Purple Team na Pratica: Construindo Ciclo de Feedback Red x Blue

Purple Team nao e workshop trimestral com pizza e slides bonitos. E um ritmo de engenharia onde cada TTP executado pelo Red vira hipotese de deteccao para o Blue em menos de 72 horas. Na Basilisk OffSec rodamos sprints de duas semanas: 10 tecnicas selecionadas do ATT&CK, execucao controlada em lab corporativo, e fechamento com regra Sigma em producao. O KPI nao e quantos shells o Red pegou, e sim quantas tecnicas passaram de 'nao detectado' para 'alertado com baixo falso positivo'. Quem nao mede esse delta esta fazendo teatro de seguranca caro.

O ponto de partida e um catalogo de tecnicas priorizado por threat intel real, nao por moda de DEF CON. Pegamos relatorios recentes (Mandiant M-Trends, CrowdStrike OverWatch, CERT.br) e cruzamos com a matriz ATT&CK Enterprise v15. Para uma operacao financeira, por exemplo, T1078.004 (cloud accounts), T1558.003 (Kerberoasting) e T1059.001 (PowerShell) ficam no topo. Antes de executar, o Red documenta o procedimento exato no Adversary Emulation com Caldera e MITRE ATT&CK em Lab Corporativo e o Blue desenha qual telemetria deveria capturar cada passo. Esse contrato escrito evita o classico 'a gente nao viu porque o Splunk nao estava ingestionando aquele indice'.

Execucao acontece em janela combinada, com flag de exercicio nos logs e canal Slack #purple-live aberto. Cada acao do Red recebe timestamp UTC, hostname alvo e hash do binario usado. Quando rodamos Kerberoasting via Rubeus, o operador anota o ticket exato extraido e a conta de servico alvo, igual ao fluxo do Active Directory Pentest: Kerberoasting Passo a Passo em Lab GOAD. Em paralelo, o analista do SOC tenta detectar em tempo real sem saber qual passo vem a seguir, simulando o cenario real. Se detectou em 4 minutos, marcamos verde. Se passou batido, vira ticket no Jira com prioridade definida pela criticidade do ativo tocado.

Pos-execucao, o trabalho duro comeca: transformar achado em regra durdura. Usamos o pipeline descrito no Threat Hunting com Sigma e Elastic: Do Indicador a Regra de Deteccao para converter hipoteses em Sigma, depois para EQL no Elastic e KQL no Sentinel. Uma regra so e mergeada em main se atender tres criterios: cobre a tecnica do exercicio, gera menos de 5 falsos positivos por semana no ambiente de homologacao, e tem playbook de resposta linkado. Tecnicas de evasao como as do Evasao de EDR para Pesquisa: Direct Syscalls Explicados sem Romantizacao e Bypass de AMSI e ETW para Pesquisa Defensiva: O que Blue Teams Devem Saber forcam o time a sair de assinatura e ir para deteccao comportamental, olhando chamadas a NtAllocateVirtualMemory e padroes de parent-child anomalos.

Infra do exercicio precisa ser auditavel. C2 roda em VLAN isolada com captura PCAP completa, conforme o modelo do Construindo Infra de C2 com Sliver em Lab Isolado para Estudo Defensivo, e o trafego e replicado para o SIEM de homologacao via port mirror. Movimentacoes laterais seguem o playbook do Lateral Movement em Lab: SMB, WMI e WinRM com Foco em Deteccao com Impacket e Evil-WinRM, sempre com flag /OPSEC=false para garantir que artefatos sejam visiveis ao Blue. Pivoting interno usa Chisel conforme Pivoting com Chisel e Ligolo-ng: Redes Segmentadas em Lab de Pentest. Tudo logado em um repo Git privado: cada commit do Red e referenciado pelo PR de regra do Blue, criando rastreabilidade que auditoria adora e gerente ama mostrar pro board.

Comunicacao mata mais programas de Purple Team do que falta de ferramenta. Estabelecemos vocabulario comum: 'detectado' significa alerta gerado e triado, nao apenas log presente em algum indice frio. Reunioes de retro acontecem em 60 minutos com tres slides: tecnicas executadas, deteccoes criadas, divida tecnica aberta. Metricas que acompanhamos: MTTD por categoria ATT&CK, percentual de cobertura de Tactics no ambiente, e numero de regras com FP acima do threshold. Em seis meses, um cliente saiu de 23% de cobertura em Credential Access para 71%, com queda de 40% em alertas ruidosos.

Takeaway pratico: comece pequeno e mensuravel. Escolha cinco tecnicas relevantes para seu setor, defina contrato escrito com o SOC, execute em janela curta com logs completos, e nao feche o sprint sem regra Sigma versionada no Git. Purple Team que nao deixa artefato versionado para tras nao escalou - apenas entreteve. O ciclo Red-cria-hipotese, Blue-valida-telemetria, Time-merge-regra-em-producao precisa caber em duas semanas. Se demora mais, voce esta gerenciando projeto, nao operando deteccao continua.