Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L85
العمليات والتقصيخبير80mL85

Purple Team — تقيس الحماية بجد

Atomic Red Team و CALDERA و ATT&CK Navigator — تغطية حقيقية

#Purple#Atomic#CALDERA#ATT&CK#Coverage

إيه الـ Purple Team؟ — مش مجرد دمج فريقين

طب الـ Red Team بيكتشفوا إيه؟ "الاختراق ممكن".

طيب الـ Blue Team بيعملوا إيه؟ "detection rules".

طب مين بيقيس إن الـ rules دي فعلاً بتمسك اللي الـ Red Team بيعمله؟

محدش.

الـ Pentest بيخلص بتقرير. الـ Detection Engineering بيخلص بـ rule في git. ومحدش بيقعد يربط الاتنين.

ده هو المكان اللي الـ Purple Team بتشغل فيه. مش "دمج" للفريقين. هي قياس مستمر لكام تقنية من اللي خصومك بيستخدموها فعلاً، بيمسكها نظامك دلوقتي.

تشبيه — شرح مبسط
الفرق بين Pentest و Purple Team زي الفرق بين فحص طبي شامل مرة في السنة، وجهاز ضغط متوصّل بيك على طول. الأول بيقولك "أنت عيّان دلوقتي؟". التاني بيقولك "صحتك بتتغيّر إزاي مع كل قرار بتاخده".
الفكرة الجوهرية
ما تختبرش كل حاجة — اختبر اللي خصومك الحقيقيين بيستخدموه (CTI-driven). وبعدين قِس التغطية وطوّر الكشف عملياً.
غلطات الـ junior في Purple Team
  • بيختبر بس اللي عارف إنه هيظهر. المؤشّرات تتحسّن في dashboard، الواقع ما اتغيّرش.
  • بيعمل الاختبار في lab بس ومش بيـ extrapolate للـ production. الـ lab مفيهاش الـ noise اللي في البيئة الحقيقية.
  • بينسى الـ cleanup بعد Atomic Red Team — وفجأة الـ rules بتطلق على artifacts قديمة من اختبار قديم.
  • بيكتب rule بدون runbook. الـ alert بيطلق ومحدش عارف يعمل إيه. كده الـ rule = noise مش defense.
  • بيصدّق "EDR vendor قال إنه بيمسك X". اختبر بنفسك. الـ vendor عنده مصلحة يقول كده.

قصة من الواقع — لما الـ EDR ادّعى وما مسكش

2022. Mandiant طلعوا تقرير لافت: في 70% من الـ breaches اللي ردّوا عليها، الضحية كان عنده EDR من "Top 5 vendors". والـ EDR ماكانش بيمسك التقنية الفعلية اللي اخترقتهم.

طب ليه؟

- علشان الـ EDR وحش يا حضرتك؟

لأ يا مستجد. الـ EDR كويس. المشكلة:

  • الـ EDR متضبط بـ policy الـ default. مش متظبط على بيئة الشركة.
  • تنبيهات الـ medium severity مقفولة عشان "noise".
  • الـ exclusions اللي اتحطت "مؤقتاً" للـ developers بقت دائمة.
  • والـ Red Team ماـ tested ده. الـ Pentest السنوي حلقة كانت آخر مرة من 11 شهر، وكانت في scope محدود.

الـ Red Canary نشروا متوسط: 60% من الـ techniques في ATT&CK ماـ tested في معظم الشركات. والـ "Coverage" اللي الـ vendor بيقولها = نظري. مش فعلي في بيئتك أنت.

الـ Purple Team بيحلّ ده. شهرياً، Atomic Red Team على endpoint اختبار. لو الـ rule ماشتغلتش، تتظبّط. لو الـ data source غير موجود، يتفتح. القياس مستمر.

ATT&CK Navigator — خريطة المعركة

attack.mitre.org/matrices/enterprise فيها ~14 تكتيك و >200 تقنية. الـ Navigator (مفتوح المصدر) بيلوّن الخريطة على حسب:

Threat Layer
التقنيات اللي مجموعات بتستهدف قطاعك بتستخدمها. جايّة من تقارير CTI (Mandiant, CrowdStrike, MITRE Groups).
Coverage Layer
اللي نظامك بيمسكه دلوقتي. مأخوذ من Sigma rules, SIEM detections, EDR.
Gap Layer
Threat − Coverage = الفجوات. دي قايمة شغلك الحقيقية.
Validation Layer
اللي أنت اختبرته فعلاً بـ Atomic / CALDERA. أخضر = اتمسك، أحمر = ما اتمسكش.
قاعدة
مفيش حاجة اسمها 100% تغطية. الواقعي: 50–60% من التقنيات الأكتر استخداماً، تختبرها شهرياً.

Atomic Red Team — اختبار فردي لكل تقنية

Atomic = مكتبة من Red Canary فيها أكتر من 1500 اختبار صغير، كل واحد متطابق مع تقنية ATT&CK معيّنة. بيشتغل على endpoint واحد، أنت بتتأكد إنه اتمسك، وبعدين تنضّف وراك.

