<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>7.BM1 藍隊專業來源卡 on Tarragon</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/</link><description>Recent content in 7.BM1 藍隊專業來源卡 on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 30 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/index.xml" rel="self" type="application/rss+xml"/><item><title>NIST SP 800-61r3：事故回應作為風險管理能力</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/nist-sp-800-61r3-incident-response/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/nist-sp-800-61r3-incident-response/</guid><description>&lt;p>NIST SP 800-61r3 的素材責任是把事故回應放進整體資安風險管理。NIST 在 2025 年 4 月發布 Rev. 3，並說明它取代 2012 年的 Rev. 2，定位為 CSF 2.0 community profile。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://csrc.nist.gov/pubs/sp/800/61/r3/final">NIST SP 800-61 Rev. 3&lt;/a> 適合支撐「事故回應需要跨 Identify、Protect、Detect、Respond、Recover、Govern」的論點。它把 incident response 從單一救火流程，轉成涵蓋治理、偵測、回應與復原的風險管理能力。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>事故回應屬於風險管理&lt;/td>
 &lt;td>7.B 可把 incident routing 接到治理例外與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/tripwire/" data-link-title="Tripwire" data-link-desc="說明風險決策在條件變化時如何自動回到評估流程">tripwire&lt;/a>&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>CSF 2.0 六大功能都參與&lt;/td>
 &lt;td>控制面地圖需要同時包含偵測、回應、復原與治理&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>回應效率需要前置準備&lt;/td>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook&lt;/a>、owner、evidence chain 要在事故前建立&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把事故回應拆成工程欄位。常見欄位包含 signal、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity&lt;/a>、owner、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/containment/" data-link-title="Containment" data-link-desc="說明事故處理中如何限制擴散面，為回復與驗證爭取時間">containment&lt;/a> action、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/rollback-strategy/" data-link-title="Rollback Strategy" data-link-desc="說明事故期間如何判斷回滾、回切與暫停變更">rollback&lt;/a> route、evidence target 與 post-incident write-back。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>NIST 適合提供流程與治理基準，具體控制項仍要回到服務架構轉譯。若文章要討論 API gateway、queue、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact&lt;/a> registry 或 database 的細節，需搭配 05/06/08 實作章節補足。&lt;/p></description><content:encoded><![CDATA[<p>NIST SP 800-61r3 的素材責任是把事故回應放進整體資安風險管理。NIST 在 2025 年 4 月發布 Rev. 3，並說明它取代 2012 年的 Rev. 2，定位為 CSF 2.0 community profile。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://csrc.nist.gov/pubs/sp/800/61/r3/final">NIST SP 800-61 Rev. 3</a> 適合支撐「事故回應需要跨 Identify、Protect、Detect、Respond、Recover、Govern」的論點。它把 incident response 從單一救火流程，轉成涵蓋治理、偵測、回應與復原的風險管理能力。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>事故回應屬於風險管理</td>
          <td>7.B 可把 incident routing 接到治理例外與 <a href="/blog/backend/knowledge-cards/tripwire/" data-link-title="Tripwire" data-link-desc="說明風險決策在條件變化時如何自動回到評估流程">tripwire</a></td>
      </tr>
      <tr>
          <td>CSF 2.0 六大功能都參與</td>
          <td>控制面地圖需要同時包含偵測、回應、復原與治理</td>
      </tr>
      <tr>
          <td>回應效率需要前置準備</td>
