Sin entrar demasiado en detalles (ya que dependen mucho de las circunstancias de la prueba), puedes pensar en cosas como esta.
¿Cómo encuentran los atacantes los SOC? Bueno, hay un par de formas en las que pueden buscar las firmas de las herramientas de ataque conocidas, por lo que, por ejemplo, la mayoría de los IDS tendrán una firma para el escaneo de nmap, y si escanea usando el nmap, lo activará.
Otra forma en que el equipo azul podría trabajar es buscar anomolías. Así, por ejemplo, si saben que no hay servicio en la red que utiliza el puerto 23455 / TCP y de repente comienzan a ver el tráfico en ese puerto, es fácil de usarlo como un evento de alerta.
Entonces, desde la perspectiva del atacante, ¿cómo evitas eso?
Bueno para la primera, evite usar herramientas bien conocidas en sus configuraciones predeterminadas. En lugar de utilizar nmap, intente utilizar elementos como las herramientas del sistema operativo que le permiten conectarse a los servicios (por ejemplo, un cliente SSH en un bucle en busca de servidores SSH)
También hace uso de técnicas que son pasivas. La detección de paquetes puede revelar sistemas de tráfico de transmisión que regalan los servicios que están ejecutando. Así, por ejemplo, un servidor de Windows puede hacer ciertas transmisiones que puede recoger. Entonces, ya sabe lo que es y puede contactarlo directamente en los puertos comunes de Windows, que probablemente no se mostrarán en un panel de SOC ya que es un tráfico bastante normal.
La otra cosa que se debe evitar es los puertos predeterminados comunes para las herramientas de ataque. Si la herramienta se envía con un valor predeterminado, use otra cosa y preferiblemente algo que ya esté en uso en la red, como usar 443 / TCP para el tráfico SSL, que se fusionará bastante bien, con toda probabilidad.