Home

Published

- 4 min read

Purple Team

CyberSecurity Red Team Purple Team
img of Purple Team

Purple Team Nedir? Red Team ve Blue Team’den Farklarıyla Uçtan Uca Rehber

Kurumsal güvenlikte Red Team ile Blue Team çoğu zaman iki ayrı uç gibi algılanır: biri saldırır, diğeri savunur. Purple Team ise bu iki ucu kalıcı bir iş birliği döngüsüyle birleştirir. Amaç “ortada buluşmak” değil, saldırı bilgisiyle savunma mühendisliğini aynı masada eşleştirip tespit ve yanıt kabiliyetlerini sürekli iyileştirmektir.

Kısa Özet

  • Red Team: Gerçeğe yakın saldırı simülasyonlarıyla zayıf noktaları ortaya çıkarır.
  • Blue Team: İzleme, tespit, olay yanıtı ve sertleştirme yapar.
  • Purple Team: Red’in TTP’lerini Blue’nun algılayıcılarına anında çeviren, “öğrenme döngüsü”nü yöneten ortak pratik ve süreçtir.

Temel Kavramlar

Red Team

  • Hedef: Gerçekçi saldırı senaryolarıyla iş hedeflerine ulaşmak (veri sızıntısı, yetki yükseltme, kalıcılık vb.).
  • Yaklaşım: Taktik, teknik ve prosedürler (TTP) odaklı; gizlilik, yanılgı ve atlatma.
  • Çıktı: Zafiyet raporları, saldırı yolları, atlatılan kontroller, öneriler.

Blue Team

  • Hedef: Saldırıları erken tespit etmek, etkisini azaltmak ve sistemleri güçlendirmek.
  • Yaklaşım: Telemetri toplama, korelasyon, uyarı mühendisliği, playbook’lar, olay yanıtı.
  • Çıktı: Uyarı kuralları, kullanım senaryoları, olay raporları, sertleştirme değişiklikleri.

Purple Team

  • Hedef: Red TTP’lerini Blue tespitlerine dönüştüren hızlı geri-bildirim döngüsü kurmak.
  • Yaklaşım: Ortak tatbikatlar, eşzamanlı gözlemler, tespit mühendisliği, başarı ölçütleri.
  • Çıktı: Doğrulanmış algılama kuralları, zenginleştirilmiş telemetri, kanıtlanmış playbook’lar, kapatılan boşluklar.

Farklar: Kısa Karşılaştırma

BoyutRed TeamBlue TeamPurple Team
OdakSaldırı ve atlatmaTespit ve yanıtİş birliği ve döngü
ZamanlamaDönemsel (engagement)Sürekli (24/7 SOC)Sürekli iyileştirme sprintleri
Başarı ÖlçütüHedefe ulaşıldı mıMTTD/MTTR, yanlış pozitifKapatılan tespit boşluğu, doğrulanan kural
Çıktı FormatıRapor, kill chainKurallar, playbookEşlenmiş TTP↔Kural, kanıt senaryoları
EtkiZayıflık görünürlüğüOperasyonel dayanıklılıkHızlı öğrenme ve kalıcı iyileştirme

Neden Purple Team?

  • Red raporlarının “rafta kalmasını” engeller, önerileri algılanabilir kontroller hâline getirir.
  • Blue’nun tespit boşluklarını gerçek TTP’lerle ölçülebilir kılar.
  • Güvenlik yatırımlarının geri dönüşünü metriklerle görünür yapar.

Purple Team Tatbikat Döngüsü (Pratik Akış)

  1. Hedef Belirleme: Örneğin “kimlik hırsızlığı ve yanal hareket tespiti oranını %40’tan %80’e çıkarmak”.
  2. Senaryo Tasarımı: MITRE ATT&CK’e haritalı TTP setleri (kimlik bilgisi dökümü, LSASS okuma, SMB ile yanal hareket vb.).
  3. Emülasyon/İcra: Adversary emulation araçlarıyla kontrollü saldırı adımları.
  4. Eşzamanlı Gözlem: Red adım atarken Blue telemetriyi, uyarıları, EDR sinyallerini canlı izler.
  5. Tespit Mühendisliği: Kaçırılan adımlar için yeni kurallar (ör. Sigma, KQL), zenginleştirme, eşikler.
  6. Doğrulama: Aynı TTP’yi yeniden çalıştırıp kuralın fidelity ve coverage’ını test etme.
  7. Dokümantasyon: TTP ↔ kural ↔ log kaynağı ↔ playbook eşlemesi ve kanıt ekran görüntüleri.
  8. Yayınlama: SIEM/EDR’e kuralın prod’da devreye alınması, versiyonlama ve geri alma planı.
  9. İzleme: Yanlış pozitif/negatif oranlarını ve MTTR etkisini takip etme.

