Red Team vs Blue Team
Il Red Team simula gli attaccanti (offensivo). Il Blue Team difende i sistemi in tempo reale (difensivo). Il Purple Team è la collaborazione tra i due per migliorare le difese.
Molti professionisti della sicurezza iniziano come Red Team ma le posizioni Blue Team sono molto più numerose nel mercato del lavoro.
Ruoli Blue Team
- SOC Analyst (L1/L2/L3): monitora alert, triage, escalation
- Incident Responder: gestisce breach e violazioni attivi
- Threat Hunter: cerca proattivamente attività sospette nei log
- DFIR: Digital Forensics and Incident Response
Tool fondamentali
SIEM (Security Information and Event Management)
Aggrega log da tutti i sistemi, correla eventi, genera alert. Soluzioni open source: Wazuh, Elastic SIEM. Enterprise: Splunk, IBM QRadar.
Analisi log Linux
# Log di autenticazione
tail -f /var/log/auth.log
# Login falliti
grep "Failed password" /var/log/auth.log
# Connessioni SSH recenti
last
# Login anomali
grep "Invalid user" /var/log/auth.log | awk '{print $NF}' | sort | uniq -c | sort -rnWindows Event Log
Event ID da monitorare:
- 4625: login fallito
- 4624: login riuscito
- 4732: aggiunta a gruppo privilegiato
- 4688: creazione nuovo processo
- 1102: log di sicurezza cancellato (segnale di attacco)
Incident Response: le 6 fasi NIST
- Preparazione: runbook, strumenti, formazione team
- Identificazione: rilevare e classificare l'incidente
- Contenimento: isolare i sistemi compromessi
- Eradicazione: rimuovere malware e accessi non autorizzati
- Ripristino: ripristinare i sistemi all'operatività normale
- Lessons learned: documentare e migliorare le difese
Dove imparare Blue Team
- TryHackMe: percorsi SOC Level 1, Security Engineer
- Splunk Free Training (Splunk Fundamentals 1)
- BlueTeamLabs.online: sfide pratiche Blue Team
- Certificazione: CompTIA CySA+, Blue Team Level 1 (BTL1)
💬 Commenti (0)
Nessun commento ancora. Sii il primo!