<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Cspm on Tarragon</title><link>https://tarrragon.github.io/blog/tags/cspm/</link><description>Recent content in Cspm on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/cspm/index.xml" rel="self" type="application/rss+xml"/><item><title>Datadog Security</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/</guid><description>&lt;p>Datadog Security 是 Datadog observability platform 上的 security 套件、跟 Datadog logs / metrics / APM / infrastructure 共用同一個 control plane 與 data plane。它的設計起點不是 SIEM、是 &lt;em>把資安訊號當成 observability 的一個維度&lt;/em>：alert 不只看 log、可以同時 pivot 到 APM trace、infra metrics 與 host context。這個定位決定了它的優勢（cloud-native + 混合 incident 偵測）與限制（SaaS-only + 計費隨 host 量線性漲、不適合 on-prem-heavy 或預算敏感場景）。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Datadog Security 由四個 product 構成、共用 Datadog Agent 與 backend：&lt;em>Cloud SIEM&lt;/em>（log-based detection、跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk Enterprise Security&lt;/a> 同類）、&lt;em>Cloud Security Management (CSM)&lt;/em> — 涵蓋 &lt;em>CSPM&lt;/em>（cloud config posture）與 &lt;em>Cloud Workload Security (CWS)&lt;/em>（container / Linux runtime via eBPF）、&lt;em>App and API Protection (AAP、前 ASM)&lt;/em> — RASP-style 在 app runtime 收 attack signal、&lt;em>Sensitive Data Scanner&lt;/em> — scan log 中的 PII / credential 並 redact。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a> 比、Datadog 走 &lt;em>observability-first + security 是 view&lt;/em>、Splunk 是 &lt;em>security-first&lt;/em>。Splunk 在 enterprise SOC tooling 深度（SOAR playbook、RBA、CIM data model）與跨 on-prem 部署上更成熟、Datadog SaaS-only 但跟 APM / Infra 同 plane、混合 incident（latency 異常是攻擊還是容量？）的判讀路徑更短。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &amp;#43; EDR &amp;#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security&lt;/a> 比、Elastic 可跨 on-prem + OSS、Datadog 只給 SaaS；Elastic 要自己整合 observability 訊號、Datadog 出廠就有。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &amp;#43; SOAR &amp;#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &amp;#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations&lt;/a> 比、Google 走 &lt;em>fixed-price by data、PB-scale 划算&lt;/em>、Datadog 隨 host 線性漲、中等規模友善但破千 host 後 cost 曲線變陡。&lt;/p></description><content:encoded><![CDATA[<p>Datadog Security 是 Datadog observability platform 上的 security 套件、跟 Datadog logs / metrics / APM / infrastructure 共用同一個 control plane 與 data plane。它的設計起點不是 SIEM、是 <em>把資安訊號當成 observability 的一個維度</em>：alert 不只看 log、可以同時 pivot 到 APM trace、infra metrics 與 host context。這個定位決定了它的優勢（cloud-native + 混合 incident 偵測）與限制（SaaS-only + 計費隨 host 量線性漲、不適合 on-prem-heavy 或預算敏感場景）。</p>
<h2 id="服務定位">服務定位</h2>
<p>Datadog Security 由四個 product 構成、共用 Datadog Agent 與 backend：<em>Cloud SIEM</em>（log-based detection、跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk Enterprise Security</a> 同類）、<em>Cloud Security Management (CSM)</em> — 涵蓋 <em>CSPM</em>（cloud config posture）與 <em>Cloud Workload Security (CWS)</em>（container / Linux runtime via eBPF）、<em>App and API Protection (AAP、前 ASM)</em> — RASP-style 在 app runtime 收 attack signal、<em>Sensitive Data Scanner</em> — scan log 中的 PII / credential 並 redact。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 比、Datadog 走 <em>observability-first + security 是 view</em>、Splunk 是 <em>security-first</em>。Splunk 在 enterprise SOC tooling 深度（SOAR playbook、RBA、CIM data model）與跨 on-prem 部署上更成熟、Datadog SaaS-only 但跟 APM / Infra 同 plane、混合 incident（latency 異常是攻擊還是容量？）的判讀路徑更短。跟 <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> 比、Elastic 可跨 on-prem + OSS、Datadog 只給 SaaS；Elastic 要自己整合 observability 訊號、Datadog 出廠就有。跟 <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a> 比、Google 走 <em>fixed-price by data、PB-scale 划算</em>、Datadog 隨 host 線性漲、中等規模友善但破千 host 後 cost 曲線變陡。</p>
<p>關鍵張力：<em>observability 與 security 同 plane</em> 是 Datadog 最大賣點、也是 cost 風險來源。host count 跟 events/month 同時是 observability 跟 security 的計費基準、security 加上去後 bill 不會獨立 — 預算要從 <em>整個 Datadog 帳單</em> 看、不是 security 單列。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Datadog Security 在 SOC stack 中承擔哪一段（log SIEM / CSPM / 容器 runtime / WAF-runtime / log DLP）、哪些要外接（<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a>、<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> IdP log、edge WAF）</li>
<li>observability + security 同 plane 的優勢何時成立、何時是 vendor lock-in 風險</li>
<li>Cloud SIEM 計費（events/month + indexed）跟 Standard / Flex Logs retention tier 的成本治理</li>
<li>何時用 Datadog、何時走 Splunk / Elastic / Google Security Ops 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Datadog Security 部署是否健康、最少看四件事：</p>
<ul>
<li><strong>Datadog Agent coverage</strong>：agent 是否裝在所有 host / container / serverless wrapper、log forwarder 是否覆蓋 cloud control plane（AWS CloudTrail / GCP Audit Log / Azure Activity Log）、IdP（<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>）audit log 是否進來 — 缺一個就是 detection 盲點</li>
<li><strong>Detection rule ownership</strong>：Cloud SIEM rule 是用內建還是 custom、custom rule 是否走 Git 版控（Terraform <code>datadog_security_monitoring_rule</code>）、staging 環境是否 dry-run 24-48hr 才 promote production</li>
<li><strong>CSPM compliance check 治理</strong>：CIS / NIST / PCI baseline 開哪些、findings 是否進 ticket workflow、misconfig 修復 SLA 有沒有定義（critical 24hr、high 7d、medium 30d）</li>
<li><strong>Events/month + Indexed Log 預算</strong>：Cloud SIEM 按 events/month + indexed event 計費、新加 source 前是否估算 ingestion impact、Standard / Flex Logs retention tier 是否依 log priority 分流</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Datadog Agent 採集</strong>：log / metrics / trace / security event 走同一個 Agent、用 integration（150+）抓 cloud / SaaS / database / queue。security event 跟 observability event 在後端用 <em>attribute tag</em>（<code>env</code>、<code>service</code>、<code>host</code>、<code>trace_id</code>）關聯、查 incident 時可以從 log alert pivot 到同 trace_id 的 APM trace 看 attack 發生的 application context。</p>
