يجب على الفريق الأخضر والأبيض في بداية هذه المرحلة تقديم استخبارات التهديدات المتاحة بشكل مستقل إلى الفريق الأحمر. ويقوم مزود أعمال محاكاة الهجمات السيبرانية بدمج استخبارات التهديدات المستلمة مع استخبارات التهديدات الخاصة به (والتي يجب أن تستند إلى مصادره الخاصة وخبراته السابقة والاختبارات التي تم تنفيذها قبل ذلك). وبناء على استخبارات التهديدات المجمعة، يحدد الفريق الأحمر سيناريوهات واستراتيجيات الهجوم. وتتم مناقشة سيناريوهات واستراتيجيات الهجوم مع الفريق الأخضر قبل تحديد تكتيكات وأساليب وإجراءات الهجوم التفصيلية. وإذا لزم الأمر، يجب على الفريق الأبيض بدء مناقشات مع كل من الفريقين الأحمر والأخضر لمواصلة المناقشة والاتفاق بشأن سيناريوهات الهجوم النهائية، في ضوء الملاحظات الواردة من الفريق الأخضر.

وتستغرق مرحلة السيناريو عادة عدة أسابيع (بحد أقصى خمسة (5) أسابيع). وفيما يلي لمحة عامة عن العملية: 
 

 
 

يقدم كل فريق استخبارات التهديدات المجمعة بشكل مستقل. ويقدم الفريق الأخضر (عند توفره) ما لديه من استخبارات التهديدات على مستوى القطاع والتي تكون معروفة ومتاحة من خلال المؤسسات المالية أو الحوادث الأخرى. وقد يشمل ذلك استخبارات التهديدات الواردة من الجهات الحكومية، والتي قد تكون ذات صلة بالمؤسسة المالية. ويجب على الفريق الأبيض تقديم رؤية المؤسسة المالية، بما في ذلك استخبارات التهديدات الدقيقة المتعلقة بعملها ومرتبطة بالاتجاهات أو الحوادث السابقة، سواء كانت داخلية أو خارجية، وفقاً لما تحدده المؤسسة.

ويقوم مزود أعمال محاكاة الهجمات السيبرانية بدمج معلومات التهديد المستلمة مع معلومات التهديدات الخارجية الخاصة به (بما في ذلك استخدام مصادره 'المفتوحة')، علاوة على المعلومات الاستخباراتية التي تم جمعها خلال مختلف أعمال الفريق الأحمر.

وفقاً لجميع استخبارات التهديدات التي تم جمعها، يجب على الفريق الأحمر تحليل سيناريوهات الهجوم الواقعية وتحديدها وصياغتها، ومن ثم القيام بإعداد وثيقة استراتيجية شاملة للاختبار. وبمجرد تحديد السيناريوهات، يجب الاتفاق على سيناريوهات الهجوم واستراتيجية الاختبار قبل بدء مزود أعمال محاكاة الهجمات السيبرانية بإنشاء سيناريوهات هجوم محددة.

تحدد سيناريوهات الهجوم التفصيلية واحداً أو أكثر من الأصول المعلوماتية الحيوية التي تجمع بين المعلومات الخارجية والداخلية (أي الخاصة بالمؤسسة المالية) واستخبارات التهديدات على مستوى القطاع. ويجب أن يتضمن كل سيناريو للهجوم وصفاً كتابياً لتسلسل الهجوم من وجهة نظر المهاجم. ويتعين على مزود أعمال محاكاة الهجمات السيبرانية استعراض خيارات الهجوم المختلفة، بناءً على التكتيكات والأساليب والإجراءات المختلفة التي يستخدمها مسؤولو الاختبار والمهاجمون ذوو الخبرة. وكما هو الحال في سيناريوهات الهجوم عالي المستوى واستراتيجية الاختبار، يجب الاتفاق على السيناريوهات التفصيلية مع الفريق الأخضر.

يجب ألا تتكون خطة الهجمات السيبرانية النهائية من سيناريوهات الهجوم المختلفة التي سيؤديها مزود أعمال محاكاة الهجمات السيبرانية فحسب، بل يجب أن تحدد أيضا إجراءات التصعيد وبروتوكولات الاتصال المتفق عليها. ونظراً لوجود أنظمة الإنتاج الحرجة ضمن نطاق اختبار الهجمات السيبرانية، فمن الضروري أن يكون مزود أعمال محاكاة الهجمات السيبرانية على دراية بهذا الأمر وأن يفكر في كيفية الاستجابة في حالة حدوث أي مشكلات أو تعطل غير متوقع. وعقب الانتهاء من خطة محاكاة الهجمات السيبرانية، يلزم الحصول على الموافقة النهائية من قبل الفريق الأبيض والأخضر قبل أن يتمكن مزود أعمال محاكاة الهجمات السيبرانية من المضي قدما في تنفيذ سيناريوهات الهجوم.