De nada jovem, se eu for encontrando mais links, irei incrementando o comentário acima.
Com relação ao que for mais fácil, dependendo da vulnerabilidade, é fácil de encontrar scripts prontos para testar as máquinas.
Um lugar que é bem legal de ver é :
Nesse site você encontra portas/protocolos que estão expostos para a internet.
Agora falando sobre a experiência de Blue Team, o mais desafiador de todo esse processo, por incrível que pareça são as pessoas. Tem certas horas que criam tantas barreiras, que só um incidente para ajudar a transpor essas dificuldades.
Agora com relação a parte técnica, dependendo, da trabalho mesmo. Uma que precisa testar razoalmente antes de replicar é hardening de política de Servidor e etc. Dependendo do você faz, pode parar um ambiente, parar alguma integração legada...
Monitoria de logs com SIEM você pode criar ações automatizadas (Playbooks), por ex: Você logou em uma região X e 5 minutos depois está em outro país.
Ação: Bloquear a Conta - Notificar Gerente.
Enfim, da para tirar umas "piras".
Vou deixar uma imagem de referência sobre os times.