<p><strong>Cloud SIEM detection rule</strong>：rule 形式類似 SPL 的 query — <code>source:okta @evt.name:user.authentication.auth_via_mfa @outcome:failure</code> 加 <em>signal aggregation</em>（rolling window count、new value、anomaly detection、impossible travel）。內建 rule 跟 MITRE ATT&amp;CK 對應、跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk Security Content</a> 同類但 rule 數量較少；custom rule 走 Terraform provider 進版控、不在 UI 直改 production。</p>
<p><strong>CSPM compliance check</strong>：scan AWS / GCP / Azure 配置 vs CIS / NIST 800-53 / PCI / SOC 2 baseline、發現 misconfig（public S3 bucket、overly permissive IAM、不安全 SG rule）。跟 Wiz / Prisma Cloud 同類但跟 Datadog Infra 同 dashboard、findings 可以直接看到 affected resource 的 metrics / log。優勢是 <em>資安發現可以直接看業務影響</em>、限制是 graph-based attack path（Wiz 強項）不及專業 CNAPP。</p>
<p><strong>Cloud Workload Security（CWS）</strong>：用 Linux eBPF probe 在 kernel 層觀察 container / process behavior、偵測 cryptominer / privilege escalation / 異常 syscall / file integrity 變動。跟 <a href="https://falco.org/">Falco</a> 同類但跟 Datadog Infra 同 plane、CWS alert 可以直接 pivot 到該 container 的 CPU / memory / trace。Linux eBPF 對 kernel 版本敏感、舊 kernel 部份功能不可用、production 前要確認 fleet kernel matrix。</p>
<p><strong>App and API Protection（AAP）</strong>：RASP-style protection、Datadog APM library 在 application runtime 收 attack signal（SQLi / XSS / SSRF / 異常 traffic pattern）。跟 <a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a> 不同層 — WAF 在 edge / CDN、AAP 在 app runtime 看到的是真實 request handler / DB query。兩者互補不互斥：edge WAF 擋 volumetric attack 跟已知 pattern、AAP 補 app-specific business logic abuse。</p>
<p><strong>Sensitive Data Scanner</strong>：scan ingest 進來的 log、用內建或 custom pattern 偵測 PII / credential / payment card / API key、發現後可以 redact、quarantine 或 alert。是 <em>DLP-lite</em> — 比不上 <a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a> 的 sensitive data discovery / classification / lineage 全套、但對 <em>log 中誤洩 secret</em> 的場景夠用、是 detection signal source 也是 DLP 補位。</p>
<p><strong>Notebooks + Workflow Automation</strong>：Notebooks 是 incident investigation 用的 query workbook、混 log query + metric chart + APM trace + 註記、跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk Search</a> 比較像 Jupyter notebook 的 SOC 版。Workflow Automation 是輕量 SOAR、接 PagerDuty / Slack / Jira / Webhook / <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> API、playbook 走 visual builder + Python。SOAR 深度不到 Splunk SOAR、但對中等規模 SOC（10-50 人）的常見 response 動作（rotate credential / block IP / open ticket）夠用。</p>
<p><strong>Standard Logs / Flex Logs + retention tier</strong>：log 進 Datadog 後分 <em>Indexed</em>（hot、可全文搜尋、貴）、<em>Flex Logs</em>（warm、retention 長、查詢延遲較高、cost 1/3-1/5）、<em>Archive</em>（cold、丟 S3 / GCS、純儲存）三層。Cloud SIEM detection 跑在 indexed log 上、所以 <em>哪些 log 走 indexed</em> 直接決定 detection coverage 跟 bill。tier 1 source（IdP / cloud control plane / payment）必 indexed、tier 2 source（app log）按 sampling、tier 3（debug）走 Flex 或 Archive。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Datadog Security</th>
          <th>Splunk</th>
          <th>Elastic Security</th>
          <th>Google Security Operations</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>設計起點</td>
          <td>Observability + security 同 plane</td>
          <td>Security-first、log 統一查詢平台</td>
          <td>Search-first、ELK stack 延伸</td>
          <td>Massive scale ingestion、Google threat intel</td>
      </tr>
      <tr>
          <td>計費模型</td>
          <td>Per-host + per-event（events/month）</td>
          <td>Ingestion-based（GB/day、累進）</td>
          <td>Resource-based（node / cluster）</td>
          <td>Fixed price by data tier（PB-scale 划算）</td>
      </tr>
      <tr>
          <td>部署模型</td>
          <td>SaaS only</td>
          <td>Self-hosted / SaaS</td>
          <td>Self-hosted / Cloud / Serverless</td>
          <td>SaaS only（Google Cloud）</td>
      </tr>
      <tr>
          <td>觀測整合</td>
          <td>Native — log + APM + metrics + infra 同 query</td>
          <td>需自接（Splunk Observability 另收）</td>
          <td>需自接（Elastic Observability 另開）</td>
          <td>弱 — 跨產品 federation</td>
      </tr>
      <tr>
          <td>雲端 posture (CSPM)</td>
          <td>內建（CSM）</td>
          <td>第三方 add-on / Cisco 整合</td>
          <td>第三方 / Wazuh</td>
          <td>第三方 / Mandiant 整合</td>
      </tr>
      <tr>
          <td>容器 runtime</td>
          <td>內建 CWS（eBPF）</td>
          <td>需 Falco / 第三方</td>
          <td>Elastic Defend</td>
          <td>需 Falco / 第三方</td>
      </tr>
      <tr>
          <td>App runtime（RASP）</td>
          <td>內建 AAP</td>
          <td>需第三方</td>
          <td>第三方</td>
          <td>第三方</td>
      </tr>
      <tr>
          <td>SOAR / Response</td>
          <td>Workflow Automation（輕量）</td>
          <td>Splunk SOAR（業界先驅）</td>
          <td>Cases + Endpoint response</td>
          <td>SOAR 內建（前 Siemplify）</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>Cloud-native + 已用 Datadog + 中等規模 SOC</td>
          <td>Enterprise + 跨 on-prem、預算允許</td>
          <td>OSS-friendly、Elastic stack 已用</td>
          <td>超大規模 ingestion、Google 雲</td>
      </tr>
  </tbody>
</table>
<p>選 Datadog 的核心訴求：<em>已經用 Datadog observability、cloud-native 為主、SOC 規模中等（10-50 人）、需要 observability + security 同 plane 的 incident 判讀路徑</em>。on-prem 為主、預算敏感（host 量 1000+）、需要 enterprise SOAR / RBA 深度、走 Splunk；OSS-friendly、跨 on-prem、走 Elastic。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Cross-product correlation（log + APM + metrics 同 trace_id）</strong>：Datadog 最特別的偵測形狀 — security alert 不只 log line、而是綁 trace_id 的 <em>integrated incident view</em>。例如 API endpoint 出現 SQLi 嘗試、Cloud SIEM 開 signal、同時 APM 看到該 request 的 DB query 跟 latency、infra 看到該 host 的 CPU。對「query latency 異常是不是被攻擊」這種混合 incident 偵測有結構性優勢、跟 <a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a> 的調查路徑直接對應。</p>
<p><strong>CWS Linux eBPF 行為偵測</strong>：eBPF probe 在 kernel 層、不需要 kernel module、不影響 process performance（&lt; 1% overhead）。可以偵測的行為包括 file integrity（<code>/etc/passwd</code> 被改）、process tree（<code>bash → curl → /tmp/payload</code> 異常 chain）、network connection（容器對外連 cryptominer pool）、syscall pattern（<code>ptrace</code> 用於 process injection）。跟 <a href="https://falco.org/">Falco</a> 同樣用 eBPF、差別是 Datadog CWS 不需要單獨部署 + 跟 Datadog 其他 signal 同 plane。</p>
