Detection lifecycle pattern 的責任是把偵測規則變成可維護資產。規則需要來源、邏輯、測試事件、誤報紀錄、owner 與退場條件,才能穩定支撐 incident triage。

支撐素材

素材可支撐論點
Sigma detection rule lifecycledetection rule 需要格式、測試與維護語言
SANS Detection Engineering Surveydetection engineering 需要流程、角色與品質治理
3CX supply chain caseartifact 與客戶端 IOC 需要偵測規則支撐

欄位

欄位責任
Source定義規則來源與威脅假設
Logic定義命中條件與資料來源
Test event提供可重播測試資料
False positive記錄誤報情境與調校依據
Retirement定義規則退場或替換條件

判讀訊號

訊號代表需求
規則命中後分析結論分散需要 test event 與 triage question
誤報調校只靠臨場經驗需要 false positive 紀錄
規則長期存在但沒有 owner需要 lifecycle owner 與 retirement

適用邊界

此模式適合 detection rule、IOC hunting、artifact integrity check 與 low-frequency exfiltration detection。一次性查詢可先用 hunt note,穩定後再轉為規則生命週期。

下一步路由