Hemen başlayın
Siber Güvenlik Rehberi

Purple Team nasıl çalışır? Red ve Blue Team'i bir araya getirmek

Purple Team, Red Team'in saldırı simülasyonları ile Blue Team'in tespit ve müdahale süreçlerini aynı masa etrafında buluşturan koordineli bir çalışma modelidir. Amaç "kazanmak" değil; savunmanın hangi saldırı tekniklerini gördüğünü, hangi kuralların tetiklenmediğini ve müdahale süresinin ne olduğunu ölçmektir. SG Danışmanlık Purple Team hizmetiyle MITRE ATT&CK tabanlı senaryolar planlar, savunma metriklerinizi iyileştirmenize yardımcı olur.

Purple Team çalışması - Red Team ve Blue Team koordinasyonu
  • Yazar: SG Danışmanlık
  • 3 Haziran 2026
  • 11 dk okuma

Purple Team nedir?

Purple Team terimi, Red Team (saldırı) ve Blue Team (savunma) disiplinlerinin iş birliğini ifade eder. Klasik Red Team operasyonunda saldırı ekibi savunmadan habersiz ilerleyebilir; Purple Team'de ise senaryolar önceden tanımlanır, savunma ekibi sürece dahil edilir ve her adım birlikte değerlendirilir.

Bu model özellikle SOC olgunluğu artırma, SIEM kural iyileştirme ve olay müdahale playbook güncelleme projelerinde tercih edilir. Sonuç, ölçülebilir savunma metrikleri ve önceliklendirilmiş iyileştirme listesidir.

Red Team ve Blue Team'den farkı

Red Team "adversary emulation" odaklıdır; gerçek saldırgan gibi hareket eder ve savunmanın fark etmemesi hedeflenebilir. Blue Team log izleme, alarm triyajı ve olay müdahale ile tehditleri yönetir. Purple Team bu iki tarafı senkronize eder: hangi ATT&CK tekniğinin test edildiği, alarm üretilip üretilmediği ve müdahale süresi kayıt altına alınır.

Penetrasyon testi zafiyet bulur; Red Team savunmayı zorlar; Purple Team savunmanın ölçülmesi ve geliştirilmesi için tasarlanmıştır. Üç hizmet birbirini tamamlar; kurum olgunluğuna göre sırayla veya birlikte uygulanır.

Purple Team oturumu nasıl planlanır?

Oturum öncesi kapsam, test penceresi ve iletişim protokolü yazılı hale getirilir. Hedef ATT&CK teknikleri seçilir — örneğin T1078 valid accounts, T1021 remote services veya T1566 phishing. Her teknik için beklenen log kaynağı, SIEM kuralı ve playbook adımı tanımlanır.

Oturum sırasında Red Team kontrollü tekniği uygular; Blue Team gerçek zamanlı izler ve müdahale dener. Anlık geri bildirim toplantıları (hot wash) ile eksik tespit noktaları tartışılır. Oturum sonunda metrik tablosu ve iyileştirme backlog'u oluşturulur.

  • Hedef ATT&CK tekniklerinin seçimi
  • Log kaynağı ve kural eşleştirme matrisi
  • Test penceresi ve acil durum iletişimi
  • Canlı gözlem ve hot wash toplantıları
  • Metrik raporu ve iyileştirme backlog'u

Ölçülen savunma metrikleri

Purple Team çıktısının değeri sayısal metriklerle somutlaşır: teknik başına tespit oranı, ortalama tespit süresi, ortalama müdahale süresi ve playbook uyum oranı. Bu metrikler yönetime sunulabilir ve bir sonraki çeyrek hedefleri için baz oluşturur.

Tekrarlayan oturumlarla metriklerin iyileşip iyileşmediği izlenir. Bir kuralın tetiklenmemesi "başarısızlık" değil, iyileştirme fırsatıdır; Purple Team kültürü suçlayıcı değil öğrenme odaklı olmalıdır.

Hangi kurumlar Purple Team'den faydalanır?

SOC'u devreye almış veya olgunlaştırma aşamasındaki kurumlar en yüksek getiriyi görür. Finans, enerji ve teknoloji sektörlerinde düzenleyici denetimler savunma kapasitesinin kanıtlanmasını gerektirir.

Red Team operasyonu sonrası "neden tespit edilmedi?" sorusuna yanıt arayan ekipler Purple Team ile sistematik iyileştirme yapabilir. Yıllık sızma testi ile birlikte planlandığında bütüncül bir güvenlik programı oluşur.

Purple Team oturum örneği: kimlik ele geçirme senaryosu

T1078 Valid Accounts tekniği test edilirken Red Team kontrollü kimlik bilgisi kullanır; Blue Team SIEM ve EDR loglarından anomali arar. Oturum sonunda tespit süresi, alarm kalitesi ve playbook uyumu tablo halinde raporlanır.

Koordineli savunma ölçümü için Purple Team hizmetlerimiz MITRE ATT&CK tabanlı oturumlar planlar. Öncesinde sızma testi ile temel zafiyetler kapatılabilir; Red Team ile geniş saldırı simülasyonu tamamlanır.

Purple Team kültürü ve organizasyonel hazırlık

Purple Team başarısı teknik altyapıdan önce organizasyonel açıklığa bağlıdır. Red ve Blue ekipler arasında suçlayıcı dil yerine öğrenme odaklı geri bildirim kültürü oluşturulmalıdır. Üst yönetim desteği olmadan metriklerin iyileştirme bütçesine dönüşmesi zorlaşır.

Pratik kontrol listesi

  • Hedef ATT&CK teknikleri ve beklenen log kaynakları eşleştirildi mi?
  • SIEM kuralları oturum öncesi gözden geçirildi mi?
  • Blue Team vardiya ve eskalasyon planı oturumla uyumlu mu?
  • Hot wash toplantıları oturum takvimine eklendi mi?
  • İyileştirme maddeleri için sorumlu ve SLA atandı mı?

Sonuç

Purple Team, saldırı ve savunma ekiplerini rekabetten iş birliğine taşır; savunma yatırımlarının gerçekten işe yarayıp yaramadığını gösterir. Düzenli oturumlarla tespit oranı ve müdahale süresi iyileştirilebilir.

Purple Team hizmetlerimiz ve savunma olgunluk değerlendirmesi için iletişim sayfamızdan ücretsiz ön görüşme talep edin.

Ücretsiz ön değerlendirme için iletişim sayfamızdan bize ulaşın veya hizmetlerimiz sayfasından kapsamı inceleyin.

Sık sorulan sorular

Teknik sayısına göre 1–5 gün arası planlanır. Kapsamlı programlar birkaç haftaya yayılabilir; her oturum sonunda metrik raporu paylaşılır.

Siber güvenliğinizi şansa bırakmayın.

Ücretsiz danışmanlık için hemen bizimle iletişime geçin.
Ücretsiz danışmanlık alın
Danışmanlık görseli