Metrikler ve Başarı Ölçütleri

  • Detection Coverage: Hedeflenen ATT&CK tekniklerinin yüzde kaçı algılanıyor.
  • MTTD / MTTR: Tespit ve yanıt sürelerinin düşüş trendi.
  • Alert Fidelity: Yanlış pozitif/negatif oranları.
  • Control Efficacy: Sertleştirme sonrası aynı TTP’nin etkisi.
  • Dwell Time: Saldırganın ortamda fark edilmeden kalma süresi.
  • Playbook Effectiveness: Adım atlama, devre dışı kalma, manuel müdahale ihtiyacı.

Araç ve Yaklaşımlar

  • Adversary Emulation / BAS: Atomic Red Team, Caldera, Prelude Operator, AttackIQ.
  • Gözlem ve Analiz: SIEM (Splunk, Elastic, Sentinel), EDR/XDR, Zeek, Sysmon.
  • Kural / Sorgu: Sigma kuralları, KQL, Splunk SPL, Elastik sorgular.
  • Haritalama: MITRE ATT&CK, D3FEND; kill chain eşlemesi.
  • Olay Yanıtı: SOAR playbook’ları, otomatik zenginleştirme, taktik izolasyon.

Sık Yapılan Hatalar

  • Purple Team’i “ikisinden birini idare eden rol” sanmak; oysa süreç ve disiplindir.
  • Red bulgularını tespitle eşlemeden kapatılmış saymak.
  • Tespit kurallarını üretimde test etmeden yayınlamak veya versiyonlamamak.
  • Metrik toplamamak; iyileşmenin kanıtını üretememek.
  • Sadece tek bir kaynağa (ör. EDR) yaslanmak; telemetry çeşitliliğini ihmal etmek.

Minimum Uygulanabilir Purple Team (MVP)

  • Haftalık 2 saatlik ortak seans: 1 TTP seç, emüle et, gözlemle, kural çıkar, yeniden dene.
  • Ortak çalışma dokümanı: TTP kimliği, log kaynağı, kural metni, ekran görüntüsü, sonuç.
  • Basit metrik panosu: Coverage, MTTD, yanlış pozitif.
  • Aylık geriye dönük: En çok değer yaratan 3 kural ve kapatılan 3 boşluk.

30-60-90 Gün Yol Haritası

İlk 30 Gün

  • En sık karşılaşılan 5 ATT&CK tekniği için tatbikat.
  • SIEM’de 5 yeni kural, 2 playbook güncellemesi.
  • Metrik panosunun ilk versiyonu.

60 Gün

  • Kimlik ve e-posta vektörleri için iki haftalık sprint.
  • Yanlış pozitif azaltma oturumları, eşik optimizasyonu.
  • D3FEND’e göre savunma teknikleri haritası.

90 Gün

  • Tüm kritik TTP’ler için coverage ≥ %70 hedefi.
  • Otomatik geriye test (regression) senaryoları.
  • Yönetim raporu: Trendler, ROI, yol haritası güncellemesi.

Örnek Senaryo: Kimlik Avı Sonrası Yanal Hareket

  1. Red, kimlik avıyla ilk erişimi elde eder; LSASS okuma ve kimlik dökümü dener.
  2. Blue, EDR event’lerinde şüpheli bellek erişimini ve ardıl SMB trafiğini izler.
  3. Tespit boşluğu görülen LSASS okuması için yeni kural yazılır, yeniden test edilir.
  4. Kural prod’a alınır, playbook’a “izolasyon ve kimlik sıfırlama” adımları eklenir.
  5. MTTD’nin 12 dakikadan 3 dakikaya düştüğü belgelenir.

Organizasyonel Yerleşim ve Yetkinlikler

  • Purple Lead: Sprint ve metrik sahipliği, Red–Blue köprüsü.
  • Detection Engineer: Kural üretimi, telemetri zenginleştirme, regresyon testleri.
  • Threat Intel / CTI: TTP önceliklendirme, güncel kampanya eşlemesi.
  • IR / SOAR: Olay playbook’larını güncelleme, otomasyon fırsatları.
  • Uyum ve Risk: KVKK ve regülasyonlara uygun raporlama.

Sonuç

Purple Team, Red ile Blue’nun yerini alan üçüncü bir ekip değil; her iki dünyayı gerçek metriklerle bağlayan bir çalışma yöntemidir. En küçük adımlarla başlayan düzenli tatbikatlar bile kısa sürede somut kazanç sağlar: daha yüksek tespit kapsamı, daha düşük yanıt süreleri ve kanıtlanabilir risk azaltımı. Kurumsal hedeflere hizalanmış bir Purple kültürü, güvenliği “yapıldı saymaktan” çıkarıp ölçülebilir, tekrar edilebilir ve sürdürülebilir hâle getirir.

Related Posts

There are no related posts yet. 😢