<p><strong>Datadog Threat Intelligence</strong>：內建 threat feed（malicious IP / domain / file hash）、自動標記 log / network event 命中 IoC。可以加自家 STIX/TAXII feed、不過深度比不上 <a href="https://www.mandiant.com/">Mandiant</a> / Recorded Future / 專業 TI platform；中等規模 SOC 夠用、嚴重 APT 對抗場景要外接專業 TI。</p>
<p><strong>跟 Datadog Incident Management 整合</strong>：security signal 可以直接開 Datadog Incident（內建 incident channel + timeline + post-mortem template）、跟 <a href="/blog/backend/08-incident-response/vendors/pagerduty/" data-link-title="PagerDuty" data-link-desc="On-call / alerting 主流 SaaS、IR 平台演化">PagerDuty</a> 同類但跟 observability 同 plane。對 <em>資安事件升級成全公司 incident</em> 的場景（<a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/change-healthcare-2024-ops-impact/" data-link-title="7.R7.4.3 Change Healthcare 2024：資料事件轉為營運中斷" data-link-desc="醫療支付中樞事件如何同時衝擊資料安全與業務連續性">Change Healthcare 2024 Operations Impact</a> 那種規模）可以共用 incident commander 視角、不用兩套 timeline 拼起來。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Cloud SIEM 偵測 lag / 沒 alert</strong>：events 沒進 indexed log（走了 Flex）、retention tier 設錯 — 檢查 log pipeline rule 是否把 security-critical source 標 indexed</li>
<li><strong>Events/month 暴衝</strong>：debug log / verbose log 進 Cloud SIEM index、CWS event 量爆 — log pipeline 前置 filter（Datadog Observability Pipeline 或 Cribl）、CWS rule 收斂 noisy 行為</li>
<li><strong>CSPM findings 100+ 沒人修</strong>：findings 沒進 ticket workflow、沒分 priority — 整合 Jira / ServiceNow、severity 對應 SLA、findings 老化超 30 天升級</li>
<li><strong>CWS 在舊 kernel host 沒資料</strong>：eBPF feature 對 kernel 版本敏感（&lt; 4.18 部份功能不支援）— 升級 kernel 或標記該 host 為 CWS-incompatible、補位用 host-based agent</li>
<li><strong>AAP false positive 卡 user</strong>：RASP 在 app runtime 直接 block、誤殺正常 request — AAP 先走 monitor mode 1-2 週收 baseline、tune 後再轉 protect mode</li>
<li><strong>Sensitive Data Scanner miss PII</strong>：custom pattern 沒寫對、log format 嵌套（JSON 內又是 JSON）— 用 sample log 跑 dry-run、scanner 跑在 ingest 階段不是 retroactive</li>
<li><strong>Workflow Automation playbook 黑箱</strong>：自動 rotate credential 結果誤殺 prod service account — playbook high-impact action 走 approval gate、default 走 containment 不走 deletion</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Enterprise + 跨 on-prem、預算允許</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a></td>
      </tr>
      <tr>
          <td>OSS-friendly / Elastic stack 已用</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a></td>
      </tr>
      <tr>
          <td>超大規模 ingestion + Google 雲</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></td>
      </tr>
      <tr>
          <td>嚴格 DLP / 資料分類</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>Cloud posture graph / attack path</td>
          <td>Wiz / Prisma Cloud / Lacework</td>
      </tr>
      <tr>
          <td>Edge WAF / volumetric attack</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a></td>
      </tr>
      <tr>
          <td>Endpoint EDR</td>
          <td>CrowdStrike Falcon / Microsoft Defender for Endpoint</td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Datadog Agent 完整 configuration reference、custom check 撰寫</li>
<li>Datadog observability（APM / RUM / Synthetics / DBM）細節 — 屬 <a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a> 模組</li>
<li>Cloud SIEM rule 完整語法 reference</li>
<li>CWS eBPF probe 撰寫（custom rule via Agent Expression Language）細節</li>
<li>Datadog Incident Management workflow（屬 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 IR</a> 模組）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Datadog Security 在 07 案例庫沒有直接 vendor-level 事件、但 observability + security 同 plane 的偵測形狀讓部份案例的調查路徑變短、值得對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Datadog Security 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a></td>
          <td>Query volume + 連接數 + CPU 負載異常是 Datadog 同 plane 的強項、Cloud SIEM rule + DBM metrics 同 query 不用 SIEM + 監控工具拼接</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/change-healthcare-2024-ops-impact/" data-link-title="7.R7.4.3 Change Healthcare 2024：資料事件轉為營運中斷" data-link-desc="醫療支付中樞事件如何同時衝擊資料安全與業務連續性">Change Healthcare 2024 Operations Impact</a></td>
          <td>業務中樞事件的影響評估、APM + Infra 可秒級判斷 latency 異常源自資安 vs 容量、Datadog Incident 共用 IC 視角</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/mailchimp-2023-support-tool-abuse/" data-link-title="7.R7.4.4 Mailchimp 2023：支援工具路徑與客戶資料風險" data-link-desc="社交工程進入客服工具後，如何形成特定客戶資料存取風險">Mailchimp 2023 Support Tool Abuse</a></td>
          <td>APM span correlation 可看到單一 operator 短時間跨多 tenant access 的 trace pattern、log-only SIEM 看不到 application-level tenant 切換</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a></td>
          <td>Cloud SIEM detection rule 配 <a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> MFA log + APM error rate correlation、不靠單一 log source</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance (section)</a></td>
          <td>Standard / Flex Logs + retention tier 是 detection coverage 治理的工具、tier 1 source 必 indexed、tier 2 / 3 走 Flex / Archive</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a>、<a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>、<a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a>（DLP signal 進 Datadog）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>（IdP log source）、<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（Workflow Automation 拉 API）、<a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a>（edge WAF log 進 Cloud SIEM、AAP 在 app 層補位）</li>
<li>跨模組：<a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a>（同 Agent / 同 plane）、<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（Datadog Incident → IR routing）</li>
<li>官方：<a href="https://docs.datadoghq.com/security/">Datadog Security Documentation</a></li>
</ul>
