De nada jovem, se eu for encontrando mais links, irei incrementando o comentário acima. Com relação ao que for mais fácil, dependendo da vulnerabilidade, é fácil de encontrar scripts prontos para testar as máquinas. Um lugar que é bem legal de ver é : [Shodan](https://www.shodan.io/) Nesse site você encontra portas/protocolos que estão expostos para a internet. Agora falando sobre a experiência de Blue Team, o mais desafiador de todo esse processo, por incrível que pareça são as **pessoas**. Tem certas horas que criam tantas barreiras, que só um incidente para ajudar a transpor essas dificuldades. Agora com relação a parte técnica, dependendo, da trabalho mesmo. Uma que precisa testar razoalmente antes de replicar é **hardening** de política de Servidor e etc. Dependendo do você faz, pode parar um ambiente, parar alguma integração legada... Monitoria de logs com SIEM você pode criar ações automatizadas (Playbooks), por ex: Você logou em uma região X e 5 minutos depois está em outro país. Ação: Bloquear a Conta - Notificar Gerente. Enfim, da para tirar umas "piras". Vou deixar uma imagem de referência sobre os times. [Blue Team vs Red Team vs Purple Team](https://cdn2.hubspot.net/hubfs/99242/Blog_Images/red%20team%20vs%20blue%20team.png)