Purple Team in der Praxis: Aufbau eines Red-Blue-Feedback-Zyklus

Purple Team ist kein vierteljaehrlicher Workshop mit Pizza und huebschen Folien. Es ist ein Engineering-Rhythmus, in dem jede vom Red ausgefuehrte TTP innerhalb von 72 Stunden zur Detektionshypothese fuer das Blue wird. Bei Basilisk OffSec fahren wir Zwei-Wochen-Sprints: 10 aus ATT&CK ausgewaehlte Techniken, kontrollierte Ausfuehrung im Unternehmenslabor und Abschluss mit einer in Produktion ausgerollten Sigma-Regel. Der KPI ist nicht, wie viele Shells das Red gepoppt hat, sondern wie viele Techniken von 'nicht erkannt' zu 'alarmiert mit niedriger False-Positive-Rate' wechselten. Wer dieses Delta nicht misst, betreibt teures Security-Theater.

Ausgangspunkt ist ein Technikkatalog, priorisiert nach echter Threat Intel, nicht nach DEF-CON-Hype. Wir nehmen aktuelle Reports (Mandiant M-Trends, CrowdStrike OverWatch, BSI-Lageberichte) und kreuzen sie mit der ATT&CK Enterprise v15 Matrix. Fuer einen Finanzbetrieb landen zum Beispiel T1078.004 (Cloud-Konten), T1558.003 (Kerberoasting) und T1059.001 (PowerShell) ganz oben. Vor der Ausfuehrung dokumentiert das Red die genaue Prozedur gemaess Adversary Emulation mit Caldera und MITRE ATT&CK im Unternehmenslab, und das Blue skizziert, welche Telemetrie jeden Schritt erfassen sollte. Dieser schriftliche Vertrag toetet das klassische 'haben wir nicht gesehen, weil Splunk diesen Index nicht ingestiert hat'.

Die Ausfuehrung erfolgt im vereinbarten Fenster, mit Exercise-Flag in den Logs und offenem Slack-Kanal #purple-live. Jede Red-Aktion erhaelt UTC-Timestamp, Ziel-Hostname und Binary-Hash. Wenn wir Kerberoasting via Rubeus fahren, notiert der Operator das exakte extrahierte Ticket und das angegriffene Service-Konto, analog zum Workflow in Active Directory Pentest: Kerberoasting Schritt fuer Schritt im GOAD Lab. Parallel versucht der SOC-Analyst, in Echtzeit zu erkennen, ohne zu wissen, welcher Schritt als naechstes kommt, was das reale Szenario abbildet. Erkennt er es in 4 Minuten, markieren wir gruen. Rutschte es durch, wird ein Jira-Ticket eroeffnet, dessen Prioritaet nach Kritikalitaet des beruehrten Assets festgelegt wird.

Nach der Ausfuehrung beginnt die harte Arbeit: ein Finding in eine dauerhafte Regel zu verwandeln. Wir nutzen die Pipeline aus Threat Hunting mit Sigma und Elastic: Vom Indikator zur Detektionsregel, um Hypothesen in Sigma zu konvertieren, dann in EQL auf Elastic und KQL auf Sentinel. Eine Regel wird nur dann nach main gemerged, wenn sie drei Kriterien erfuellt: deckt die Uebungstechnik ab, erzeugt weniger als 5 False Positives pro Woche in Staging und hat ein verlinktes Response-Playbook. Evasionstechniken wie in EDR-Umgehung fur Forschung: Direct Syscalls Erklart ohne Romantik und AMSI- und ETW-Bypass fuer Defensive Forschung: Was Blue Teams Wissen Sollten zwingen das Team, Signaturen zu verlassen und auf Verhaltensdetektion zu setzen, mit Blick auf NtAllocateVirtualMemory-Calls und anomale Parent-Child-Muster.

Die Uebungsinfra muss auditierbar sein. Das C2 laeuft in einem isolierten VLAN mit vollstaendiger PCAP-Erfassung, nach dem Modell aus C2-Infra mit Sliver im Isolierten Lab fur Defensive Forschung Aufbauen, und der Traffic wird per Port Mirror in das Staging-SIEM gespiegelt. Lateral Movement folgt dem Playbook aus Lateral Movement im Lab: SMB, WMI und WinRM mit Detection-Fokus mit Impacket und Evil-WinRM, immer mit /OPSEC=false-Flags, damit das Blue die Artefakte sieht. Internes Pivoting nutzt Chisel gemaess Pivoting mit Chisel und Ligolo-ng: Segmentierte Netze im Pentest-Lab. Alles wird in einem privaten Git-Repo protokolliert: jeder Red-Commit wird vom korrespondierenden Blue-Regel-PR referenziert, was eine Nachvollziehbarkeit schafft, die Auditoren lieben und Manager gern dem Vorstand zeigen.

Kommunikation killt mehr Purple-Team-Programme als Tool-Luecken. Wir etablieren gemeinsames Vokabular: 'erkannt' bedeutet, dass ein Alert generiert und triagiert wurde, nicht nur dass ein Log in irgendeinem kalten Index liegt. Retros dauern 60 Minuten mit drei Folien: ausgefuehrte Techniken, ausgelieferte Detektionen, offene technische Schulden. Metriken, die wir tracken: MTTD pro ATT&CK-Kategorie, Prozent der Tactics-Abdeckung in der Umgebung und Anzahl Regeln mit FP-Rate ueber Schwellwert. In sechs Monaten ging ein Kunde von 23% Credential-Access-Abdeckung auf 71%, mit 40% Rueckgang lauter Alerts.

Praktischer Takeaway: klein und messbar starten. Waehlen Sie fuenf fuer Ihre Branche relevante Techniken, formulieren Sie einen schriftlichen Vertrag mit dem SOC, fuehren Sie in kurzem Fenster mit vollstaendigem Logging aus und schliessen Sie den Sprint nicht ohne in Git versionierte Sigma-Regel. Purple Team, das kein versioniertes Artefakt hinterlaesst, hat nicht skaliert, sondern nur unterhalten. Der Zyklus Red-baut-Hypothese, Blue-validiert-Telemetrie, Team-merged-Regel-in-Produktion muss in zwei Wochen passen. Dauert es laenger, managen Sie ein Projekt, statt kontinuierliche Detektion zu betreiben.