本篇的責任是建立 blue team scenario library。讀者讀完後,能把風險情境轉成可演練劇本與回寫欄位。

核心論點

Scenario library 的核心概念是把防守知識轉成可重播情境。可重播情境讓控制驗證從一次性討論變成可累積資產。

讀者入口

本篇適合銜接 7.B4 Tabletop 與 Game Day 設計7.BM3 藍隊推演情境素材7.B7 Threat-Informed Validation

情境卡模板

欄位責任產出
Trigger定義起始訊號scenario trigger
Hypothesis定義初始判讀與替代假設triage note
Control surface定義要驗證的控制面control checklist
Response route定義分級、接手與升級response path
Evidence target定義要保留的證據evidence list
Write-back target定義要回寫的位置update backlog

初始情境組合

初始情境組合的責任是聚焦高價值風險。可先固定四組:

  1. Identity Support Token Tabletop:支援流程、session token 與客戶通報。
  2. Edge Session Hijack Game Day:入口曝險、修補後 hunting 與 session invalidation
  3. Supply Chain Artifact Drill:artifact provenance、release freeze 與 rollback。
  4. Low-frequency Exfiltration Tabletop:資料範圍判讀、通報與證據保存。

Source-first 情境規則

情境庫的責任是把真實案例轉成可重播演練。每張情境卡都要能回查到 field case 或 professional source,並把事件細節轉譯成通用服務壓力。

Source-first 讓情境保留真實防守壓力,同時避免把單一公司事件寫成讀者必須照抄的流程。情境卡負責抽出 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。

演練節奏

演練節奏的責任是讓情境能持續更新。每輪演練後同步更新觸發條件、分級基準、證據欄位與 runbook,並記錄下一輪要驗證的假設。

指標設計

指標設計的責任是評估情境品質。建議追蹤命中率、triage 時間、升級一致性、證據完整度與回寫完成率。

判讀訊號與路由

判讀訊號代表需求下一步路由
演練腳本每次都重寫需要固定情境卡模板7.B9 → 7.BM3
演練命中訊號但處置不同步需要補 response route7.B9 → 7.B6
演練結束後無回寫任務需要補 write-back target7.B9 → 7.24
情境只覆蓋單一風險類型需要擴充 threat 組合7.B9 → 7.B7

必連章節

完稿判準

完稿時要讓讀者能把一個風險轉成可演練情境。輸出至少包含 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。