本篇的責任是建立 defensive vocabulary map。讀者讀完後,能用一致詞彙描述控制面能力、偵測責任與交接欄位。

核心論點

Defensive vocabulary map 的核心概念是用共用詞彙降低跨團隊摩擦。詞彙一旦一致,規則設計、事件交接與演練回寫都能更快收斂。

讀者入口

本篇適合銜接 7.B1 防守控制面地圖MITRE D3FENDtrust boundary

詞彙地圖欄位

欄位責任產出
Term定義防守技術名稱vocabulary entry
Scope說明技術作用範圍boundary note
Signal對應可觀測訊號signal mapping
Owner對應主責角色owner mapping
Evidence對應驗證證據evidence mapping
Handoff對應交接章節routing link

詞彙分層

詞彙分層的責任是避免同詞多義。建議至少分三層:

  1. Control term:描述防守能力。
  2. Detection term:描述訊號與規則。
  3. Response term:描述分級、處置與回寫。

邊界對齊

邊界對齊的責任是讓詞彙對上服務邊界。每個詞彙都要能回答它作用在哪個 trust boundary、影響哪種資產、由哪個 owner 維護。

與規則生命周期整合

與規則生命周期整合的責任是把詞彙直接接到規則資產。詞彙卡可對應到 rule source、triage question、severity 與 evidence,形成可追溯的維護鏈。

判讀訊號與路由

判讀訊號代表需求下一步路由
同一事件在不同團隊有不同命名需要統一詞彙地圖7.B8 → 7.B1
規則描述與控制描述尚未對齊需要補 term-to-rule 映射7.B8 → 7.B5
交接文件使用抽象詞彙需要補邊界與證據欄位7.B8 → 7.B6
演練回寫尚未回到章節需要補 handoff 欄位7.B8 → 7.B9

必連章節

完稿判準

完稿時要讓讀者能把防守詞彙寫成可交接地圖。輸出至少包含 term、scope、signal、owner、evidence 與 handoff。