          <td><a href="/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook</a>、owner、evidence chain 要在事故前建立</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把事故回應拆成工程欄位。常見欄位包含 signal、<a href="/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity</a>、owner、<a href="/blog/backend/knowledge-cards/containment/" data-link-title="Containment" data-link-desc="說明事故處理中如何限制擴散面，為回復與驗證爭取時間">containment</a> action、<a href="/blog/backend/knowledge-cards/rollback-strategy/" data-link-title="Rollback Strategy" data-link-desc="說明事故期間如何判斷回滾、回切與暫停變更">rollback</a> route、evidence target 與 post-incident write-back。</p>
<h2 id="引用限制">引用限制</h2>
<p>NIST 適合提供流程與治理基準，具體控制項仍要回到服務架構轉譯。若文章要討論 API gateway、queue、<a href="/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact</a> registry 或 database 的細節，需搭配 05/06/08 實作章節補足。</p>
]]></content:encoded></item><item><title>CISA Playbooks：事故與漏洞回應程序</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/cisa-incident-vulnerability-response-playbooks/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/cisa-incident-vulnerability-response-playbooks/</guid><description>&lt;p>CISA Playbooks 的素材責任是提供事故與漏洞回應的操作程序。CISA 將 playbooks 定位為規劃與執行 incident response、vulnerability response 的標準程序，並提供識別、協調、修復、復原與追蹤緩解狀態的流程。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://www.cisa.gov/resources-tools/resources/federal-government-cybersecurity-incident-and-vulnerability-response-playbooks">CISA Federal Government Cybersecurity Incident and Vulnerability Response Playbooks&lt;/a> 適合支撐「藍隊流程需要 checklist、狀態追蹤與協調節點」的論點。它對後端章節特別有用，因為漏洞回應常需要在 patch、隔離、限縮存取、提升監控與回復節奏之間做取捨。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Incident 與 vulnerability 分流&lt;/td>
 &lt;td>7.B2 可區分惡意活動處置與漏洞曝險處置&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>回應流程需要協調與追蹤&lt;/td>
 &lt;td>08 章可承接 owner、狀態、證據與通報&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>緩解可以先於完整修補&lt;/td>
 &lt;td>05/06 章可承接隔離、限縮與監控提升&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把漏洞回應轉成可交接的狀態機。狀態可包含 observed、triaged、mitigated、patched、validated、reported 與 closed。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>CISA Playbooks 適合支撐程序與協作，技術細節需要依服務邊界重寫。API 服務、資料庫、CI/CD 與雲端控制面的緩解做法各有 owner 與驗證方式。&lt;/p></description><content:encoded><![CDATA[<p>CISA Playbooks 的素材責任是提供事故與漏洞回應的操作程序。CISA 將 playbooks 定位為規劃與執行 incident response、vulnerability response 的標準程序，並提供識別、協調、修復、復原與追蹤緩解狀態的流程。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://www.cisa.gov/resources-tools/resources/federal-government-cybersecurity-incident-and-vulnerability-response-playbooks">CISA Federal Government Cybersecurity Incident and Vulnerability Response Playbooks</a> 適合支撐「藍隊流程需要 checklist、狀態追蹤與協調節點」的論點。它對後端章節特別有用，因為漏洞回應常需要在 patch、隔離、限縮存取、提升監控與回復節奏之間做取捨。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Incident 與 vulnerability 分流</td>
          <td>7.B2 可區分惡意活動處置與漏洞曝險處置</td>
      </tr>
      <tr>
          <td>回應流程需要協調與追蹤</td>
          <td>08 章可承接 owner、狀態、證據與通報</td>
      </tr>
      <tr>
          <td>緩解可以先於完整修補</td>
          <td>05/06 章可承接隔離、限縮與監控提升</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把漏洞回應轉成可交接的狀態機。狀態可包含 observed、triaged、mitigated、patched、validated、reported 與 closed。</p>
<h2 id="引用限制">引用限制</h2>
<p>CISA Playbooks 適合支撐程序與協作，技術細節需要依服務邊界重寫。API 服務、資料庫、CI/CD 與雲端控制面的緩解做法各有 owner 與驗證方式。</p>
