<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Control Mapping on Tarragon</title><link>https://tarrragon.github.io/blog/tags/control-mapping/</link><description>Recent content in Control Mapping on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 30 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/control-mapping/index.xml" rel="self" type="application/rss+xml"/><item><title>7.B8 Defensive Vocabulary Map</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/defensive-vocabulary-map/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/defensive-vocabulary-map/</guid><description>&lt;p>本篇的責任是建立 defensive vocabulary map。讀者讀完後，能用一致詞彙描述控制面能力、偵測責任與交接欄位。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>Defensive vocabulary map 的核心概念是用共用詞彙降低跨團隊摩擦。詞彙一旦一致，規則設計、事件交接與演練回寫都能更快收斂。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/defense-control-map/" data-link-title="7.B1 防守控制面地圖" data-link-desc="建立防守控制面如何對應身份、入口、資料、供應鏈、偵測與治理問題的大綱">7.B1 防守控制面地圖&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/mitre-d3fend-defense-vocabulary/" data-link-title="MITRE D3FEND：防守技術詞彙地圖" data-link-desc="把 MITRE D3FEND 轉成藍隊控制面與防守技術詞彙素材">MITRE D3FEND&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/trust-boundary/" data-link-title="Trust Boundary" data-link-desc="說明系統哪些位置開始不能沿用原本的信任假設">trust boundary&lt;/a>。&lt;/p>
&lt;h2 id="詞彙地圖欄位">詞彙地圖欄位&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>產出&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Term&lt;/td>
 &lt;td>定義防守技術名稱&lt;/td>
 &lt;td>vocabulary entry&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Scope&lt;/td>
 &lt;td>說明技術作用範圍&lt;/td>
 &lt;td>boundary note&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Signal&lt;/td>
 &lt;td>對應可觀測訊號&lt;/td>
 &lt;td>signal mapping&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Owner&lt;/td>
 &lt;td>對應主責角色&lt;/td>
 &lt;td>owner mapping&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Evidence&lt;/td>
 &lt;td>對應驗證證據&lt;/td>
 &lt;td>evidence mapping&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Handoff&lt;/td>
 &lt;td>對應交接章節&lt;/td>
 &lt;td>routing link&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="詞彙分層">詞彙分層&lt;/h2>
&lt;p>詞彙分層的責任是避免同詞多義。建議至少分三層：&lt;/p>
&lt;ol>
&lt;li>Control term：描述防守能力。&lt;/li>
&lt;li>Detection term：描述訊號與規則。&lt;/li>
&lt;li>Response term：描述分級、處置與回寫。&lt;/li>
&lt;/ol>
&lt;h2 id="邊界對齊">邊界對齊&lt;/h2>
&lt;p>邊界對齊的責任是讓詞彙對上服務邊界。每個詞彙都要能回答它作用在哪個 trust boundary、影響哪種資產、由哪個 owner 維護。&lt;/p>
&lt;h2 id="與規則生命周期整合">與規則生命周期整合&lt;/h2>
&lt;p>與規則生命周期整合的責任是把詞彙直接接到規則資產。詞彙卡可對應到 rule source、triage question、severity 與 evidence，形成可追溯的維護鏈。&lt;/p>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>同一事件在不同團隊有不同命名&lt;/td>
 &lt;td>需要統一詞彙地圖&lt;/td>
 &lt;td>7.B8 → 7.B1&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則描述與控制描述尚未對齊&lt;/td>
 &lt;td>需要補 term-to-rule 映射&lt;/td>
 &lt;td>7.B8 → 7.B5&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>交接文件使用抽象詞彙&lt;/td>
 &lt;td>需要補邊界與證據欄位&lt;/td>
 &lt;td>7.B8 → 7.B6&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>演練回寫尚未回到章節&lt;/td>
 &lt;td>需要補 handoff 欄位&lt;/td>
