Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L54
العمليات والتقصيخبير80mL54

الفريق الأرجواني — محاكاة الخصم وقياس الفعالية

استخدام Atomic Red Team و CALDERA لتطوير الدفاع

#Purple#Atomic#CALDERA#ATT&CK#Coverage

ما هو Purple Team — لماذا ليس مجرد دمج فريقين

Red Team يثبت أن الاختراق ممكن. Blue Team يبني الكشف و الاستجابة. Purple Team يقيس كم تقنية يكتشفها فعلاً نظامك الحالي — لا في تقرير سنوي، بل قياس مستمر مرتبط بـ ATT&CK.

تشبيه — شرح مبسط
الفرق بين Pentest و Purple Team هو الفرق بين فحص طبي شامل مرة واحدة، و جهاز قياس ضغط دم متصل دائماً. الأول يخبرك "هل أنت مريض الآن؟"، الثاني يخبرك "كيف يتغيّر صحتك مع كل قرار تتخذه".
الفكرة الجوهرية
لا تختبر كل شيء — اختبر التقنيات التي يستخدمها خصومك الفعليون (CTI-driven). ثم قِس التغطية و طوّر الكشف عملياً.

ATT&CK Navigator — خريطة المعركة

attack.mitre.org/matrices/enterprise تحوي ~14 تكتيكاً و >200 تقنية. الـ Navigator (مفتوح المصدر) يلوّن الخريطة حسب:

Threat Layer
التقنيات التي تستخدمها مجموعات تستهدف قطاعك. مأخوذة من تقارير CTI (Mandiant, CrowdStrike, MITRE Groups).
Coverage Layer
ما يكتشفه نظامك الحالي. مأخوذ من Sigma rules, SIEM detections, EDR.
Gap Layer
Threat − Coverage = الفجوات. هذه هي قائمة العمل الحقيقية.
Validation Layer
ما اختبرته فعلياً عبر Atomic / CALDERA. أخضر = اكتُشف، أحمر = لم يُكتشف.
قاعدة
لا توجد فرصة للتغطية > 100%. الواقعي: 50–60% من التقنيات الأكثر استخداماً، تختبر شهرياً.

Atomic Red Team — اختبار فردي لكل تقنية

Atomic = مكتبة من Red Canary فيها >1500 اختبار صغير، كل واحد يطابق تقنية ATT&CK محددة. ينفّذ على endpoint واحد، يتحقق من الكشف، ينظّف.

$ # تثبيت على Windows
$ IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing)
$ Install-AtomicRedTeam -getAtomics
$ # ابحث عن اختبارات لتقنية T1059.001 (PowerShell)
$ Invoke-AtomicTest T1059.001 -ShowDetailsBrief
T1059.001-1 Mimikatz T1059.001-2 Run BloodHound T1059.001-7 Powershell Invoke Known Malicious Cmdlets
$ # نفّذ اختباراً واحداً ثم نظّف
$ Invoke-AtomicTest T1059.001-1 -PromptForInputArgs
$ Invoke-AtomicTest T1059.001-1 -Cleanup
نموذج تشغيل
قسّم فريقك إلى زوج: المنفّذ يطلق Atomic، المراقب يفتح Splunk/Sentinel و يبحث في الوقت الحقيقي. النتيجة: "هل ظهر؟ في كم ثانية؟ في أي قاعدة؟". وثّق على ATT&CK Navigator.

CALDERA — محاكاة مسلسل كامل

Atomic = اختبار واحد. CALDERA (من MITRE) = سلسلة عمليات كاملة. Agent على endpoint يتلقى أوامر، يبني attack chain، يتعلّم من النتائج.

bash
# تشغيل CALDERA server
git clone https://github.com/mitre/caldera.git --recursive
cd caldera && pip install -r requirements.txt
python server.py --insecure

# الواجهة على :8888
# 1) Plugins: Stockpile (TTPs), Atomic, Sandcat (agent)
# 2) Deploy agent: واحد سطر PowerShell من Adversaries → Deploy
# 3) شغّل Adversary: e.g., "Hunter" (UAC bypass + Mimikatz + lateral movement)
  • Adversary profile — تجميعة TTPs تحاكي مجموعة (e.g., APT29).
  • Operation — تنفيذ Adversary على Agents مع قواعد (autonomous / human-in-the-loop).
  • Fact base — معلومات يجمعها Agent (usernames, hashes, networks) ثم يستخدمها في خطوات لاحقة.

