CyberS3c, Cybersecurity Artisans
Sala de operações de segurança com uma parede de ecrãs a monitorizar redes e sistemas

Validação de SOC & Purple Team

O seu SOC deteta o ataque antes de ser tarde? Validamos as capacidades de deteção e resposta do seu SOC com exercícios Purple Team, testamos, medimos e melhoramos, técnica a técnica.

Investiu num SOC, num SIEM e em EDR, mas tem a certeza de que detetam o ataque que interessa? A maioria das organizações só descobre as falhas de deteção durante um incidente real. Nós descobrimo-las antes, num exercício controlado.

ATT&CK
cada técnica mapeada ao referencial MITRE ATT&CK
MTTD
tempos de deteção e de resposta medidos, não estimados
100%
das ações documentadas e reproduzíveis pela sua equipa
Antes
de um atacante real testar as suas defesas por si

Âmbito e métricas definidos com a sua equipa no arranque do exercício.

Porque testar o seu SOC

Um SOC que nunca foi testado é uma suposição, não uma garantia. As deteções falham em silêncio, uma regra mal afinada, um log que não chega ao SIEM, um alerta que ninguém escala. Só um ataque simulado revela o que está mesmo a funcionar.

Pontos cegos de deteção

Técnicas comuns de atacantes que passam sem gerar um único alerta.

Alertas que não escalam

O SIEM regista, mas o alerta perde-se no ruído e ninguém responde.

Tempos por medir

Não sabe quanto tempo passa entre o ataque, a deteção e a resposta.

Cobertura desconhecida

Não há mapa de que táticas do ATT&CK está, e não está, a cobrir.

Playbooks por validar

Os procedimentos de resposta existem no papel, mas nunca foram exercitados.

Exigência regulatória

A NIS2 e os clientes pedem provas de deteção e resposta eficazes.

O que é um exercício Purple Team

No Purple Team, a equipa ofensiva (red) e a equipa defensiva (blue) trabalham lado a lado, e não uma contra a outra. Executamos técnicas de ataque reais, uma a uma, enquanto a sua equipa observa o que o SOC deteta, e afinamos as deteções em tempo real. O objetivo não é “ganhar”: é fechar lacunas e sair com um SOC mensuravelmente melhor.

Cenários baseados em ameaças reais ao seu setor
Cada técnica mapeada ao MITRE ATT&CK
Execução transparente, em conjunto com a sua equipa
Afinação de regras de deteção em tempo real
Validação ponta a ponta: log → SIEM → alerta → resposta
Métricas objetivas de deteção e resposta

O que validamos

Testamos toda a cadeia de deteção e resposta, das fontes de dados aos procedimentos humanos:

Cobertura e visibilidade de logs
Regras e correlação do SIEM
Deteção do EDR/XDR nos endpoints
Qualidade e priorização dos alertas
Processo de triagem e escalonamento
Playbooks de resposta a incidentes
Tempos de deteção (MTTD) e resposta (MTTR)
Comunicação e reporte durante o incidente
Deteção por tática do MITRE ATT&CK

Como medimos a eficácia

Em vez de uma opinião, entregamos números. Para cada tática do ATT&CK, medimos que percentagem das técnicas executadas foi detetada, antes e depois da afinação feita no exercício.

Cobertura de deteção por tática, antes vs depois Exemplo ilustrativo do ganho típico de um exercício Purple Team.
Acesso inicial, depois 85%
Acesso inicial, antes 45%
Execução e persistência, depois 80%
Execução e persistência, antes 40%
Evasão de defesas, depois 70%
Evasão de defesas, antes 25%
Exfiltração, depois 90%
Exfiltração, antes 50%
Antes do exercício Depois do exercício
Valores ilustrativos; os resultados reais dependem da maturidade inicial do SOC.

Purple Team não é um pentest

São serviços complementares, com objetivos diferentes. O Teste de Exploração e o Red Team medem se o atacante entra; o Purple Team mede se o seu SOC repara que ele entrou.

