Purple Team en la Practica: Construyendo Ciclo de Feedback Red vs Blue

Purple Team no es un taller trimestral con pizza y diapositivas bonitas. Es un ritmo de ingenieria donde cada TTP ejecutado por el Red se convierte en hipotesis de deteccion para el Blue en menos de 72 horas. En Basilisk OffSec corremos sprints de dos semanas: 10 tecnicas seleccionadas del ATT&CK, ejecucion controlada en laboratorio corporativo y cierre con regla Sigma en produccion. El KPI no es cuantos shells consiguio el Red, sino cuantas tecnicas pasaron de 'no detectado' a 'alertado con bajo falso positivo'. Quien no mide ese delta esta haciendo teatro de seguridad caro.

El punto de partida es un catalogo de tecnicas priorizado por threat intel real, no por moda de DEF CON. Tomamos informes recientes (Mandiant M-Trends, CrowdStrike OverWatch, CCN-CERT) y los cruzamos con la matriz ATT&CK Enterprise v15. Para una operacion financiera, por ejemplo, T1078.004 (cloud accounts), T1558.003 (Kerberoasting) y T1059.001 (PowerShell) quedan arriba. Antes de ejecutar, el Red documenta el procedimiento exacto siguiendo Adversary Emulation con Caldera y MITRE ATT&CK en Laboratorio Corporativo y el Blue dibuja que telemetria deberia capturar cada paso. Este contrato escrito evita el clasico 'no lo vimos porque Splunk no estaba ingestando ese indice'.

La ejecucion ocurre en ventana acordada, con flag de ejercicio en los logs y canal Slack #purple-live abierto. Cada accion del Red recibe timestamp UTC, hostname objetivo y hash del binario usado. Cuando corremos Kerberoasting via Rubeus, el operador anota el ticket exacto extraido y la cuenta de servicio objetivo, igual al flujo de Pentest de Active Directory: Kerberoasting Paso a Paso en Lab GOAD. En paralelo, el analista del SOC intenta detectar en tiempo real sin saber que paso viene, simulando el escenario real. Si detecto en 4 minutos, marcamos verde. Si paso desapercibido, se abre ticket en Jira con prioridad definida por la criticidad del activo tocado.

Post-ejecucion, el trabajo duro comienza: convertir hallazgo en regla duradera. Usamos el pipeline descrito en Threat Hunting con Sigma y Elastic: Del Indicador a la Regla de Deteccion para convertir hipotesis en Sigma, luego en EQL en Elastic y KQL en Sentinel. Una regla solo se mergea en main si cumple tres criterios: cubre la tecnica del ejercicio, genera menos de 5 falsos positivos por semana en el entorno de homologacion, y tiene playbook de respuesta enlazado. Tecnicas de evasion como las de Evasion de EDR para Investigacion: Direct Syscalls Explicados sin Romantizar y Bypass de AMSI y ETW para Investigacion Defensiva: Lo que los Blue Teams Deben Saber obligan al equipo a salir de firma e ir hacia deteccion comportamental, mirando llamadas a NtAllocateVirtualMemory y patrones parent-child anomalos.

La infra del ejercicio debe ser auditable. El C2 corre en VLAN aislada con captura PCAP completa, segun el modelo de Construyendo Infra de C2 con Sliver en Lab Aislado para Estudio Defensivo, y el trafico se replica al SIEM de homologacion via port mirror. Los movimientos laterales siguen el playbook de Movimiento Lateral en Lab: SMB, WMI y WinRM con Foco en Deteccion con Impacket y Evil-WinRM, siempre con flag /OPSEC=false para garantizar que los artefactos sean visibles al Blue. El pivoting interno usa Chisel segun Pivoting con Chisel y Ligolo-ng: Redes Segmentadas en Lab de Pentest. Todo registrado en un repo Git privado: cada commit del Red es referenciado por el PR de regla del Blue, creando trazabilidad que auditoria adora y el gerente ama mostrar al board.

La comunicacion mata mas programas de Purple Team que la falta de herramienta. Establecemos vocabulario comun: 'detectado' significa alerta generada y triada, no solo log presente en algun indice frio. Las retros duran 60 minutos con tres diapositivas: tecnicas ejecutadas, detecciones creadas, deuda tecnica abierta. Metricas que seguimos: MTTD por categoria ATT&CK, porcentaje de cobertura de Tactics en el ambiente y numero de reglas con FP por encima del umbral. En seis meses, un cliente paso de 23% de cobertura en Credential Access a 71%, con caida de 40% en alertas ruidosas.

Takeaway practico: empieza pequeno y medible. Elige cinco tecnicas relevantes para tu sector, define contrato escrito con el SOC, ejecuta en ventana corta con logs completos, y no cierres el sprint sin regla Sigma versionada en Git. Purple Team que no deja artefacto versionado atras no escalo, solo entretuvo. El ciclo Red-crea-hipotesis, Blue-valida-telemetria, equipo-mergea-regla-en-produccion debe caber en dos semanas. Si tarda mas, estas gestionando proyecto, no operando deteccion continua.