuwe detectieregels en een roadmap voor de volgende verbetering.

De Dienst

Samen beter worden is efficienter dan alleen testen

Purple Teaming brengt aanval en verdediging samen in een gestructureerde samenwerking. Het Red Team voert aanvalstechnieken uit terwijl het Blue Team in real-time meekijkt, leert en de detectie verbetert. Het doel is niet scoren maar samen beter worden.

Waar Red Teaming je verdediging test, verbetert Purple Teaming die verdediging direct. Elke gesimuleerde aanvalstechniek wordt gevolgd door de vraag: zagen we dit? Zo niet, hoe zorgen we dat we het voortaan wel zien? Detectieregels worden ter plekke aangepast en gevalideerd. Je verlaat de sessie met verbeterde detectie, niet alleen met een rapport.

De sessies zijn gestructureerd rond MITRE ATT&CK. Per tactiek en techniek wordt de huidige detectiedekking beoordeeld en verbeterd. Na een Purple Team sessie weet je precies welke aanvalstechnieken je detecteert en welke niet, en je hebt concrete stappen gezet om de gaps te dichten. Purple Teaming is het meest effectief als terugkerend programma.

Het Probleem

Detectiegaten die je niet kent maar aanvallers wel kennen

Je SIEM heeft detectieregels maar niemand weet welke aanvalstechnieken ze daadwerkelijk onderscheppen. Aanvallers kiezen precies de technieken die je mist.

  • Je MITRE ATT&CK-dekking groeit niet vanzelf. Zonder actieve sessies gericht op verbeteringen blijven dezelfde blinde vlekken jaar na jaar bestaan.
  • Red Team-rapporten bevatten bevindingen maar geen detectieregels. De vertaalslag van "dit misten we" naar "zo detecteren we het voortaan" blijft liggen door gebrek aan tijd en expertise.
  • Blue Team-leden leren het meest van echte aanvalstechnieken. Zonder directe interactie met een Red Team blijft de kennisoverdracht beperkt tot documentatie en cursussen.
Scope

Wat een Purple Team sessie omvat

Gesimuleerde aanvalstechnieken gemapt op MITRE ATT&CK
Real-time detectie-evaluatie per techniek
Live detectieregel-ontwikkeling en validatie
Blue Team kennisoverdracht over aanvallersperspectief
MITRE ATT&CK dekkingsverbetering per sessie
Incident response procedure validatie
Heatmap voor en na met meetbare dekkingsgroei
Roadmap voor volgende sessie op basis van openstaande gaps
Aanpak

Hoe DEFION Purple Teaming uitvoert

01

Planning

Selectie van te testen MITRE ATT&CK technieken op basis van jouw dreigingsprofiel en huidige detectie-gaps.

02

Aanvalssimulatie

Red Team voert geselecteerde technieken gecontroleerd uit in de productieomgeving.

03

Detectie-evaluatie

Blue Team beoordeelt per techniek of de activiteit werd gedetecteerd, hoe snel en met welke context.

04

Live tuning

Bij gemiste detecties worden detectieregels ter plekke aangepast en onmiddellijk hergetest. Geen wachten op een volgend rapport.

05

Documentatie

Vastleggen van resultaten per techniek, nieuwe en verbeterde detectieregels en resterende gaps.

06

Roadmap

Planning van de volgende sessie op basis van openstaande gaps en prioriteit in het dreigingslandschap.

Wat Je Ontvangt

Deliverables

  • MITRE ATT&CK heatmap voor en na de sessie met meetbare dekkingsgroei
  • Nieuwe en verbeterde detectieregels direct geïmplementeerd in je SIEM
  • Per techniek: detectiestatus, gap-analyse en remediatie
  • Blue Team kennisoverdracht documentatie en aanvallersinzichten
  • Roadmap voor de volgende Purple Team sessie
  • Executive samenvatting van verbeterde detectiedekking als percentage
  • Incident response procedure validatieresultaten
Voor Wie

Voor welke organisaties is dit relevant?

Purple Teaming is voor organisaties met een SOC of Blue Team die actief willen werken aan het verbeteren van detectiekwaliteit en aanvallersinzicht.

  • Organisaties met een SOC die de detectiekwaliteit structureel willen verhogen
  • Bedrijven die hun MITRE ATT&CK-dekking meetbaar willen uitbreiden
  • Securityteams die willen leren van het aanvallersperspectief
  • Organisaties die na een Red Team engagement bevindingen willen omzetten in betere detectie
  • Bedrijven die Security Control Validation willen aanvullen met hands-on kennisoverdracht

Relevante triggers: een Red Team rapport met bevindingen die niet zijn omgezet in detectieregels, een CISO die meetbare groei van detectiedekking wil aantonen, of een SOC-team dat wil leren van een echte Red Team.

Veelgestelde Vragen

FAQ

Wat is Purple Teaming?
Purple Teaming brengt aanval en verdediging samen in een gestructureerde samenwerking. Het Red Team voert aanvalstechnieken uit terwijl het Blue Team in real-time meekijkt, leert en de detectie verbetert. Het doel is niet scoren maar samen beter worden. Na elke techniek wordt gevraagd: zagen we dit? Zo niet, hoe zorgen we dat we het voortaan wel zien?
Wat is het verschil met Red Teaming?
Red Teaming is een realistische aanvalssimulatie waarbij de verdediging wordt getest zonder dat het Blue Team weet dat er een test loopt. Purple Teaming is een samenwerkingsoefening waarbij Red en Blue Team samen de detectie verbeteren. Bij Red Teaming test je de verdediging; bij Purple Teaming verbeter je die direct.
Hoe lang duurt een Purple Team sessie?
Doorgaans 2 tot 5 dagen per sessie, afhankelijk van het aantal te testen technieken en de gewenste diepgang. Een structureel programma bestaat uit meerdere sessies per jaar. Per sessie worden doorgaans 10 tot 20 MITRE ATT&CK technieken getest.
Moet ons Blue Team ervaren zijn?
Purple Teaming is waardevol op elk ervaringsniveau. Voor minder ervaren teams is het een uitstekende leermogelijkheid: ze leren aanvallersperspectief en detectie tegelijk. Voor ervaren teams is het de kans om detectie te verfijnen tegen realistische aanvallen en MITRE ATT&CK-dekking structureel uit te breiden.
Kan Purple Teaming remote worden uitgevoerd?
Ja. Veel Purple Team sessies worden remote uitgevoerd met real-time communicatie via videoconferencing. De Red Team-activiteiten vinden plaats via remote toegang tot de omgeving. Blue Team en Red Team communiceren live over elke techniek en het detectieresultaat.
Security Control Validation

Meer informatie →
Managed Threat Detection

Meer informatie →
Managed Threat Hunting

Meer informatie →

Klaar om je detectie te verbeteren
door samen te werken met het Red Team?

Vertel ons welke MITRE ATT&CK technieken je wilt aanpakken. Wij plannen een eerste sessie en leveren meetbare dekkingsverbetering.

Neem contact op 24/7 Incident Hotline