7.R11.P17 偵測訊號關聯斷點
7.R11.P17 偵測訊號關聯斷點
這個失效樣式的核心問題是高風險事件跨系統資料無法在同一時序關聯。當偵測訊號關聯斷點存在,處置團隊很難快速判斷 impact scope 與優先序。
常見形成條件
- 身分、入口與資料事件缺少共同 correlation id。
- 偵測規則過度依賴單一資料來源與 symptom-based alert。
- 事件資料保留時窗短於復盤與調查需求。
判讀訊號
- 高嚴重度事件需人工拼接多系統資料才能定位與判定 incident severity。
- 同類攻擊事件反覆發生但偵測策略未演進。
- 復盤時無法重建完整攻擊時序與責任鏈。
案例觸發參考
來源主題章節
下一步路由
本失效樣式對應的實作 chain:
控制面(mitigation 在這裡定義):
演練 / 控制落地(轉成欄位):