]]></content:encoded></item><item><title>Wiz</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/</guid><description>&lt;p>Wiz 是 &lt;em>agentless CNAPP&lt;/em>（Cloud-Native Application Protection Platform）的代表、用 &lt;em>cloud API + snapshot scan&lt;/em> 從外面看雲、不在 workload 上裝 agent。2020 年由前 Microsoft Cloud Security Group 創辦人成立、2024 估值約 $12B、是 CNAPP 賽道的後起黑馬。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &amp;#43; Code (SAST) &amp;#43; Container &amp;#43; IaC &amp;#43; Cloud (CSPM)、Reachability analysis">Snyk&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &amp;#43; Secret &amp;#43; License &amp;#43; SBOM、Apache 2.0、CI 友善">Trivy&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> 的差異在 &lt;em>風險優先級的組合方式&lt;/em>、vulnerability 掃描能力本身都具備 — Wiz 用 &lt;em>Security Graph + Toxic Combination&lt;/em> 把多個 low-risk finding 串成 &lt;em>attack path&lt;/em>、而不是給你 10000 個獨立 CVE。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Wiz 的核心定位是 &lt;em>agentless cloud posture + workload protection platform&lt;/em>、把 CSPM（Cloud Security Posture Management）/ CWP（Cloud Workload Protection）/ CIEM（Cloud Infrastructure Entitlement Management）/ KSPM（Kubernetes Security Posture Management）/ DSPM（Data Security Posture Management）整合在同一個 Security Graph 上面。底層是 &lt;em>Connector&lt;/em>（讀 AWS / GCP / Azure / OCI / K8s 的 read-only API + snapshot scan）、頂層是 &lt;em>Issues + Projects + Toxic Combination rules&lt;/em>。&lt;/p>
&lt;p>跟 Prisma Cloud / Lacework 比、Wiz 走 &lt;em>graph-first&lt;/em> — 把 resource / IAM / vulnerability / secret / network exposure 連成圖（跳過 finding list 層）、可以用 query 問「哪些 EC2 有 RCE CVE 且 IMDS v1 且能 assume 跨帳戶 admin role」。跟 CrowdStrike Falcon Cloud Security 比、Wiz 是 &lt;em>agentless-first&lt;/em>（CWP 才用 sensor、posture / 漏洞掃描 0 agent）、Falcon CS 走 &lt;em>endpoint agent 延伸到雲&lt;/em>。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> CSPM 比、Datadog 是 &lt;em>observability platform 上的 security view&lt;/em>、Wiz 是 &lt;em>security-first CNAPP&lt;/em>、Wiz 的 graph 跟 toxic combination 深度大幅領先、但獨立 SIEM / log 能力不如 Datadog / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a>。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &amp;#43; Code (SAST) &amp;#43; Container &amp;#43; IaC &amp;#43; Cloud (CSPM)、Reachability analysis">Snyk&lt;/a> 比、Snyk 走 &lt;em>developer-first SAST + SCA + container&lt;/em>、Wiz 走 &lt;em>cloud posture + agentless workload scan&lt;/em>、兩者場景互補不替代 — 多數客戶 Snyk 管 left-shift dev 階段、Wiz 管 runtime cloud。&lt;/p></description><content:encoded><![CDATA[<p>Wiz 是 <em>agentless CNAPP</em>（Cloud-Native Application Protection Platform）的代表、用 <em>cloud API + snapshot scan</em> 從外面看雲、不在 workload 上裝 agent。2020 年由前 Microsoft Cloud Security Group 創辦人成立、2024 估值約 $12B、是 CNAPP 賽道的後起黑馬。它跟 <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> / <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 的差異在 <em>風險優先級的組合方式</em>、vulnerability 掃描能力本身都具備 — Wiz 用 <em>Security Graph + Toxic Combination</em> 把多個 low-risk finding 串成 <em>attack path</em>、而不是給你 10000 個獨立 CVE。</p>
<h2 id="服務定位">服務定位</h2>
<p>Wiz 的核心定位是 <em>agentless cloud posture + workload protection platform</em>、把 CSPM（Cloud Security Posture Management）/ CWP（Cloud Workload Protection）/ CIEM（Cloud Infrastructure Entitlement Management）/ KSPM（Kubernetes Security Posture Management）/ DSPM（Data Security Posture Management）整合在同一個 Security Graph 上面。底層是 <em>Connector</em>（讀 AWS / GCP / Azure / OCI / K8s 的 read-only API + snapshot scan）、頂層是 <em>Issues + Projects + Toxic Combination rules</em>。</p>
<p>跟 Prisma Cloud / Lacework 比、Wiz 走 <em>graph-first</em> — 把 resource / IAM / vulnerability / secret / network exposure 連成圖（跳過 finding list 層）、可以用 query 問「哪些 EC2 有 RCE CVE 且 IMDS v1 且能 assume 跨帳戶 admin role」。跟 CrowdStrike Falcon Cloud Security 比、Wiz 是 <em>agentless-first</em>（CWP 才用 sensor、posture / 漏洞掃描 0 agent）、Falcon CS 走 <em>endpoint agent 延伸到雲</em>。跟 <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> CSPM 比、Datadog 是 <em>observability platform 上的 security view</em>、Wiz 是 <em>security-first CNAPP</em>、Wiz 的 graph 跟 toxic combination 深度大幅領先、但獨立 SIEM / log 能力不如 Datadog / <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a>。跟 <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> 比、Snyk 走 <em>developer-first SAST + SCA + container</em>、Wiz 走 <em>cloud posture + agentless workload scan</em>、兩者場景互補不替代 — 多數客戶 Snyk 管 left-shift dev 階段、Wiz 管 runtime cloud。</p>
<p>關鍵張力：<em>agentless + multi-cloud + Security Graph</em> ↔ <em>單一 workload count 計費 + 多模組組合容易踩 sticker shock</em>。Wiz 的價值前提是組織夠大、cloud account / workload 夠多到 <em>toxic combination</em> 比 <em>單點 CVE list</em> 更有意義；小型團隊 + 單一雲 + 預算敏感、用 Wiz 等於買保時捷送外賣。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Wiz 在 cloud security stack 中承擔哪一段（CSPM / CWP / CIEM / KSPM / DSPM / Wiz Code）、哪些要外接（<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 等 SIEM 接 Issues、<a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> / <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> 是否要保留 dev-time scan）</li>
<li>Security Graph query 跟 Toxic Combination rule 的 ownership 設計（誰寫 rule、誰 triage Issue、誰調 Project scope）</li>
<li>Agentless scan 的可見性邊界（snapshot 能看到 / 看不到什麼、需不需要 Wiz Sensor / Defend 補 runtime）</li>
<li>何時用 Wiz、何時走 Prisma Cloud / Lacework / CrowdStrike Falcon CS / Datadog CSPM 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Wiz deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>Connector 覆蓋率</strong>：所有 prod cloud account（AWS / GCP / Azure / OCI）跟 K8s cluster 是否都接上、IAM role 是否最小權限（Wiz 給的 CloudFormation / Terraform template 不要自己加權限）、snapshot scan 是否涵蓋所有 region / disk type</li>
<li><strong>Toxic Combination rule 設計</strong>：是不是只開預設 rule、有沒有針對自家環境 anti-pattern 寫 custom rule（例如 <em>cross-account assume + payment service + secret access</em>）、rule 走不走 PR review</li>
<li><strong>Issue triage SLA</strong>：critical / high Issue 的 mean-time-to-resolve、是否跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / Jira / Slack 整合、Project scope 是否依 service owner 切（不是丟整包給 SecOps）</li>
<li><strong>Wiz Code / Wiz Defend coverage 邊界</strong>：IaC scan 跟 dev-time CI 是 Wiz Code 還是 <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> / <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a>、runtime detection 是 Wiz Defend 還是 Falco / CrowdStrike、不要兩邊都裝又都沒人 triage</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">7.3 入口治理與伺服器防護</a> 跟 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a> 的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Connector 跟 agentless scan</strong>：Wiz 透過 <em>Connector</em>（每個 cloud account 一個 IAM role）讀 cloud control plane API、定期 snapshot EBS / Persistent Disk / Managed Disk、在 Wiz 自家環境裡 mount snapshot 做 vulnerability / secret / malware scan。對 workload 0 影響、不需要在 EC2 / GKE node / VM 裡裝任何 agent。代價是 <em>runtime 行為看不到</em>（process / network connection / syscall）— 那段要 Wiz Defend / Wiz Sensor 或外接 Falco / CrowdStrike。</p>
