Evidence chain pattern 的責任是讓防守決策可回查。它把 signal、decision record、artifact、timeline 與 retention 串成同一條證據鏈,支撐 triage、通報、復盤與控制面回寫。

支撐素材

素材可支撐論點
MOVEit exfiltration casedata scope、customer mapping 與通報需要可回查資料
Citrix Bleed edge casepatch、session invalidation 與 downstream audit 需要共同保存
CISA GeoServer IR casecentralized logging 與 timeline 支撐事故調查

欄位

欄位責任
Signal記錄第一個可觀測觸發
Decision record記錄分級、接受風險與凍結決策
Artifact保存 build、log、file、IOC 或 forensic image
Timeline串接觸發、處置、通報與復原時間
Retention定義證據保存期限與查詢責任

判讀訊號

訊號代表需求
事故復盤只能重述事件,缺少證據連結需要 evidence chain
資料外送範圍判讀依賴人工回憶需要 data access 與 customer mapping 證據
release 或 patch 決策缺少紀錄需要 decision record 與 timeline

適用邊界

此模式適合有通報、法務、客戶影響或跨系統回查需求的事件。低風險操作可以只保留 signal 與 owner,但要保留升級條件。

下一步路由