]]></content:encoded></item><item><title>MITRE D3FEND：防守技術詞彙地圖</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/mitre-d3fend-defense-vocabulary/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/mitre-d3fend-defense-vocabulary/</guid><description>&lt;p>MITRE D3FEND 的素材責任是提供防守技術的共用詞彙。D3FEND 把 countermeasure techniques 與 adversary techniques 建成知識圖譜，適合用來統一控制面、偵測能力與防守設計語言。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://d3fend.mitre.org/">MITRE D3FEND&lt;/a> 與 &lt;a href="https://d3fend.mitre.org/faq/">D3FEND FAQ&lt;/a> 適合支撐「防守控制面需要標準詞彙」的論點。FAQ 明確說明 D3FEND 是 defensive cybersecurity techniques 的 knowledge graph，並說明它的主要目標是標準化描述防守技術功能的 vocabulary。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>防守技術需要標準詞彙&lt;/td>
 &lt;td>7.B1 控制面地圖可用 D3FEND 統一命名&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>防守技術可對應攻擊技術&lt;/td>
 &lt;td>7.B 可把 red-team problem card 轉成防守控制面&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>技術詞彙服務架構決策&lt;/td>
 &lt;td>05/06/08 可用同一語言交接控制能力&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把「防守技術名稱」轉成「服務控制面欄位」。例如 access control、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/credential/" data-link-title="Credential" data-link-desc="整理身分驗證與系統存取用秘密資料">credential&lt;/a> protection、message validation、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact&lt;/a> verification 與 monitoring 都需要 owner、訊號與驗證證據。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>D3FEND 適合作為詞彙與關係地圖，優先序、投資順序與效果驗證仍要回到服務風險、事件資料與控制測試。&lt;/p></description><content:encoded><![CDATA[<p>MITRE D3FEND 的素材責任是提供防守技術的共用詞彙。D3FEND 把 countermeasure techniques 與 adversary techniques 建成知識圖譜，適合用來統一控制面、偵測能力與防守設計語言。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://d3fend.mitre.org/">MITRE D3FEND</a> 與 <a href="https://d3fend.mitre.org/faq/">D3FEND FAQ</a> 適合支撐「防守控制面需要標準詞彙」的論點。FAQ 明確說明 D3FEND 是 defensive cybersecurity techniques 的 knowledge graph，並說明它的主要目標是標準化描述防守技術功能的 vocabulary。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>防守技術需要標準詞彙</td>
          <td>7.B1 控制面地圖可用 D3FEND 統一命名</td>
      </tr>
      <tr>
          <td>防守技術可對應攻擊技術</td>
          <td>7.B 可把 red-team problem card 轉成防守控制面</td>
      </tr>
      <tr>
          <td>技術詞彙服務架構決策</td>
          <td>05/06/08 可用同一語言交接控制能力</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把「防守技術名稱」轉成「服務控制面欄位」。例如 access control、<a href="/blog/backend/knowledge-cards/credential/" data-link-title="Credential" data-link-desc="整理身分驗證與系統存取用秘密資料">credential</a> protection、message validation、<a href="/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact</a> verification 與 monitoring 都需要 owner、訊號與驗證證據。</p>
<h2 id="引用限制">引用限制</h2>
<p>D3FEND 適合作為詞彙與關係地圖，優先序、投資順序與效果驗證仍要回到服務風險、事件資料與控制測試。</p>
]]></content:encoded></item><item><title>MITRE ATT&amp;CK Evaluations：威脅導向驗證素材</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/mitre-attack-evaluations-threat-informed-validation/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/mitre-attack-evaluations-threat-informed-validation/</guid><description>&lt;p>MITRE ATT&amp;amp;CK Evaluations 的素材責任是示範防守能力如何用 adversary emulation 驗證。它以 ATT&amp;amp;CK knowledge base 為基礎，用公開威脅情報與透明方法評估安全產品如何偵測、回應與呈現攻擊行為。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://www.mitre.org/news-insights/impact-story/mitre-attck-evaluations-indispensable-resource-global-cyber-defenders">MITRE ATT&amp;amp;CK Evaluations impact story&lt;/a> 適合支撐「藍隊驗證需要 threat-informed、evidence-based、transparent methodology」的論點。&lt;a href="https://www.mitre.org/news-insights/news-release/mitre-attck-evaluations-advance-cloud-security-and-counter-espionage">2025 enterprise evaluation news&lt;/a> 也顯示評估正在涵蓋 cloud、identity 與 multi-platform 威脅。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>驗證需要 adversary behavior&lt;/td>