 &lt;td>7.B8 → 7.B9&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/defense-control-map/" data-link-title="7.B1 防守控制面地圖" data-link-desc="建立防守控制面如何對應身份、入口、資料、供應鏈、偵測與治理問題的大綱">7.B1 防守控制面地圖&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5 Detection Engineering Lifecycle&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6 Incident Triage Loop&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/" data-link-title="7.BM1 藍隊專業來源卡" data-link-desc="整理藍隊可引用的專業來源，明確標示可支撐論點與引用限制">7.BM1 藍隊專業來源卡&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能把防守詞彙寫成可交接地圖。輸出至少包含 term、scope、signal、owner、evidence 與 handoff。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是建立 defensive vocabulary map。讀者讀完後，能用一致詞彙描述控制面能力、偵測責任與交接欄位。</p>
<h2 id="核心論點">核心論點</h2>
<p>Defensive vocabulary map 的核心概念是用共用詞彙降低跨團隊摩擦。詞彙一旦一致，規則設計、事件交接與演練回寫都能更快收斂。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/blue-team/defense-control-map/" data-link-title="7.B1 防守控制面地圖" data-link-desc="建立防守控制面如何對應身份、入口、資料、供應鏈、偵測與治理問題的大綱">7.B1 防守控制面地圖</a>、<a href="/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/mitre-d3fend-defense-vocabulary/" data-link-title="MITRE D3FEND：防守技術詞彙地圖" data-link-desc="把 MITRE D3FEND 轉成藍隊控制面與防守技術詞彙素材">MITRE D3FEND</a> 與 <a href="/blog/backend/knowledge-cards/trust-boundary/" data-link-title="Trust Boundary" data-link-desc="說明系統哪些位置開始不能沿用原本的信任假設">trust boundary</a>。</p>
<h2 id="詞彙地圖欄位">詞彙地圖欄位</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
          <th>產出</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Term</td>
          <td>定義防守技術名稱</td>
          <td>vocabulary entry</td>
      </tr>
      <tr>
          <td>Scope</td>
          <td>說明技術作用範圍</td>
          <td>boundary note</td>
      </tr>
      <tr>
          <td>Signal</td>
          <td>對應可觀測訊號</td>
          <td>signal mapping</td>
      </tr>
      <tr>
          <td>Owner</td>
          <td>對應主責角色</td>
          <td>owner mapping</td>
      </tr>
      <tr>
          <td>Evidence</td>
          <td>對應驗證證據</td>
          <td>evidence mapping</td>
      </tr>
      <tr>
          <td>Handoff</td>
          <td>對應交接章節</td>
          <td>routing link</td>
      </tr>
  </tbody>
</table>
<h2 id="詞彙分層">詞彙分層</h2>
<p>詞彙分層的責任是避免同詞多義。建議至少分三層：</p>
<ol>
<li>Control term：描述防守能力。</li>
<li>Detection term：描述訊號與規則。</li>
<li>Response term：描述分級、處置與回寫。</li>
</ol>
<h2 id="邊界對齊">邊界對齊</h2>
<p>邊界對齊的責任是讓詞彙對上服務邊界。每個詞彙都要能回答它作用在哪個 trust boundary、影響哪種資產、由哪個 owner 維護。</p>
<h2 id="與規則生命周期整合">與規則生命周期整合</h2>
<p>與規則生命周期整合的責任是把詞彙直接接到規則資產。詞彙卡可對應到 rule source、triage question、severity 與 evidence，形成可追溯的維護鏈。</p>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>同一事件在不同團隊有不同命名</td>
          <td>需要統一詞彙地圖</td>
          <td>7.B8 → 7.B1</td>
      </tr>
      <tr>
          <td>規則描述與控制描述尚未對齊</td>
          <td>需要補 term-to-rule 映射</td>
          <td>7.B8 → 7.B5</td>
      </tr>
      <tr>
          <td>交接文件使用抽象詞彙</td>
          <td>需要補邊界與證據欄位</td>
          <td>7.B8 → 7.B6</td>
      </tr>
      <tr>
          <td>演練回寫尚未回到章節</td>
          <td>需要補 handoff 欄位</td>
          <td>7.B8 → 7.B9</td>
      </tr>
  </tbody>
</table>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/blue-team/defense-control-map/" data-link-title="7.B1 防守控制面地圖" data-link-desc="建立防守控制面如何對應身份、入口、資料、供應鏈、偵測與治理問題的大綱">7.B1 防守控制面地圖</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5 Detection Engineering Lifecycle</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6 Incident Triage Loop</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/" data-link-title="7.BM1 藍隊專業來源卡" data-link-desc="整理藍隊可引用的專業來源，明確標示可支撐論點與引用限制">7.BM1 藍隊專業來源卡</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能把防守詞彙寫成可交接地圖。輸出至少包含 term、scope、signal、owner、evidence 與 handoff。</p>
]]></content:encoded></item></channel></rss>