Continuous Purple Teaming

Unsere Purple-Teaming-Workshops laufen nach dem Motto: Adversary Simulation and Detection Engineering. Wir simulieren Angriffe, ihr pfeilt an euren Detection-Regeln. Und das kooperativ, kontinuierlich und mit direkten Verbesserungen.

In jeder Session sitzen Experten aus unserem Red Team mit Kollegen aus eurem Blue Team (SOC, IT-Admins) zusammen im Video-Call. Wir zeigen euch live, wie Angreifer vorgehen — und ihr könnt direkt prüfen, ob ihr uns erkennt. Dabei vermitteln wir das technische Hintergrundwissen, das ihr braucht, um Angriffe nicht nur zu erkennen, sondern auch zu verstehen.

Statt eines einmaligen Snapshots bringt unser Red Team seine Angriffserfahrung regelmäßig und strukturiert in euren Betrieb. Denn EDR und SIEM sind keine „Set & Forget“-Tools. Sicherheit ist ein Prozess, den man trainieren muss: Mensch und Technik.

Dauer und Rhythmus der Workshops passen wir gerne euren Wünschen an. Unsere Empfehlung: alle 2 Wochen, 2 Stunden. 

Warum Continuous Purple Teaming

s

Unsere wichtigsten Gründe für Continuous Purple Teaming:

  • Angriffstechniken entwickeln sich schnell weiter — EDR-Konfigurationen und Detection-Regeln veralten, wenn sie nicht aktiv gepflegt werden
  • Was ein Pentest oder Red Teaming aufdeckt, muss dauerhaft erkannt werden — nicht nur einmalig nachgepatcht
  • SOC-Analysten verstehen Angriffe besser, wenn sie live dabei sind, statt Findings nur im Bericht zu lesen
  • Admins und SOC arbeiten zusammen — Fehlkonfigurationen, die das Red Team findet, können direkt mit den richtigen Personen im Call besprochen werden
  • Neben den praktischen Tests vermitteln wir das technische Hintergrundwissen: wie Angreifer denken, wie EDRs Telemetrie erfassen und was hinter den Techniken steckt — damit euer Team langfristig eigenständig besser wird
  • Über die Zeit entsteht eine messbare Detection-Coverage: ihr seht schwarz auf weiß, welche MITRE ATT&CK-Techniken ihr heute erkennt — und welche nicht

Wann Continuous Purple Teaming

Die besten Zeitpunkte sind aus unserer Sicht:

 

  • Ihr habt ein EDR, SIEM oder SOC im Einsatz und wollt wissen, ob es in der Praxis wirklich greift
  • Ihr habt ein Red Teaming oder Alarmtest durchgeführt und wollt sicherstellen, dass die gefundenen Techniken und Angriffswege dauerhaft erkannt werden
  • Euer SOC-Team soll kontinuierlich mit aktuellen Angriffstechniken konfrontiert und weitergebildet werden — nicht nur einmal im Jahr nach einem Assessment
  • Ihr wollt Detection und Abwehr als laufenden Prozess etablieren, nicht als einmalige Momentaufnahme

Ergebnisse

i

Typische Ergebnisse des Continuous Purple Teamings sind:

 

  • Erkenntnisse, welche Angriffstechniken euer EDR und SIEM erkennen — und wo blinde Flecken liegen
  • Detection-Regeln und SIEM-Anpassungen, die direkt aus den Tests entstehen und sofort umsetzbar sind
  • Konkrete Konfigurationsempfehlungen für EDR, PowerShell, Active Directory und Application Control — abgestimmt mit euren Admins
  • Eine wachsende Detection-Coverage-Map (MITRE ATT&CK), die den Fortschritt über die Zeit messbar macht
  • Ein SOC-Team, das Angriffe versteht — nicht nur Alerts sieht

Was wir von euch brauchen

Für unser Continous Purple Teaming brauchen wir von euch:

 

  • Ein Testgerät mit aktivem EDR, von dem aus wir die Tests durchführen (Laptop, Citrix, VDI oder vergleichbar)
  • Teilnehmende (SOC-Analysten, Admins, …) für unsere interaktiven Workshops
  • Optional: Pentest- oder Red-Teaming-Berichte als Grundlage für die erste Session

Projekt in Planung?

Egal, ob Pentest, Red Teaming oder individueller Wunsch –
wir freuen uns, mit dir zu sprechen!

Kontakt
Konfigurator