 &lt;td>7.B3 可用攻擊路徑設計控制測試&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>評估結果需要 evidence-based&lt;/td>
 &lt;td>偵測規則要保留測試資料、觸發證據與分析結論&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>雲端與身份威脅需要納入&lt;/td>
 &lt;td>7.10 與 7.B 可連接 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/workload-identity/" data-link-title="Workload Identity" data-link-desc="用於機器工作負載的身份語意與授權邊界">workload identity&lt;/a> 與 cloud control&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把 adversary emulation 翻成可演練的服務場景。場景可以從 identity abuse、edge exploitation、supply chain tampering 或 data exfiltration 開始，再檢查 detection、triage、containment 與 evidence。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>ATT&amp;amp;CK Evaluations 適合支撐驗證方法與透明度要求，特定廠商結果需要依自身環境、資料源、部署方式與操作流程解讀。&lt;/p></description><content:encoded><![CDATA[<p>MITRE ATT&amp;CK Evaluations 的素材責任是示範防守能力如何用 adversary emulation 驗證。它以 ATT&amp;CK knowledge base 為基礎，用公開威脅情報與透明方法評估安全產品如何偵測、回應與呈現攻擊行為。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://www.mitre.org/news-insights/impact-story/mitre-attck-evaluations-indispensable-resource-global-cyber-defenders">MITRE ATT&amp;CK Evaluations impact story</a> 適合支撐「藍隊驗證需要 threat-informed、evidence-based、transparent methodology」的論點。<a href="https://www.mitre.org/news-insights/news-release/mitre-attck-evaluations-advance-cloud-security-and-counter-espionage">2025 enterprise evaluation news</a> 也顯示評估正在涵蓋 cloud、identity 與 multi-platform 威脅。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>驗證需要 adversary behavior</td>
          <td>7.B3 可用攻擊路徑設計控制測試</td>
      </tr>
      <tr>
          <td>評估結果需要 evidence-based</td>
          <td>偵測規則要保留測試資料、觸發證據與分析結論</td>
      </tr>
      <tr>
          <td>雲端與身份威脅需要納入</td>
          <td>7.10 與 7.B 可連接 <a href="/blog/backend/knowledge-cards/workload-identity/" data-link-title="Workload Identity" data-link-desc="用於機器工作負載的身份語意與授權邊界">workload identity</a> 與 cloud control</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把 adversary emulation 翻成可演練的服務場景。場景可以從 identity abuse、edge exploitation、supply chain tampering 或 data exfiltration 開始，再檢查 detection、triage、containment 與 evidence。</p>
<h2 id="引用限制">引用限制</h2>
<p>ATT&amp;CK Evaluations 適合支撐驗證方法與透明度要求，特定廠商結果需要依自身環境、資料源、部署方式與操作流程解讀。</p>
]]></content:encoded></item><item><title>Sigma：偵測規則生命週期素材</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/</guid><description>&lt;p>Sigma 的素材責任是提供跨 SIEM 的偵測規則描述語言。Sigma rules 使用 YAML 描述 logsource、detection、condition、falsepositives 與 level，適合支撐 detection-as-code 與規則維護流程。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://sigmahq.io/docs/basics/rules.html">Sigma Rules documentation&lt;/a> 適合支撐「偵測規則需要明確資料源、條件、誤報說明與等級」的論點。&lt;a href="https://sigmahq.io/docs/basics/conditions.html">Sigma Conditions documentation&lt;/a> 則適合支撐「偵測邏輯需要可讀的 AND/OR/NOT 與 filter 表達」。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>規則需要 logsource&lt;/td>
 &lt;td>7.B2 的 signal 要標明來源系統&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則需要 condition&lt;/td>