<p><strong>Security Graph</strong>：Wiz 把所有 resource（compute / storage / IAM principal / network / secret / vulnerability finding）建成 graph、用 GraphQL-like query 跨類型查詢。Security Graph 是 first-class concept、不只是 visualization — Toxic Combination rule、Issue correlation、blast radius 估算都走 graph。寫 SPL / KQL 跟寫 Wiz query 的 mindset 不一樣 — Wiz query 是 <em>relationship-first</em>（從 resource A 走幾跳到 resource B）、SPL 是 <em>event-first</em>（時間序列上的 log）。</p>
<p><strong>Toxic Combination</strong>：CNAPP vs 傳統 vulnerability scanner 的根本差異。單一 finding 是 low risk（一個 CVE / 一條 over-permission / 一個 public S3）、組合起來是 critical attack path（<em>public-facing EC2 + RCE CVE + IMDS v1 + assume admin role + 觸碰 customer PII bucket</em>）。Wiz 預設帶幾十條 toxic combination rule（attack-path-style）、organization 應該加自家 anti-pattern。對應 <a href="/blog/backend/07-security-data-protection/identity-access-boundary/" data-link-title="7.2 身分與授權邊界" data-link-desc="以問題驅動方式整理身分、授權、會話與供應商身分鏈">7.2 身分與授權邊界</a> 跟 <a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">7.5 應用層風險</a> 的跨 control 整合。</p>
<p><strong>Issues + Projects</strong>：finding 進 Wiz 後變 <em>Issue</em>、按 <em>Project</em> 路由 — Project 是邏輯切分（按 BU / service / 環境）、每個 Project 有 owner、Issue 自動分派。反例是 <em>單一 default Project 收所有 Issue</em>、SecOps 一天看 5000 個 Issue 看不完、跟 <a href="/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">Alert Fatigue and Signal Quality</a> 同樣模式。production 要 Project scope 對齊 service ownership、跟 Jira / Slack / <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 整合自動建 ticket。</p>
<p><strong>Wiz Code</strong>：dev-time / IaC scan、覆蓋 Terraform / CloudFormation / K8s manifest / Helm + container image build-time scan + SCA、跟 <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> Code/IaC 跟 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> Config 重疊。多數客戶選一邊用、不會雙開。Wiz Code 的賣點是 <em>跟 runtime Wiz finding 同一個 graph</em> — 在 IDE / PR 階段就能看到「這條 IaC 改動會在 prod 產生哪條 toxic combination」。</p>
<p><strong>Wiz Defend (Gem)</strong>：2024 收購 Gem Security 整合 runtime detection / cloud detection、補 Wiz 早期缺的 runtime 層。Wiz Defend 走 <em>cloud-native log + Wiz Sensor</em>（K8s eBPF sensor）混合、跟 CrowdStrike Falcon EDR / Falco 競爭。產品成熟度仍在跟進、2024-2025 才大量 GA、不要假設它已經是 CrowdStrike / SentinelOne 等級的 EDR 替代品。</p>
<p><strong>Wiz Sensor</strong>：K8s admission controller + eBPF runtime sensor、補 agentless 看不到的 runtime 行為（container process / network connection / file integrity）。是 <em>選配</em>、不裝 Wiz 仍能做 posture / vulnerability scan、裝了才有 runtime detection。資源開銷比 Falco 大、跟 CrowdStrike Falcon container sensor 競爭。</p>
<p><strong>SIEM 整合</strong>：Wiz Issues / Detections 可推到 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a> 走 SOAR playbook。常見 pattern：Wiz 偵測到 toxic combination → 推 Issue 到 Splunk → SOAR playbook 自動 isolate workload 或 rotate credential、走 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a> API。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Wiz</th>
          <th>Prisma Cloud (Palo Alto)</th>
          <th>Lacework</th>
          <th>CrowdStrike Falcon CS</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>部署模型</td>
          <td>Agentless-first（snapshot scan）+ 選配 Sensor</td>
          <td>Agent + agentless 混合</td>
          <td>Agent + agentless 混合、Polygraph behavior-base</td>
          <td>Agent-first（Falcon sensor 延伸）</td>
      </tr>
      <tr>
          <td>核心 concept</td>
          <td>Security Graph + Toxic Combination</td>
          <td>Cloud Security 套件（CSPM/CWP/CIEM/DSPM)</td>
          <td>Polygraph（ML behavior model）</td>
          <td>Falcon platform（EDR + cloud workload）</td>
      </tr>
      <tr>
          <td>計費模型</td>
          <td>Per workload + module</td>
          <td>Credit-based（modular）</td>
          <td>Per workload + data ingestion</td>
          <td>Per endpoint + module</td>
      </tr>
      <tr>
          <td>Multi-cloud</td>
          <td>強（AWS/GCP/Azure/OCI/K8s）</td>
          <td>強</td>
          <td>強</td>
          <td>強（但 Falcon-first 文化）</td>
      </tr>
      <tr>
          <td>Runtime 偵測</td>
          <td>Wiz Defend（2024+、成熟度仍在跟進）</td>
          <td>Prisma Cloud Defender（成熟）</td>
          <td>Polygraph 行為偵測（成熟）</td>
          <td>業界最強（EDR 出身）</td>
      </tr>
      <tr>
          <td>Developer 整合</td>
          <td>Wiz Code（IaC/SCA/PR scan）</td>
          <td>Prisma Cloud Code Security</td>
          <td>弱</td>
          <td>弱</td>
      </tr>
      <tr>
          <td>學習曲線</td>
          <td>中 — Graph query 是新語法但結構清楚</td>
          <td>陡 — 模組多、UX 較重</td>
          <td>中</td>
          <td>中 — Falcon UI 一致</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>Multi-cloud + 大型 org + 看重 attack path</td>
          <td>已用 Palo Alto 生態、需要 NGFW 整合</td>
          <td>ML-first 偵測、不想自己寫 rule</td>
          <td>已用 Falcon EDR、想擴到 cloud workload</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>中 — Graph query / Toxic Combination 量大</td>
          <td>高 — 跟 Palo Alto 生態耦合</td>
          <td>中</td>
          <td>高 — Falcon sensor 已大規模部署很難換</td>
      </tr>
  </tbody>
</table>
<p>選 Wiz 的核心訴求：<em>multi-cloud + 中大型組織 + 願意接受 agentless 的 runtime 邊界 + 重視 toxic combination 的優先級</em>。如果組織已重度使用 CrowdStrike Falcon EDR、走 Falcon CS 延伸更一致；如果已重度 Palo Alto、走 Prisma Cloud 整合更深。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Security Graph query language</strong>：類 GraphQL 的 query syntax、可以寫「找所有 public-facing EC2、有 CVE-2024-XXX、能 assume role 到 admin account、且該 role 可讀 prod-pii bucket」這種 5-hop query。production 用法：把高頻 query 存成 <em>Saved Query</em> + alert、把 attack pattern 寫成 <em>Toxic Combination rule</em>。Graph query 寫得好不好直接決定 <em>attack path 是否被涵蓋</em>、跟 SPL 寫 correlation rule 是同一個 ownership 議題。</p>
