Cara terbaik untuk menggambarkan cara kerja blue team adalah dengan analogi tim sepak bola. Blue team, yang terdiri dari para profesional keamanan siber organisasi Anda, adalah garis pertahanan organisasi Anda terhadap semua potensi ancaman, seperti serangan phishing dan aktivitas yang mencurigakan.
Salah satu langkah pertama dalam pekerjaan blue team, atau garis pertahanan, adalah memahami strategi keamanan organisasi. Langkah ini sangat penting untuk mengumpulkan data yang diperlukan untuk menyusun rencana pertahanan terhadap serangan dunia nyata.
Sebelum rencana pertahanan, blue team akan mengumpulkan semua informasi mengenai area mana saja yang membutuhkan perlindungan dan melakukan penilaian risiko. Selama periode pengujian ini, blue team akan mengidentifikasi aset-aset penting dan mencatat pentingnya masing-masing aset tersebut, bersama dengan audit DNS dan pengambilan sampel lalu lintas jaringan. Setelah tim mengidentifikasi aset tersebut, mereka dapat melakukan penilaian risiko untuk mengidentifikasi ancaman terhadap setiap aset dan mengungkap kelemahan atau masalah konfigurasi yang terlihat. Dalam tim sepak bola, penilaian ini mirip dengan ketika pelatih dan pemain mendiskusikan permainan sebelumnya, apa yang berjalan dengan baik dan apa yang salah.
Setelah penilaian selesai, blue team menerapkan langkah-langkah keamanan, seperti mendidik karyawan lebih lanjut tentang prosedur keselamatan dan memperkuat aturan kata sandi. Menerapkan langkah-langkah keamanan itu seperti merancang cara bermain baru untuk menguji seberapa baik cara tersebut berjalan dalam sepak bola. Setelah menetapkan rencana pertahanan, peran blue team adalah menanamkan alat pemantauan yang dapat mendeteksi tanda-tanda intrusi, menyelidiki peringatan, dan merespons aktivitas yang tidak biasa.