本篇的責任是建立偵測規則生命週期。讀者讀完後,能把一條 detection rule 從來源定義、驗證、調校、上線、退場整理成可維護流程。

核心論點

Detection engineering lifecycle 的核心概念是把規則當資產管理。規則資產包含來源、邏輯、測試、誤報處理、owner、驗收門檻與退場條件。

讀者入口

本篇適合銜接 7.B2 從偵測到回應的路由7.13 偵測覆蓋率與訊號治理Sigma:偵測規則生命週期素材

生命周期欄位

欄位責任常見來源
Rule source描述規則來自哪個威脅假設與資料源Sigma、事件復盤、演練結果
Detection logic定義條件、例外、聚合方式rule repository、query package
Validation evidence證明規則可命中目標情境測試事件、回放資料、對照 log
Tuning decision收斂誤報與漏報triage 結果、分析註記、例外記錄
Release condition定義規則上線條件release gate、變更審查
Retirement condition定義規則退場條件覆蓋重疊、威脅變化、資料源變動

生命周期欄位的核心是讓規則維護可以追溯。每次規則更新都能回查它解哪個風險、用哪個證據驗證、為何做這次調整。

規則來源治理

規則來源治理的責任是讓規則與威脅假設對齊。來源可來自公開框架、事件教訓、演練情境與稽核要求,並需要在建立時寫清楚 threat hypothesis 與 data dependency。

驗證節奏

驗證節奏的責任是確保規則在上線前後都保持有效。建議至少建立三層驗證:

  1. 邏輯驗證:條件可讀、可測、可重現。
  2. 資料驗證:log schema 與欄位品質可支撐判讀。
  3. 情境驗證:在事件回放或 game day 中能命中目標行為。

調校策略

調校策略的責任是把 alert 噪音轉成可判讀訊號。調校時同步記錄 false positive 情境、排除條件、影響範圍與回退方式,並和 incident severity 對齊分級節奏。

上線與退場

上線與退場的責任是讓規則變更進入受控流程。上線前需確認 evidence、owner 與回退路徑;退場時要確認替代規則、覆蓋遷移與歷史證據保留。

與事故流程的交接

與事故流程交接的責任是把規則命中轉成回應路由。規則命中後應直接輸出 triage 問題、owner、升級條件與 runbook 路由,讓 08 模組可以快速接手。

判讀訊號與路由

判讀訊號代表需求下一步路由
規則持續觸發但分析結論分散需要調校紀錄與 triage 問題7.B5 → 7.B2
規則上線後缺少驗證證據需要補 validation evidence7.B5 → 7.B3
相同風險出現多條重複規則需要整理來源與退場條件7.B5 → 7.B1
規則變更未進入放行流程需要 release condition7.B5 → 05
事故後規則未更新需要 write-back 閉環7.B5 → 7.24

判讀表格的作用是把規則問題轉成維護任務。每一列都能直接對應到 owner 與下一步交接章節。

必連章節

完稿判準

完稿時要讓讀者能為一條偵測規則設計完整生命週期。輸出至少包含來源、邏輯、驗證證據、調校策略、上線條件、退場條件與回寫位置。