<p><strong>Toxic Combination 設計</strong>：預設 rule 是 <em>generic 雲安全 anti-pattern</em>（public + vulnerable + over-permission）、organization 應該補 <em>industry-specific</em> 跟 <em>organization-specific</em> anti-pattern — 金融業要看「payment workload + cross-region replication + non-encrypted snapshot」、SaaS 多租戶要看「tenant-A workload + assume tenant-B role + 跨 tenant data access」。Toxic combination rule 走 PR review + staging tenant 驗證、跟 <a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a> 同流程。</p>
<p><strong>Wiz AI (2024+)</strong>：LLM-assisted investigation — 用自然語言查 graph（「show me all critical issues touching prod payment service」翻譯成 graph query）、Issue triage 自動 summarize attack path、根因建議。實務上是 query 翻譯 + summarize、不是替代 analyst 判讀；高 stake 決策仍要人類 review。</p>
<p><strong>Agentless secret scan</strong>：Wiz snapshot scan disk 時也掃 hardcoded secret（AWS access key / API token / private key）、跟 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a> / <a href="/blog/backend/07-security-data-protection/vendors/aws-secrets-manager/" data-link-title="AWS Secrets Manager" data-link-desc="AWS 原生 secret store &#43; 內建 RDS / Redshift rotation Lambda、Resource Policy 跨帳號共享、KMS 加密">AWS Secrets Manager</a> 整合做 rotation 路由。對應 <a href="/blog/backend/07-security-data-protection/secrets-and-machine-credential-governance/" data-link-title="7.6 秘密管理與機器憑證治理" data-link-desc="以問題驅動方式整理 secret、token、key 與機器身份治理">7.6 秘密管理與機器憑證治理</a> 的偵測層。</p>
<p><strong>Sigstore / SBOM 整合</strong>：Wiz 可消費 SBOM（<a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a> 或 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> 產出）+ verify Cosign / Sigstore 簽章、把 <em>artifact trust</em> 接進 Security Graph。對應 <a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">7.12 供應鏈完整性與工件信任</a> 的 build-to-runtime 證據鏈。</p>
<p><strong>Wiz for AI</strong>：2024+ 新 module、針對 AI workload（LLM model storage / training dataset / inference endpoint）做 posture scan、找 misconfigured model bucket / exposed inference endpoint / training data leak。早期產品、定位是 <em>AI workload 的 CSPM 延伸</em>、不是替代 <a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">AI red team / prompt injection 偵測</a> 工具。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Issue 爆炸 / 沒人 triage</strong>：default Project 收所有 finding、沒對齊 service ownership — 切 Project 給每個 BU / service、autoclose 已知 accepted risk、跟 Jira / Slack 整合自動分派</li>
<li><strong>Toxic Combination 沒命中真實 incident</strong>：只開預設 rule、沒寫 organization-specific rule — 從 <a href="/blog/backend/07-security-data-protection/red-team/" data-link-title="7.1 攻擊者視角（紅隊）與攻擊面驗證" data-link-desc="從攻擊者角度盤點暴露面、邊界、濫用路徑與資料外洩風險">red team case 庫</a> 反推自家環境的 attack path、寫成 custom rule</li>
<li><strong>Snapshot scan 漏掉 ephemeral workload</strong>：scan 間隔 12-24hr、短命 Lambda / Fargate task 沒掃到 — 補 Wiz runtime sensor 或外接 Falco；ephemeral workload 改用 build-time scan（<a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> / Wiz Code）</li>
<li><strong>Connector IAM role 權限漂移</strong>：自己加了權限結果踩 over-permission — Connector role 用 Wiz 提供的 CloudFormation / Terraform template、走 <a href="/blog/backend/05-deployment-platform/vendors/terraform/" data-link-title="Terraform / OpenTofu" data-link-desc="Infrastructure as Code 主流工具">Terraform</a> 版控、不手改</li>
<li><strong>Sticker shock / 計費爆炸</strong>：開了所有 module（CSPM + CWP + CIEM + KSPM + DSPM + Wiz Code + Defend）、workload count 暴衝 — 只開核心 module、ephemeral workload 走 sampling、enterprise contract 談 cap</li>
<li><strong>Wiz Code 跟 Snyk / Trivy 雙開</strong>：dev team 用 Snyk、SecOps 用 Wiz Code、PR 兩邊 finding 重複 — 選一邊做 dev-time gate、另一邊只當 visibility、不要兩邊都 block PR</li>
<li><strong>Wiz Defend 當 EDR 用結果偵測能力不夠</strong>：runtime detection 期待 CrowdStrike 等級 — Wiz Defend 仍在跟進、純 EDR 需求保留 CrowdStrike / SentinelOne、Wiz Defend 補 cloud context 層</li>
<li><strong>Audit log retention 不夠</strong>：Wiz 預設 audit retention 偏短、incident 回查時資料缺 — push Issue 跟 audit log 到 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog</a> 做長期保存</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>已用 Palo Alto NGFW / Prisma 生態</td>
          <td>Prisma Cloud</td>
      </tr>
      <tr>
          <td>已用 CrowdStrike Falcon EDR</td>
          <td>Falcon Cloud Security</td>
      </tr>
      <tr>
          <td>ML-first 偵測 / 不想寫 rule</td>
          <td>Lacework</td>
      </tr>
      <tr>
          <td>小型 / 單一雲 / 預算敏感</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> + cloud-native scanner（AWS Inspector / GCP SCC）</td>
      </tr>
      <tr>
          <td>Developer-first SAST + SCA</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> / <a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GitHub Advanced Security</a></td>
      </tr>
      <tr>
          <td>Observability 已用 Datadog、不想再買 CNAPP</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security CSPM</a></td>
      </tr>
      <tr>
          <td>SIEM / 跨 source correlation</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></td>
      </tr>
      <tr>
          <td>Runtime container 行為偵測 (OSS)</td>
          <td>Falco / Cilium Tetragon</td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Security Graph query syntax 完整 reference 跟所有 built-in toxic combination rule 清單</li>
<li>Wiz Defend / Wiz Sensor 的 eBPF 內部實作細節</li>
<li>Wiz Code 跟 IDE plugin（VSCode / JetBrains）的具體設定</li>
<li>Cloud-native scanner（AWS Inspector / GCP Security Command Center / Azure Defender）的對照細節</li>
<li>Wiz API 的具體 SDK 用法跟 Terraform Provider 配置</li>
<li>CNAPP 市場的完整 vendor 比較（Gartner Magic Quadrant 等）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Wiz 在 07 案例庫沒有直接 vendor-level 事件、但多個 case 是 CNAPP 風險組合的對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Wiz 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a></td>
          <td>Security Graph 可關聯「leaked credential + 過寬 IAM + 缺 MFA + 大量 data egress」四個 low-risk finding 成 toxic combination、提前 alert</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/lastpass-2022-backup-chain/" data-link-title="7.R7.4.1 LastPass 2022：備份路徑與鏈式入侵" data-link-desc="開發環境資訊外流如何沿著備份路徑擴大成資料風險">LastPass 2022 Backup Chain</a></td>
