本章的責任是把偵測能力轉成可決策的訊號系統,讓告警不只存在,而且能支撐分級、收斂與復盤。

本章寫作邊界

本章聚焦偵測覆蓋率語意、訊號品質分級與告警成本,不討論 SIEM 或監控產品配置細節。

本章 threat scope

In-scope:覆蓋率描述空泛 / 訊號品質不穩定 / 漏報風險無回饋迴路 / 事件分級與訊號脫鉤。

Out-of-scope(路由到他章):

  • 各領域 specific threats → 7.2-7.12(各章領域)
  • 偵測平台 → 04-observability、實作交付 → 05 / 06 / 08

Reader 對 in-scope 列表的 specific threat 應該能反向 trace 到本章問題節點;out-of-scope 議題請直接跳到對應章節、不在本章 audit 範圍。

從本章到實作

本章是 routing layer,沿兩條 chain 進入 implementation:

  • Mechanism:問題節點表的 [alert] 等 control link 進 knowledge-card、看具體機制 / 邊界 / context-dependence。
  • Delivery:「交接路由」欄位指向 04-observability / 06-reliability / 08-incident-response、接配置 / 驗證 / 處置交付。

兩條 chain 完成判準與模組級 chain 規格見 從章節到實作的 chain

偵測治理模型

偵測治理的核心責任是定義「哪些風險一定要看見、看見後要如何行動」。

  1. 覆蓋率層:把攻擊面、關鍵流程與高風險資料路徑對應到偵測責任。
  2. 品質層:把訊號分成可行動、待驗證、背景參考三類,避免單一噪音主導判讀。
  3. 成本層:把誤報、漏報與疲勞成本納入日常治理,不只看告警數量。
  4. 分級層:把偵測訊號與 incident severity 綁定,確保高風險事件有高信號來源。
  5. 復盤層:把事件後缺口回寫到偵測策略,形成閉環改善節奏。

判讀流程

判讀流程的責任是把「觀測資料」轉成「處置動作」。

  1. 先確認偵測對象是否對齊高風險路徑。
  2. 再確認訊號能否支持分級與責任歸屬。
  3. 接著確認誤報與漏報成本是否可控。
  4. 最後把缺口交接到可靠性與 incident workflow。

問題節點(案例觸發式)

問題節點判讀訊號風險後果前置控制面
覆蓋率描述空泛只定義監控存在,未定義判讀用途事故期無法快速決策alert
訊號品質不穩定同類事件訊號噪音高、關聯性低告警疲勞與延遲處置symptom-based-alert
漏報風險無回饋迴路復盤未回寫偵測策略缺口長期存留post-incident-review
事件分級與訊號脫鉤高嚴重度事件缺少高信號來源分級品質下降incident-severity

常見風險邊界

風險邊界的責任是界定偵測能力何時已不足以支撐營運決策。

  • 高嚴重度事件需靠人工拼接多系統資料才能判讀時,代表訊號可用性不足。
  • 同類攻擊反覆發生但告警規則未演進時,代表復盤回寫機制失效。
  • 告警噪音長期高於值班承載能力時,代表偵測成本正在侵蝕處置品質。
  • 關鍵資料外送行為缺少即時訊號時,代表覆蓋率與風險路徑脫鉤。

案例觸發參考

案例觸發的責任是驗證偵測策略是否足以應對現實攻擊節奏。

引用標準

偵測領域標準演化快、本章參考下列外部標準作為 mechanism 層 anchor。Reader 套用前 verify 版本仍是 current best practice:

標準版本 / 年份適用場景
NIST SP 800-61 Computer Security Incident Handling GuideRev. 2 (2012),Rev. 3 draft (2024)偵測與事件處理流程 reference
MITRE ATT&CKcontinuous攻擊技術 taxonomy / detection coverage 對照
OWASP Logging Cheat Sheetcontinuouslog / alert / detection 設計 reference
Sigma Rulescontinuous跨 SIEM 偵測規則 portable 格式
ENISA Detection Engineering Guide2023detection 成熟度與訊號品質 reference(歐盟脈絡)

引用版本與 cadence 規則見 security-citation-currency-and-precision(每 12-24 月 re-check)。Last reviewed: 2026-05-01。

下一步路由

  • 觀測資料與平台能力:04-observability
  • 驗證與演練節奏:06-reliability
  • 分級與事件收斂:08-incident-response