 &lt;td>偵測邏輯要可 review、可測試&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則需要 falsepositives&lt;/td>
 &lt;td>誤報情境要進 triage 與調校流程&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則需要 level&lt;/td>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity&lt;/a> 與 escalation 可接到 08&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把 detection rule 當成生命週期資產。每條規則都需要來源、觸發條件、測試事件、誤報說明、調校紀錄、owner 與退場條件。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>Sigma 適合支撐規則格式與維護欄位，實際查詢語法、資料品質與 alert 噪音要依 SIEM、log schema 與服務流量特性調校。&lt;/p></description><content:encoded><![CDATA[<p>Sigma 的素材責任是提供跨 SIEM 的偵測規則描述語言。Sigma rules 使用 YAML 描述 logsource、detection、condition、falsepositives 與 level，適合支撐 detection-as-code 與規則維護流程。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://sigmahq.io/docs/basics/rules.html">Sigma Rules documentation</a> 適合支撐「偵測規則需要明確資料源、條件、誤報說明與等級」的論點。<a href="https://sigmahq.io/docs/basics/conditions.html">Sigma Conditions documentation</a> 則適合支撐「偵測邏輯需要可讀的 AND/OR/NOT 與 filter 表達」。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>規則需要 logsource</td>
          <td>7.B2 的 signal 要標明來源系統</td>
      </tr>
      <tr>
          <td>規則需要 condition</td>
          <td>偵測邏輯要可 review、可測試</td>
      </tr>
      <tr>
          <td>規則需要 falsepositives</td>
          <td>誤報情境要進 triage 與調校流程</td>
      </tr>
      <tr>
          <td>規則需要 level</td>
          <td><a href="/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity</a> 與 escalation 可接到 08</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把 detection rule 當成生命週期資產。每條規則都需要來源、觸發條件、測試事件、誤報說明、調校紀錄、owner 與退場條件。</p>
<h2 id="引用限制">引用限制</h2>
<p>Sigma 適合支撐規則格式與維護欄位，實際查詢語法、資料品質與 alert 噪音要依 SIEM、log schema 與服務流量特性調校。</p>
]]></content:encoded></item><item><title>Mandiant M-Trends 2025：防守現場壓力素材</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/mandiant-m-trends-defender-pressure/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/mandiant-m-trends-defender-pressure/</guid><description>&lt;p>Mandiant M-Trends 2025 的素材責任是提供防守現場壓力。Mandiant 以第一線調查經驗整理攻擊者如何提升複雜度、繞過偵測、利用 edge device 與延長停留時間。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025">M-Trends 2025&lt;/a> 適合支撐「防守設計需要面對攻擊者繞過與低可見度資產」的論點。文章提到攻擊者會使用 zero-day、edge devices、proxy networks、custom malware ecosystems 與 obfuscation 來延長存活時間。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Edge device 可見度壓力&lt;/td>
 &lt;td>7.3 與 7.B2 需要補入口與管理面訊號&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>客製化 malware 壓力&lt;/td>
 &lt;td>7.B3 需要用行為與證據鏈驗證控制面&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Proxy 與 obfuscation 壓力&lt;/td>
 &lt;td>7.B4 演練要包含低信心訊號與關聯分析&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把高階威脅趨勢轉成可演練情境。典型情境包含管理入口異常、身份來源異常、低頻資料外送、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact&lt;/a> 來源偏移與偵測訊號延遲。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>Mandiant 適合支撐現場壓力與威脅趨勢，控制面設計仍要結合自身服務資料源、攻擊面、部署拓撲與事故承接能力。&lt;/p></description><content:encoded><![CDATA[<p>Mandiant M-Trends 2025 的素材責任是提供防守現場壓力。Mandiant 以第一線調查經驗整理攻擊者如何提升複雜度、繞過偵測、利用 edge device 與延長停留時間。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2025">M-Trends 2025</a> 適合支撐「防守設計需要面對攻擊者繞過與低可見度資產」的論點。文章提到攻擊者會使用 zero-day、edge devices、proxy networks、custom malware ecosystems 與 obfuscation 來延長存活時間。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Edge device 可見度壓力</td>