Red Team clássico vs Validação de SOC (Purple Team)
Red Team clássico Validação de SOC (Purple Team)
Objetivo Atingir um alvo sem ser apanhado Medir e melhorar a deteção e a resposta
Postura Adversarial e furtivo Colaborativo e transparente
Foco O caminho até ao objetivo A cobertura de deteção, técnica a técnica
Equipa do cliente Não sabe que está a ser testada Participa e aprende durante o exercício
Resultado Prova de que a intrusão é possível Deteções afinadas e métricas MTTD/MTTR
Quando escolher Validar a resiliência global Rentabilizar o investimento em SOC/SIEM/EDR
Muitas organizações fazem os dois: Red Team para a visão global, Purple Team para afinar o SOC.

Como decorre o serviço

  1. 1 Fase 1

    Âmbito e modelação de ameaças

    • Definição de objetivos e regras de envolvimento
    • Seleção de cenários relevantes para o seu setor
    • Mapeamento inicial ao MITRE ATT&CK
  2. 2 Fase 2

    Execução colaborativa

    • Execução das técnicas, uma a uma, com a sua equipa
    • Registo do que é detetado, alertado e escalado
    • Afinação de regras de deteção em tempo real
  3. 3 Fase 3

    Medição e análise

    • Cálculo de cobertura de deteção por tática
    • Medição de MTTD e MTTR
    • Identificação de lacunas e causas-raiz
  4. 4 Fase 4

    Relatório, melhorias e reteste

    • Relatório executivo e técnico com matriz ATT&CK
    • Recomendações de deteção e playbooks melhorados
    • Reteste das lacunas críticas para confirmar o ganho

Exercício controlado

Descubra as falhas de deteção antes que um atacante o faça.

Red e blue lado a lado, cada técnica medida e afinada, o seu SOC sai do exercício mensuravelmente mais forte.

O que recebe

Relatório executivo e técnico

Resultados claros para a gestão e detalhe acionável para a equipa.

Matriz MITRE ATT&CK

Mapa visual do que o seu SOC deteta, e onde estão os pontos cegos.

Métricas MTTD e MTTR

Tempos reais de deteção e resposta, com base de comparação futura.

Regras de deteção afinadas

Deteções novas e melhoradas para o seu SIEM e EDR.

Playbooks reforçados

Procedimentos de resposta testados e revistos no exercício.

Sessão de transferência

Capacitação da sua equipa para manter e evoluir as deteções.

Depois do exercício, a evolução contínua pode ser assegurada pela nossa Monitorização e Resposta a Incidentes, ou integrada na estratégia do seu CISO as a Service.

Perguntas frequentes

Preciso de ter um SOC próprio para fazer este serviço?

Idealmente valida-se um SOC já em funcionamento, interno ou subcontratado. Se ainda não tem capacidade de deteção e resposta, faz mais sentido começar pela nossa Monitorização; o Purple Team entra depois, para validar e afinar.

O exercício é perigoso para os meus sistemas de produção?

Não. As técnicas são executadas de forma controlada, com regras de envolvimento acordadas e salvaguardas definidas. O objetivo é gerar deteções, não causar impacto, e a sua equipa acompanha tudo em tempo real.

Qual é a diferença para um pentest ou um Red Team?

Um pentest procura vulnerabilidades e um Red Team testa se consegue atingir um objetivo sem ser detetado. O Purple Team foca-se em medir e melhorar a capacidade de deteção e resposta do seu SOC, de forma colaborativa e transparente.

Como é que isto ajuda com a NIS2?

A NIS2 exige capacidades eficazes de deteção, tratamento e reporte de incidentes. Um exercício Purple Team produz evidência objetiva dessas capacidades, cobertura de deteção, tempos de resposta e melhorias implementadas, útil para auditorias e para a administração.

Trabalham com o meu SIEM e EDR atuais?

Sim. O exercício é agnóstico à tecnologia: trabalhamos com as ferramentas que já tem (SIEM, EDR/XDR, ferramentas de log) e entregamos regras e melhorias aplicáveis a esse ambiente.

Com que frequência se deve repetir?

A deteção degrada-se com o tempo, à medida que a infraestrutura e as ameaças mudam. Muitas organizações repetem o exercício periodicamente, por exemplo, uma a duas vezes por ano, ou após mudanças significativas no ambiente.

Interessado neste serviço?

Entre em contacto e a nossa equipa responde em menos de 24 horas.