Red Team Field NotesPentest · Adversary Simulation · Validation
MITRE ATT&CK

Couverture et Purple Team

Planifier une simulation, mapper les techniques, associer les preuves et mesurer la couverture de détection.

Mesure

Pour chaque technique : exécutée, visible, détectée, investiguée, contenue et remédiée.

État Question
Visible la télémétrie existe-t-elle ?
Détecté une règle a-t-elle alerté ?
Qualifié l’analyste a-t-il compris ?
Contenu l’action a-t-elle été stoppée ?
Corrigé la cause a-t-elle été traitée ?

Purple Team

Un atelier Purple Team peut rejouer une action canari, observer les logs, ajuster une règle et retester immédiatement. Il réduit le risque par rapport à une opération aveugle.

Evidence

Associe l’ID ATT&CK à la commande de test, aux timestamps, aux événements et au résultat du SOC.

Limites

Une technique “détectée” une fois ne garantit pas une couverture permanente. Documente la source, la règle, le propriétaire, la version et la date du dernier test.

Références officielles