Inżynieria wykrywania to proces tworzenia sposobów wykrywania różnych typów zdarzeń. Może istnieć poza kontekstem fioletowych drużyn; jednak fioletowe zespoły sprawiają, że jest to drastycznie bardziej skuteczne. Zapewniając trafność, kontekst i możliwość zastosowania w konkretnym środowisku, fioletowe zespoły mogą dostosować wykrywanie do Twojego środowiska, dzięki czemu nie pozostaniesz tylko z treściami dostarczonymi przez dostawcę, które mogą być zbyt hałaśliwe lub nie uwzględniać wielu źródeł, które można połączyć w alerty o wyższej wierności. Dobrym tego przykładem jest sytuacja, w której analiza zagrożeń odkryła, że wielu aktorów zagrażających używa Cobalt Strike dla C2 i gromadzi dane uwierzytelniające za pomocą Mimikatz. Zespół czerwonych może uruchomić tę kombinację narzędzi na hoście docelowym, a następnie współpracować z zespołem poszukiwawczym, aby zobaczyć, jakie artefakty zostaną utworzone. Innym przykładem może być rozwiązanie EDR rejestrujące dostęp LSASS z procesu notmalware.exe i lokalny agent AV rejestrujący połączenie z serwerem proxy z notmalware.exe. Łącząc te dwa elementy, zespół odkrywa, że jest mniej fałszywych alarmów, przekazuje więc informacje zespołowi inżynierów ds. wykrywania, aby w oparciu o te dwa czynniki zbudował alert kombinowany, aby umożliwić obrońcom pierwszej linii zaalarmowanie, gdy taka kombinacja występuje. Dalsze testy przeprowadzone przez zespół czerwonych wykazały, że alert nie zostanie uruchomiony w przypadku użycia Mimikatz w połączeniu z sygnalizatorem SMB firmy Cobalt Strike. Czerwony zespół informuje, że sygnalizatory SMB używają nazwanych potoków do komunikacji, ale obecnie nie wdrożono żadnych narzędzi, które rejestrowałyby nazwane potoki. Zespół obsługi klienta współpracuje z obrońcami przy wdrażaniu Sysmon i konfigurowaniu rejestrowania tworzenia nazwanych potoków. Kiedy zespół czerwonych ponownie przeprowadzi testy, istnieje teraz korelacja między hostami, które utworzyły nazwane potoki w ciągu ostatniej godziny, a uzyskującymi dostęp do LSASS. Poszczególne alerty same w sobie nie byłyby tak skuteczne, gdyby zespoły nie współpracowały ze sobą, przeprowadzając rzeczywiste testy w środowisku i dopasowując strategię ostrzegania i obrony do konkretnego środowiska. Ostatecznie w tym środowisku wszyscy wygrywają, może z wyjątkiem drużyny czerwonej, która musi zbadać nowe techniki emulacji zagrożeń.