          <td>Wiz 可掃 S3 bucket public exposure + sensitive data + IAM scope、發現 backup bucket 配置漂移、對應 DSPM 場景</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>Agentless snapshot scan 在 Log4Shell 期間可秒級回答「哪些 prod workload 有 log4j-core vulnerable version」、不需 endpoint agent rollout</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>Wiz Code + Sigstore 整合可驗證 build artifact 來源、Security Graph 可串「signed artifact + 異常 runtime behavior」</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">7.3 入口治理與伺服器防護 (section)</a></td>
          <td>Network exposure scan + IAM analysis 對應 section 原則、把「public + over-permission + sensitive」串成 toxic combination</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">7.12 供應鏈完整性 (section)</a></td>
          <td>Wiz Code IaC scan + image scan + SBOM 消費對應 build-to-runtime 證據鏈</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">7.3 入口治理與伺服器防護</a>、<a href="/blog/backend/07-security-data-protection/identity-access-boundary/" data-link-title="7.2 身分與授權邊界" data-link-desc="以問題驅動方式整理身分、授權、會話與供應商身分鏈">7.2 身分與授權邊界</a>、<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a>（dev-first SAST/SCA）、<a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a>（OSS scanner）、<a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a>（observability + CSPM）</li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a>（Issues → SIEM）、<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（SOAR 自動 rotation）、<a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a>（SBOM 接 Wiz Code）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/azure-rbac/" data-link-title="Azure RBAC &#43; Entra ID" data-link-desc="Azure 雙層身份/權限體系、Entra ID（IdP）&#43; Azure RBAC（resource permission）、Conditional Access、PIM、Managed Identity">Azure RBAC</a>（CIEM 分析對象）、<a href="/blog/backend/05-deployment-platform/vendors/terraform/" data-link-title="Terraform / OpenTofu" data-link-desc="Infrastructure as Code 主流工具">Terraform</a>（Connector / IaC 版控）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（Toxic combination → IR routing）、<a href="/blog/backend/05-deployment-platform/" data-link-title="模組五：部署平台與網路入口" data-link-desc="整理 Kubernetes、systemd、load balancer、container 與服務生命週期合約">5 部署平台</a>（cloud account / K8s onboarding）</li>
<li>官方：<a href="https://docs.wiz.io/">Wiz Documentation</a></li>
</ul>
]]></content:encoded></item><item><title>Prisma Cloud</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/prisma-cloud/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/prisma-cloud/</guid><description>&lt;p>Prisma Cloud 是 Palo Alto Networks 旗下的 CNAPP（Cloud-Native Application Protection Platform）、把 &lt;em>runtime workload 防護&lt;/em>（Defender agent）跟 &lt;em>agentless cloud posture&lt;/em> 同一個 Console 整合。它的歷史是多次併購疊起來的 — Twistlock（container security）/ Redlock（CSPM）/ Bridgecrew（IaC scan）/ Aporeto（microsegmentation）— 五個模組各自有獨立的 data model 與 UI 軌跡。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &amp;#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &amp;#43; workload &amp;#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security&lt;/a> 的差異在 &lt;em>是否走 host-level agent + 是否綁 Palo Alto 生態&lt;/em>、功能清單相近。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Prisma Cloud 的核心定位是 &lt;em>agent + agentless 雙軌 CNAPP&lt;/em>、五模組覆蓋 cloud workload 從 IaC 到 runtime 的完整鏈：&lt;em>Compute Security&lt;/em>（前 Twistlock、container / serverless / host workload 的 Defender agent + image scan）、&lt;em>CSPM&lt;/em>（cloud posture、misconfiguration、compliance baseline）、&lt;em>Code Security&lt;/em>（前 Bridgecrew、IaC 與 SCM scan）、&lt;em>Data Security&lt;/em>（DSPM、雲端資料庫與 bucket 敏感資料偵測）、&lt;em>CIEM&lt;/em>（cloud entitlement、跨雲 over-permission 治理）。Defender agent 是 host / pod / Lambda extension 上跑的常駐元件、提供 runtime IDS、file integrity、process anomaly 等 &lt;em>agentless 抓不到的訊號&lt;/em>。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &amp;#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz&lt;/a> 比、Prisma 走 &lt;em>agent + agentless 雙軌&lt;/em>、Wiz 走 &lt;em>agentless-only&lt;/em>。Wiz 用 cloud snapshot scan + control-plane API 抽訊號、部署快、不踩 host；Prisma Defender agent 補上 &lt;em>runtime behavior&lt;/em> 的覆蓋（process spawn pattern、JNDI lookup、anomalous network connect）、代價是要在 host / pod / Lambda 上佈 agent、deployment 複雜度高一個層級。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework&lt;/a> 比、Lacework 用 &lt;em>Polygraph behavior graph&lt;/em> 做 host-level anomaly、focus 在 detection；Prisma 覆蓋面廣（含 IaC + CIEM + DSPM）、但每個模組深度比 Lacework 偵測單點淺一點。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &amp;#43; workload &amp;#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security&lt;/a> 比、CrowdStrike 的 endpoint agent 已在多數 enterprise 環境跑、Cloud Security 直接共用 endpoint plane；Prisma 是 &lt;em>cloud-first CNAPP 加上 agent&lt;/em>、不是 endpoint EDR 延伸。&lt;/p></description><content:encoded><![CDATA[<p>Prisma Cloud 是 Palo Alto Networks 旗下的 CNAPP（Cloud-Native Application Protection Platform）、把 <em>runtime workload 防護</em>（Defender agent）跟 <em>agentless cloud posture</em> 同一個 Console 整合。它的歷史是多次併購疊起來的 — Twistlock（container security）/ Redlock（CSPM）/ Bridgecrew（IaC scan）/ Aporeto（microsegmentation）— 五個模組各自有獨立的 data model 與 UI 軌跡。它跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> / <a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a> / <a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a> 的差異在 <em>是否走 host-level agent + 是否綁 Palo Alto 生態</em>、功能清單相近。</p>
<h2 id="服務定位">服務定位</h2>