$ # تثبيت على Windows
$ IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing)
$ Install-AtomicRedTeam -getAtomics
$ # ابحث عن اختبارات لتقنية T1059.001 (PowerShell)
$ Invoke-AtomicTest T1059.001 -ShowDetailsBrief
T1059.001-1 Mimikatz T1059.001-2 Run BloodHound T1059.001-7 Powershell Invoke Known Malicious Cmdlets
$ # نفّذ اختباراً واحداً ثم نظّف
$ Invoke-AtomicTest T1059.001-1 -PromptForInputArgs
$ Invoke-AtomicTest T1059.001-1 -Cleanup
نموذج تشغيل
قسّم فريقك جوز: المنفّذ بيشغّل Atomic، والراصد بيفتح Splunk/Sentinel ويراقب لحظياً. النتيجة لكل اختبار: "ظهر؟ في كام ثانية؟ في أي قاعدة؟". ووثّقها على ATT&CK Navigator.

CALDERA — محاكاة مسلسل كامل

Atomic = اختبار واحد. CALDERA (من MITRE) = عملية كاملة. Agent على الـ endpoint بيستقبل أوامر، يبني attack chain، ويتعلّم من النتايج.

bash
# تشغيل CALDERA server
git clone https://github.com/mitre/caldera.git --recursive
cd caldera && pip install -r requirements.txt
python server.py --insecure

# الواجهة على :8888
# 1) Plugins: Stockpile (TTPs), Atomic, Sandcat (agent)
# 2) Deploy agent: واحد سطر PowerShell من Adversaries → Deploy
# 3) شغّل Adversary: e.g., "Hunter" (UAC bypass + Mimikatz + lateral movement)
  • Adversary profile — مجموعة TTPs بتحاكي جروب معيّن (مثلاً APT29).
  • Operation — تشغيل Adversary على الـ Agents بقواعد محدّدة (autonomous / human-in-the-loop).
  • Fact base — معلومات الـ Agent بيجمعها (usernames, hashes, networks) ويستخدمها في الخطوات اللي بعدها.

أدوات أخرى مفيدة

Atomic Red Team
PowerShell + اختبارات cross-platform، granular لكل تقنية. مش محتاج C2.
CALDERA
Operations كاملة، agent-based، فيها autonomy options.
Stratus Red Team
من DataDog — تركيز على cloud (AWS, Azure, GCP) TTPs.
Pacu
AWS exploitation framework. مفيد لتدريب Detection Engineering على cloud telemetry.
Vectr
منصة لتتبع حملات Purple Team. بقت معيار صناعي.
DeTT&CT
بيقيس جودة الـ data sources عندك. بيكمّل ATT&CK Navigator.

دورة عمل أسبوعية مقترحة

  1. الإتنين — Threat selection. راجع آخر تقارير CTI اللي بتخص قطاعك. اختر 5 تقنيات.
  2. التلات — Detection design. اكتب Sigma/KQL rules ليها. حطها في staging.
  3. الأربع — Execution. Atomic/CALDERA على الـ lab + endpoint اختبار في الإنتاج (بموافقة).
  4. الخميس — Tuning. True positive؟ رفّعها. False positive؟ عدّل threshold/whitelist. ما ظهرتش أصلاً؟ شوف الـ data source.
  5. الجمعة — Document. Vectr + ATT&CK Navigator. تقرير قصير: "اتغطّى إيه، فاضل إيه، عندي blockers إيه".
مقاييس النضج
  • MTTD (Mean Time To Detect) — الهدف < ساعة على التقنيات الحرجة.
  • Coverage % على ATT&CK Top 20 لخصومك.
  • Detection-as-Code — كل قاعدة في git ومعاها unit test (تشغّل Atomic ↦ القاعدة بتطلق).
  • Repeatability — قياس شهري لنفس المجموعة. أنت متحسّن ولا لأ؟

فخاخ شائعة

  • Cherry-picking. تختبر بس اللي عارف إنه هيظهر = وهم تغطية.
  • Lab-only. الـ Lab مش زي الـ Production. اختبر (بحذر) على telemetry حقيقي.
  • تنسى التنضيف. Atomic بيعمل ملفات/registry — اعمل -Cleanup كل مرة.
  • إنذارات من غير playbook. كشف من غير استجابة = ضوضا. كل rule لازم متربوطة بـ runbook.
  • Vendor-driven. "الـ EDR بيقول إنه بيمسك X" ≠ بيمسك X في بيئتك. اختبر بنفسك دايماً.

التكامل مع ATT&CK Flow و Threat Informed Defense

ATT&CK Flow (مشروع MITRE) بيوصف سلسلة هجوم كاملة في format قياسي (JSON/STIX). تقدر تجيب flows جاهزة (مثلاً CONTI ransomware) وتاخدها على CALDERA وتشغّلها end-to-end.

bash
# مثال Flow بسيط
# 1) T1566.001 (Spearphishing Attachment)
# 2) T1059.005 (Visual Basic)
# 3) T1055 (Process Injection)
# 4) T1003.001 (LSASS Memory)
# 5) T1021.002 (SMB Lateral)

# CALDERA يأخذ flow ثم ينفّذها على agents مع تكيّف
الخلاصة الناشفة

Purple Team مش "event" سنوي. مش "workshop" ربع سنوي.

هي ممارسة مستمرة بتربط CTI ↔ Detection ↔ Validation.

كل اللي عندك من EDR و SIEM و SOAR، الـ Purple Team هي اللي بتقيس قيمتها الفعلية. من غيرها، أنت بتدفع فلوس لـ tools ومش عارف بتشتغل ولا لأ.

الفرق الناضجة عندها dashboard "% coverage على ATT&CK Top 20 لخصومنا"، بيتحدّث كل أسبوع. لو ما عندكش رقم، أنت ما بتقيسش. ولو ما بتقيسش، أنت ما بتحميش.

أنت بتأمّل وبس.

السابق
Top 100 CVEs Catalog — أخطر 100 ثغرة حديثة