Automation workflow¶
+---------------------+ +---------------------+ +---------------------+
| | | | | |
| RED TEAM TOOLS |------>| DETECTION ENGINE |------>| SIEM / DASHBOARDS |
| (CALDERA, Atomic, | | (Sigma, YARA, | | (Elastic, Splunk, |
| C2 Frameworks) |<------| EDR Rules) |<------| Grafana) |
| | | | | |
+----------+----------+ +----------+----------+ +----------+----------+
| | |
| | |
v v v
+----------+----------+ +----------+----------+ +----------+----------+
| | | | | |
| ATTACK SIMULATION | | RULE VALIDATION | | THREAT HUNTING |
| (Emulate TTPs) | | (MTTD/MTTR) | | (Proactive |
| | | | | Detection) |
+----------+----------+ +----------+----------+ +----------+----------+
| | |
| | |
+--------------+--------------+ |
| |
v v
+---------------------+ | +---------------------+ +---------------------+
| | | | | | |
| FEEDBACK LOOP |<----+| AUTOMATED |<------| CONTINUOUS |
| (Jira, Reports, | | REMEDIATION | | IMPROVEMENT |
| Purple Meetings) |----->| (SOAR, Playbooks) | | (Metrics, Maturity)|
| | | | | |
+---------------------+ +---------------------+ +---------------------+
Alternative version with more detail:
┌───────────────────────┐ ┌───────────────────────┐ ┌───────────────────────┐
│ │ │ │ │ │
│ ┌───────────────┐ │ │ ┌───────────────┐ │ │ ┌───────────────┐ │
│ │ ATT&CK │ │ │ │ Detection │ │ │ │ Hunting │ │
│ │ Emulation ├───┼────┼──>│ Engineering ├───┼────┼──>│ Dashboards │ │
│ │ (CALDERA) │<──┼────┼───┤ (Sigma) │ │ │ │ (Kibana) │ │
│ └──────┬────────┘ │ │ └──────┬────────┘ │ │ └──────┬────────┘ │
│ │ │ │ │ │ │ │ │
└──────────┼────────────┘ └──────────┼────────────┘ └──────────┼────────────┘
│ │ │
v v v
┌───────────────────────┐ ┌───────────────────────┐ ┌───────────────────────┐
│ │ │ │ │ │
│ Attack Simulation │ │ Alert Validation │ │ Gap Analysis │
│ ┌─────────────────┐ │ │ ┌─────────────────┐ │ │ ┌─────────────────┐ │
│ │ T1059.003 │ │ │ │ MTTD: 12min │ │ │ │ Uncovered: │ │
│ │ PowerShell │ │ │ │ MTTR: 45min │ │ │ │ T1558.004 │ │
│ └─────────────────┘ │ │ └─────────────────┘ │ │ └─────────────────┘ │
│ │ │ │ │ │
└──────────┬────────────┘ └──────────┬────────────┘ └──────────┬────────────┘
│ │ │
└──────────────┬─────────────┴───────────────┬────────────┘
│ │
v v
┌───────────────────────┐ ┌───────────────────────┐
│ │ │ │
│ Automated Remediation│ │ Maturity Metrics │
│ ┌─────────────────┐ │ │ ┌─────────────────┐ │
│ │ SOAR Playbook │ │ │ │ Level 4/5 │ │
│ │ (Block PS) │ │ │ │ (90% Coverage) │ │
│ └─────────────────┘ │ │ └─────────────────┘ │
│ │ │ │
└───────────────────────┘ └───────────────────────┘
Last update:
2025-05-17 10:05