          <td>7.3 與 7.B2 需要補入口與管理面訊號</td>
      </tr>
      <tr>
          <td>客製化 malware 壓力</td>
          <td>7.B3 需要用行為與證據鏈驗證控制面</td>
      </tr>
      <tr>
          <td>Proxy 與 obfuscation 壓力</td>
          <td>7.B4 演練要包含低信心訊號與關聯分析</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把高階威脅趨勢轉成可演練情境。典型情境包含管理入口異常、身份來源異常、低頻資料外送、<a href="/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact</a> 來源偏移與偵測訊號延遲。</p>
<h2 id="引用限制">引用限制</h2>
<p>Mandiant 適合支撐現場壓力與威脅趨勢，控制面設計仍要結合自身服務資料源、攻擊面、部署拓撲與事故承接能力。</p>
]]></content:encoded></item><item><title>SANS Detection Engineering Survey：偵測工程職能素材</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sans-detection-engineering-survey/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sans-detection-engineering-survey/</guid><description>&lt;p>SANS Detection Engineering Survey 的素材責任是提供偵測工程職能與流程成熟度觀察。它適合支撐「藍隊需要把偵測規則當成可維護工程資產」的論點。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://www.sans.org/white-papers/2025-sans-detection-engineering-survey-evolving-practices-modern-security-operations">2025 SANS Detection Engineering Survey&lt;/a> 適合支撐 detection engineering 在現代 security operations 中持續演進的論點。&lt;a href="https://www.sans.org/webcasts/state-detection-engineering-2026-what-data-reveals-accuracy-automation-ai-adoption">2026 SANS detection engineering webcast&lt;/a> 則顯示 accuracy、automation 與 AI adoption 已經成為偵測工程討論重點。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Detection engineering 是持續職能&lt;/td>
 &lt;td>7.B2 規則維護需要 owner、review cadence 與測試&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Accuracy 與 automation 是重點&lt;/td>
 &lt;td>7.B3 驗證要包含誤報、漏報與自動化邊界&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>協作流程影響偵測品質&lt;/td>
 &lt;td>7.B4 演練要納入 analyst、engineer 與 service owner&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把偵測工程放進服務交付流程。每個高風險服務變更都可以同步檢查 log schema、rule coverage、alert routing、owner 與回寫節奏。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>SANS 適合支撐職能趨勢與流程討論，具體偵測策略仍要回到服務事件資料、攻擊面與既有工具能力。&lt;/p></description><content:encoded><![CDATA[<p>SANS Detection Engineering Survey 的素材責任是提供偵測工程職能與流程成熟度觀察。它適合支撐「藍隊需要把偵測規則當成可維護工程資產」的論點。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://www.sans.org/white-papers/2025-sans-detection-engineering-survey-evolving-practices-modern-security-operations">2025 SANS Detection Engineering Survey</a> 適合支撐 detection engineering 在現代 security operations 中持續演進的論點。<a href="https://www.sans.org/webcasts/state-detection-engineering-2026-what-data-reveals-accuracy-automation-ai-adoption">2026 SANS detection engineering webcast</a> 則顯示 accuracy、automation 與 AI adoption 已經成為偵測工程討論重點。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Detection engineering 是持續職能</td>
          <td>7.B2 規則維護需要 owner、review cadence 與測試</td>
      </tr>
      <tr>
          <td>Accuracy 與 automation 是重點</td>
          <td>7.B3 驗證要包含誤報、漏報與自動化邊界</td>
      </tr>
      <tr>
          <td>協作流程影響偵測品質</td>
          <td>7.B4 演練要納入 analyst、engineer 與 service owner</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把偵測工程放進服務交付流程。每個高風險服務變更都可以同步檢查 log schema、rule coverage、alert routing、owner 與回寫節奏。</p>
<h2 id="引用限制">引用限制</h2>
<p>SANS 適合支撐職能趨勢與流程討論，具體偵測策略仍要回到服務事件資料、攻擊面與既有工具能力。</p>
]]></content:encoded></item></channel></rss>