この段階では、目標、攻撃シナリオ、目的、交戦規定、ホワイトチームを選択します。ホワイトチームは、組織の上級メンバーで構成されます。このメンバーは、テストとその秘密を知っており、システムにダメージがあった場合にゲームを中止させることができます。

一般的に、レッドチームの活動は、オープンソースインテリジェンス（OSI）（公開されているリソースから情報を収集すること）とヒューマンインテリジェンス（HI）（個人との直接的な対話を通じて情報を収集すること）による組織的なデータの収集から始まります。

このエクスプロイトおよびインプラントは、配信可能なペイロードに同梱され、以下の手段で配信されます。
(i) 電子メールによるフィッシング攻撃
(ii) 電話を使ったフィッシング攻撃
(iii) BYOD（Bring Your Own Device）を感染源とするもの。 また
(iv) 本質的には悪意のないもので、ユーザーが特定の添付ファイルを含む電子メールを開いたことをレッドチームに通知するフラグとして機能するもの。

この段階では、すでに初期の足場を得ているはずです。ここで使われる一般的なテクニックとしては、以下のようなものが考えられます。
(i) 脆弱な許諾の悪用
(ii) 信頼関係の乱用
(iii) プロセスの操作
(iv) 信任状の投棄
(v) 脆弱性の利用

最終フラッグを獲得するために攻撃を実行します。 最終フラッグ – 評価の開始前に事前に合意された目的です。
(i) ドメイン管理者のアクセス権限
(ii) あるシステムのローカル管理者アクセス権限
(iii) データ流出：組織の保護監視及び流出防止対策の堅牢性、及びブルーチームが異常な流出トラフィックをどれだけ迅速に特定できるかを調べることを目的とする。一般的な手法としては、以下のようなものがあります。

レッドチーム演習の結果は、当社の完全な報告書に詳細に記載されます。改善作業の推奨事項が、構造的かつ徹底的な方法で提案されます。ブルーチームにはテストの内容が通知され、場合によっては独自のブルーチームレポートを作成します。

これは、再テストや検証テストではありません。ワークショップモデルでの実施が一般的です。 目標：レッド/ブルーチームの経験について学ぶこと。