Red-Team-Planung & Intel-Analyse.

Planungsbaum — Ziel

• Ziel > Aktivität. "Identifizieren, ob der SOC Domain-Enumeration von einem Foothold-Workstation innerhalb 4 Stunden detektieren kann" — konkret, messbar. Nicht "Red-Team-Sachen machen".
• Defender-Verhalten im Scope. Detektion, Response, Eskalation, Recovery. Wählen, was getestet wird; alle vier gleichzeitig zu testen produziert in keinem Signal.
• Erfolgskriterien schriftlich. "Wenn Alert in 4 Stunden feuert: Detektion funktioniert. Wenn Alert feuert, aber kein Host-Containment in weiteren 2 Stunden: Detektion funktioniert, Response nicht." Jeweils messbar.

Planungsbaum — Actor-Profil

• Benannten Actor wählen. "APT29" simulieren gibt dem Engagement ein TTP-Set zu folgen. MITRE ATT&CK Navigator mappt Named-Actor-zu-Techniques.
• Fidelity-Level. Hoch = exaktes Tooling, exaktes Infrastruktur-Muster, exaktes Dwell-Time-Profil. Niedrig = nur TTP-Set, moderne Tools zur Ausführung.
• Nicht mischen. APT29-Initial-Access mit FIN7-Lateral-Movement simulieren = unrepräsentativ. Im Actor bleiben.

Planungsbaum — Infrastruktur

• Domains. Aged-out (6–12 Monate im Voraus registriert), Low-Reputation-nachbarschaftsfrei, TLS-terminiert mit gültigem Let's Encrypt. Kategorisierung durch Domain-Reputation-Services dauert Wochen; vorregistrieren.
• Redirectors. Domain-fronted oder CDN-fronted, um echtes Backend zu verschleiern. nginx mit Location-Block-Regeln, die nur spezifische Pfade an C2-Backend weiterleiten.
• Cloud-Staging. Disposable Cloud-VMs für jede Phase. Niemals Infrastruktur über Kunden oder Phasen hinweg wiederverwenden.
• Mailbox-Infrastruktur. Bei Phishing: SPF/DKIM/DMARC-passing, gewärmte Sender-History vor Kampagne, dedizierte Sending-IP.

Planungsbaum — Evasion-Budget

• IOC-Budget. "Maximal 5 EDR-Alerts über Engagement; 0 SOC-Eskalationen". Echtzeit-Tracking. Über Budget = pause, neubewerten.
• Tradecraft-Wahl an Budget gebunden. nanodump auf LSASS (low IOC) vs Mimikatz (high IOC) ist Budget-Entscheidung, keine Capability-Entscheidung.
• Operator-Log jeder Aktion. Jedes Kommando + Timestamp + Begründung. Pflicht für Post-Engagement-Attribution welcher Alert zu welcher Aktion gehörte.

Planungsbaum — Deconfliction

• White-Cell-Kontakt. Benannte Person + Telefon + Signal + E-Mail, 24/7 verfügbar im Engagement-Fenster.
• Deconfliction-Call-Template. "Hier <Tester> bezüglich Aktion, die <Alert-Muster> um <Zeitfenster> erzeugen soll. Bitte bestätigen." Vorab klären: wer initiiert (Tester oder Verteidiger?), wenn SOC mitten im Engagement echte Intrusion vermutet.
• Real-Incident-Protokoll. Was passiert, wenn echter Angreifer während Engagement auftaucht? Default: Engagement pausieren, zurücktreten, an IR übergeben.
• Eviction-Protokoll. Was passiert, wenn Verteidiger Foothold fängt und contained? Pausieren und briefen, nicht um Containment herumschleichen.

Intel-Analyse — Quellen-Disziplin

• Source-Rating. Jede Behauptung mit Source-Qualität taggen. Primär (selbst gesehen), zuverlässig sekundär (Vendor-Research mit reproduzierbaren IoCs), aggregiert (aus anderen Reports gesammelt), Gerücht (einzelne Erwähnung, keine Corroboration).
• Konfidenz-Sprache. "Wir bewerten mit hoher Konfidenz" / "moderater Konfidenz" / "niedriger Konfidenz" — eines pro Behauptung. "Wahrscheinlich" oder "vermutlich" ohne Skala vermeiden.
• Cross-Corroboration. Zwei unabhängige Quellen, die dasselbe Fakt bestätigen = hohe Konfidenz. Zwei Reports, die beide den gleichen früheren Report zitieren = eine Quelle, nicht zwei.
• Vorsicht vor analytischem Momentum. Sobald eine Hypothese benannt ist, wird jede folgende Beobachtung auf sie gefittet. Vor Analysestart explizite Disconfirming-Evidence-Schwelle setzen.