O red team ataca: simula um adversário real para achar brechas. O blue team defende: é o SOC que monitora, detecta e responde a incidentes no dia a dia. O purple team não é um terceiro grupo separado — é a colaboração entre os dois, onde o ataque e a defesa trocam informação em tempo real para que cada teste vire uma melhoria concreta na detecção. O ganho não está em vencer o exercício, e sim em fechar as lacunas que ele revela.
Quem começa a estudar segurança ofensiva esbarra logo nessas cores e fica com a impressão de que são três equipes rivais. Não são. São papéis — e o mais interessante deles, o purple, existe justamente para que os outros dois parem de trabalhar isolados e comecem a se fortalecer mutuamente.
O que cada time faz
Cada cor representa uma postura diante da mesma pergunta: até onde a sua defesa aguenta?
- Red team (ofensivo): pensa e age como um atacante. Faz reconhecimento, explora vulnerabilidades e tenta chegar a um objetivo — dados sensíveis, acesso a servidores, movimentação lateral — sem avisar quando nem como. O foco é medir a capacidade real de defesa sob um cenário adversário.
- Blue team (defensivo): é quem cuida da casa todos os dias. Monitora logs e alertas, detecta atividades suspeitas, responde a incidentes e ajusta as defesas. Na prática, é o SOC — a equipe que fica de olho no ambiente enquanto o negócio funciona.
- Purple team (colaboração): não é um time novo, e sim a ponte entre red e blue. Em vez de o ataque acontecer no escuro e o relatório chegar semanas depois, os dois lados trabalham juntos: o red explica como conseguiu entrar e o blue ajusta a detecção na hora.
Como o purple team gera valor
Um exercício de red team tradicional termina com um relatório: "consegui chegar aqui por estes caminhos". Útil, mas atrasado — a defesa só melhora depois que o ataque acabou. O purple team encurta esse ciclo até desaparecer:
- Cada técnica de ataque vira um teste de detecção. O red executa uma ação; o blue confere se o alerta disparou. Se não disparou, ajusta-se a regra na hora e testa de novo.
- O aprendizado fica documentado no lugar certo. Em vez de uma lista de falhas, a empresa ganha detecções novas e validadas que continuam protegendo depois que o exercício termina.
- A conversa substitui a rivalidade. Red e blue deixam de disputar quem "ganhou" e passam a medir uma coisa só: quanto a defesa melhorou.
O resultado é uma defesa que aprende com cada ataque simulado — e não apenas descobre que era vulnerável.
Onde entram o pentest e o SOC
Na prática, essas cores se materializam em serviços concretos. O pentest é a face mais conhecida do lado ofensivo: um teste com escopo e prazo definidos que busca e comprova vulnerabilidades exploráveis. É parente do red team, mas mais direto ao ponto — vale entender a diferença entre pentest e red team antes de contratar.
Do outro lado, o SOC é o blue team entregue como serviço: a operação que monitora, detecta e responde sem parar. É a defesa que precisa estar de pé todos os dias, não só durante um exercício.
O Argos reúne os dois lados. Ele é o blue team gerenciado — um SOC 24h com equipe humana somada à IA, que vigia seu ambiente e reage aos incidentes por você — e também executa o lado ofensivo com pentest. Quando os dois conversam, você tem o efeito purple: cada teste de ataque volta como uma detecção mais afiada. Todo o monitoramento roda com os dados no Brasil.
- Red team ataca (ofensivo), blue team defende (o SOC do dia a dia) e purple team faz os dois colaborarem.
- Purple não é um time separado: é a ponte que transforma cada ataque simulado em detecção nova e validada.
- O pentest é a face ofensiva com escopo definido; o SOC é o blue team entregue como serviço 24h.
- O Argos é o blue team gerenciado e também faz pentest — com os dados no Brasil.