أدوات أخرى مفيدة

Atomic Red Team
PowerShell + cross-platform tests, granular per-technique. لا يحتاج C2.
CALDERA
Operations كاملة, agent-based, autonomy options.
Stratus Red Team
DataDog — تركيز على cloud (AWS, Azure, GCP) attack TTPs.
Pacu
AWS-specific exploitation framework. مفيد لتدريب Detection Engineering على cloud telemetry.
Vectr
منصة لتسجيل و تتبع نتائج عمليات Purple. أصبحت معياراً.
DeTT&CT
قياس جودة data sources الخاصة بك. تكمّل ATT&CK Navigator.

دورة عمل أسبوعية مقترحة

  1. الإثنين — Threat selection. راجع آخر تقارير CTI تخص قطاعك. اختر 5 تقنيات.
  2. الثلاثاء — Detection design. اكتب Sigma/KQL rules لها. ضعها في staging.
  3. الأربعاء — Execution. Atomic/CALDERA على lab + endpoint اختبار في بيئة الإنتاج (مع موافقة).
  4. الخميس — Tuning. True positive? رفّعها. False positive؟ عدّل threshold/whitelist. لم تظهر؟ افحص data source.
  5. الجمعة — Document. Vectr + ATT&CK Navigator. تقرير قصير: "تحت/فوق التغطية، التحديات".
مقاييس النضج
  • MTTD (Mean Time To Detect) — هدف < 1 ساعة لتقنيات حرجة.
  • Coverage % على ATT&CK Top 20 لخصومك.
  • Detection-as-Code — كل قاعدة في git مع unit test (شغّل Atomic ↦ rule fires).
  • Repeatability — قياس شهري بنفس المجموعة. هل تحسّنت؟

فخاخ شائعة

  • Cherry-picking. اختبار التقنيات التي تعرف أنها مكتشفة فقط = وهم تغطية.
  • Lab-only testing. Lab ≠ Production. اختبر (بحذر) على telemetry الفعلي.
  • تجاهل التنظيف. Atomic ينشئ ملفات/registry — Cleanup إجباري في كل تشغيل.
  • إنذارات بدون playbook. الكشف بلا استجابة = ضوضاء. كل rule يجب أن تربط بـ runbook.
  • Vendor-driven. "EDR يقول إنه يكشف X" ≠ يكشف X في بيئتك. اختبر دائماً بنفسك.

التكامل مع ATT&CK Flow و Threat Informed Defense

ATT&CK Flow (مشروع MITRE) يصف سلسلة هجوم كاملة في format قياسي (JSON/STIX). يمكنك استيراد flows جاهزة (e.g., CONTI ransomware) إلى CALDERA و تشغيلها كاملة.

bash
# مثال Flow بسيط
# 1) T1566.001 (Spearphishing Attachment)
# 2) T1059.005 (Visual Basic)
# 3) T1055 (Process Injection)
# 4) T1003.001 (LSASS Memory)
# 5) T1021.002 (SMB Lateral)

# CALDERA يأخذ flow ثم ينفّذها على agents مع تكيّف
الخلاصة
Purple Team ليس حدثاً سنوياً. إنه ممارسة مستمرة تربط CTI ↔ Detection ↔ Validation. الفرق الناضجة لديها لوحة "% coverage" تُحدّث كل أسبوع.
السابق
هجمات خطوط الإنتاج (CI/CD Pipelines)
التالي
التحقيق الجنائي في ويندوز — تحليل السجلات والآثار