To, na czym fioletowe zespoły będą mogły się skupić, częściowo zależy od dojrzałości poszczególnych elementów. Na przykład bez dobrych informacji o zagrożeniach trudno jest określić, na jakich aktorach zagrożeń należy się skupić, bez przeprowadzenia odpowiednich badań. Zależy to również od jakości kontroli, rejestrowania i monitorowania, możliwości przetwarzania tych danych oraz ogólnej wiedzy i zrozumienia zespołów. Często fioletowe zespoły ewoluują, zaczynając skupiać się na obszarze, który jest łatwy do znalezienia, np. wskaźnikach kompromisu, i rozwijają się, aż będą mogły skupić się na TTP. David J. Bianco stworzył Piramidę Bólu pokazaną na rysunku 6-2, aby opisać różne poziomy, na których drużyny defensywne mogą wpłynąć na atakującego. Na najniższym poziomie znajdują się wartości skrótu, gdzie po prostu zmieniając wartość skrótu, atakujący może uniknąć wykrycia. Na szczycie znajdują się TTP, w przypadku których atakujący musiałby zmienić sposób działania, używane narzędzia, a być może nawet cele, które próbuje osiągnąć. Analiza zagrożeń większości organizacji koncentruje się początkowo na trzech najniższych poziomach, czyli IOC łatwo dostępnych za pośrednictwem źródeł informacji o zagrożeniach. Są one często dostępne również dla narzędzi obronnych, więc jeśli haker wejdzie z tego samego miejsca, używając tych samych adresów IP, nazw hostów lub plików wykonywalnych, dość łatwo będzie go zablokować. Fioletowe zespoły zaczynają być skuteczne na poziomie sieci i artefaktów hosta, a następnie pną się w górę. Poziom artefaktów sieci i hosta może obejmować wzorce identyfikatorów URI i użycie określonych portów lub protokołów do komunikacji. Są to rzeczy, które czerwone zespoły często mogą dość łatwo odtworzyć, aby sprawdzić, co jest rejestrowane, a następnie zespoły mogą znaleźć, co rejestrują różne komponenty, i pracować nad tworzeniem lepszych alertów poprzez wyświetlanie tych dzienników jako zdarzenia. Chociaż zmiana numeru portu lub użycie innego schematu URI nie jest trudne, wymaga o wiele więcej wysiłku niż tylko rekompilacja pliku binarnego lub ustawienie nowego adresu IP; dlatego jest to bardziej uciążliwe dla atakującego, co oznacza, że będzie musiał się bardziej postarać, aby uniknąć wykrycia w sieci. W miarę zdobywania umiejętności i procesów zespoły mogą przejść do testowania narzędzi i dokumentowania ich wyglądu w sieci. Narzędzia są przedmiotem zainteresowania, ponieważ są łatwo dostępne i często istnieje wiele informacji na temat sposobu ich użycia. Poza tym niekoniecznie wymagają mnóstwa badań, ale można się przy nich uczyć. Jeśli więc wiesz, że osoba atakująca korzysta z programu PowerShell Empire, uruchomienie go w sieci w celu sprawdzenia, co pozostawia, jak wygląda i sposobów potencjalnego wykrycia jest trudniejsze niż samo przeglądanie dzienników. Nie koncentruje się jednak na działaniu narzędzia; zamiast tego skupia się na tym, co robi. Kiedy zespoły pracują z indywidualnymi TTP, mogą one być niezwykle destrukcyjne dla atakujących. Na przykład obrońca, który rozumie związek pomiędzy kopią pliku za pomocą SMB, wywołaniem DCOM do WMI i wykonaniem procesu z WMIPrvSE, jest w stanie lepiej powstrzymać atak przy użyciu tych komponentów. Indywidualnie mogą one nic nie znaczyć. Razem stanowią one bardzo dokładne wskaźniki pojedynczego ataku wykorzystującego usługę WMI do wykonania ruchu bocznego i opierają się na zachowaniu, a nie na narzędziach. Są one znacznie trudniejsze do zrozumienia i wykonania, co oznacza, że drużyna czerwonych musi mieć możliwość sformułowania wielu sposobów wykonania tego zadania, aby uzyskać rejestrowanie o wyższej jakości, a obrońcy muszą zrozumieć systemy na tyle, aby móc śledzić tę aktywność . Osoby zajmujące się inżynierią wykrywania również muszą być wystarczająco wyrafinowane, aby skorelować te działania, a jeśli celem jest zbudowanie odpowiednich zabezpieczeń, właściciele klientów i serwerów oraz właściciele elementów sterujących muszą być na tyle wyrafinowani, aby móc blokować lub ograniczać tego typu działania , Jeśli to możliwe.