<p>Prisma Cloud 的核心定位是 <em>agent + agentless 雙軌 CNAPP</em>、五模組覆蓋 cloud workload 從 IaC 到 runtime 的完整鏈：<em>Compute Security</em>（前 Twistlock、container / serverless / host workload 的 Defender agent + image scan）、<em>CSPM</em>（cloud posture、misconfiguration、compliance baseline）、<em>Code Security</em>（前 Bridgecrew、IaC 與 SCM scan）、<em>Data Security</em>（DSPM、雲端資料庫與 bucket 敏感資料偵測）、<em>CIEM</em>（cloud entitlement、跨雲 over-permission 治理）。Defender agent 是 host / pod / Lambda extension 上跑的常駐元件、提供 runtime IDS、file integrity、process anomaly 等 <em>agentless 抓不到的訊號</em>。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> 比、Prisma 走 <em>agent + agentless 雙軌</em>、Wiz 走 <em>agentless-only</em>。Wiz 用 cloud snapshot scan + control-plane API 抽訊號、部署快、不踩 host；Prisma Defender agent 補上 <em>runtime behavior</em> 的覆蓋（process spawn pattern、JNDI lookup、anomalous network connect）、代價是要在 host / pod / Lambda 上佈 agent、deployment 複雜度高一個層級。跟 <a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a> 比、Lacework 用 <em>Polygraph behavior graph</em> 做 host-level anomaly、focus 在 detection；Prisma 覆蓋面廣（含 IaC + CIEM + DSPM）、但每個模組深度比 Lacework 偵測單點淺一點。跟 <a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a> 比、CrowdStrike 的 endpoint agent 已在多數 enterprise 環境跑、Cloud Security 直接共用 endpoint plane；Prisma 是 <em>cloud-first CNAPP 加上 agent</em>、不是 endpoint EDR 延伸。</p>
<p>關鍵張力：<em>覆蓋面廣度</em> ↔ <em>模組整合成熟度</em> 是 Prisma 客戶最常踩的 trade-off。五模組來自不同收購、UI / API / data model 整合仍在進行中、客戶常遇到「同一個 finding 在 Compute Console 顯示是 critical、在 CSPM 是 medium」、或「Code Security 報的 IaC issue 跟 Runtime 報的實際 config 對不起來」。預算允許就用 Prisma 拿覆蓋面廣度、不允許就走 Wiz（agentless 部署快）或 Lacework（單模組偵測深）。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Prisma Cloud 在 cloud security stack 中承擔哪幾段（Compute / CSPM / Code / Data / CIEM）、哪些跟既有 SIEM / EDR / IdP 重疊或互補</li>
<li>Defender agent 該佈在 host / pod / Lambda 哪幾層、跟 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> / <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> 等 OSS / SaaS image scanner 的分工</li>
<li>Compliance template（PCI / HIPAA / NIST / FedRAMP）跟自家 custom policy 的混用方式、誰能改 policy、誰 review</li>
<li>何時用 Prisma、何時改走 Wiz（agentless-only）/ Lacework（detection-focused）/ Trivy（OSS CLI）/ EDR</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Prisma 部署是否健康、最少看四件事：</p>
<ul>
<li><strong>Defender agent 覆蓋率</strong>：production K8s cluster 的 DaemonSet 是否所有 node 跑、VM workload 的 agent install rate、Lambda function 的 extension 啟用比例；缺一塊就有 runtime 偵測盲點</li>
<li><strong>Console 跟模組一致性</strong>：Compute Console / CSPM dashboard / Code Security finding / CIEM report 同一個 resource 的風險評級是否一致、不一致時誰是 SSoT</li>
<li><strong>Compliance template 對齊</strong>：啟用了哪幾套（PCI-DSS / HIPAA / NIST 800-53 / CIS / FedRAMP / SOC2）、跟內部 baseline 的客製 rule 是否走版控</li>
<li><strong>Alert 跟 SOC handoff</strong>：Prisma alert 是進自家 incident queue 還是 forward 到 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a>、Cortex XSOAR 是否串 playbook</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Defender agent deployment</strong>：agent 三種 footprint — <em>K8s DaemonSet</em>（每個 node 一個、攔截 container syscall + image runtime scan）、<em>VM / host agent</em>（Linux / Windows 安裝、file integrity + process anomaly）、<em>Lambda extension</em>（function runtime 注入、serverless 行為偵測）。Production 通常是 DaemonSet + VM agent 雙軌、Lambda extension 視 serverless workload 規模啟用。deployment 比 Wiz 多一步 — 要走 IaC（Helm chart / Terraform module）管 agent rollout、不能手動裝。</p>
<p><strong>Console 跟 RBAC</strong>：Prisma Cloud Console 是統一入口、但底下 <em>Compute</em>（前 Twistlock UI 殘留）跟 <em>Cloud</em>（CSPM / Code / Data / CIEM）兩個 plane 分開。RBAC 角色設計常踩坑 — Compute 的 collection（host group）跟 Cloud 的 account group 是不同概念、需要分別給權限。</p>
<p><strong>CSPM connector</strong>：CSPM 走 read-only cloud API（AWS Cross-Account Role / GCP Service Account / Azure App Registration）抽 config snapshot、定期 reconcile baseline。連 cloud account 是 onboarding 第一步、跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> / <a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a> 同樣的 pattern、Prisma 的 connector permission template 偏寬、要 review 哪些 API 真用得到。</p>
<p><strong>Code Security（Bridgecrew）</strong>：IaC scan 走 GitHub / GitLab / Bitbucket App、Terraform / CloudFormation / Kubernetes manifest / Dockerfile 在 PR 階段攔截 misconfiguration。Checkov 是 Bridgecrew 開源的底層引擎、Prisma 把 Checkov 規則庫 + 自家 policy 包成 SaaS。對應 <a href="/blog/backend/06-reliability/release-gate/" data-link-title="6.8 Release Gate 與變更節奏" data-link-desc="把驗證、migration、相容性納入放行判準">6.6 release gate</a>、IaC issue 在 PR 階段擋比 runtime 抓便宜兩個量級。</p>
<p><strong>CIEM</strong>：cloud entitlement 治理、跨 AWS IAM / GCP IAM / Azure RBAC 找 over-permission 跟 toxic combination（例如 user 同時有 <code>iam:PassRole</code> + <code>lambda:CreateFunction</code> 可 privilege escalation）。CIEM 報告通常是大量「建議收權限」、實際 remediation 要跟 <a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> owner 排優先序、不是看到全收。</p>
<p><strong>Data Security（DSPM）</strong>：雲端資料庫（RDS / BigQuery / Snowflake）+ object store（S3 / GCS）的 sensitive data discovery、跟 <a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a> 功能重疊。Prisma DSPM 的優勢是跟 CSPM / CIEM 同 Console、可以看「敏感資料所在的 bucket 是否有 public ACL + 哪些 role 可以讀」、是 <em>資料 + 入口 + 身份</em> 同 plane 的關聯。</p>
<p><strong>Runtime Protection（Aporeto microsegmentation）</strong>：Defender agent 提供 process / network level 的 runtime IDS / IPS — JNDI lookup 行為、異常 outbound callback、container escape 嘗試、unsigned binary 執行。比起 image-scan-only 多了 <em>已知 CVE 沒 patch 但 runtime 行為偵測到</em> 的覆蓋層。</p>
<p><strong>跟 Palo Alto 生態整合</strong>：Prisma alert 可直接打到 Palo Alto <em>Cortex XSOAR</em>（SOAR / playbook）/ <em>Cortex XDR</em>（endpoint + cloud unified detection）/ <em>NGFW / SASE</em>（firewall rule 自動 push）。對已是 Palo Alto-heavy 環境是生態一致性增加；對非 Palo Alto 環境、Prisma 也 forward 到 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> 走 webhook / Syslog。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Prisma Cloud</th>
          <th>Wiz</th>
          <th>Lacework</th>
          <th>CrowdStrike Falcon Cloud Security</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>部署模型</td>
          <td>Agent (Defender) + Agentless 雙軌</td>
          <td>Agentless-only（snapshot scan + API）</td>
          <td>Lightweight agent + agentless 雙軌</td>
          <td>沿用 CrowdStrike endpoint agent + agentless</td>
      </tr>
      <tr>
          <td>部署速度</td>
          <td>慢 — agent rollout 走 IaC + RBAC 設定多</td>
          <td>快 — connector 連 cloud account 就開始 scan</td>
          <td>中 — agent 較輕、但仍需安裝</td>
          <td>快（若已用 CrowdStrike）/ 中（新導入）</td>
      </tr>
      <tr>
          <td>Runtime 偵測</td>
          <td>強 — Defender 攔 syscall / network / file IDS</td>
          <td>弱 — runtime behavior 靠 snapshot 對照、延遲高</td>
          <td>強 — Polygraph behavior graph 為核心</td>
          <td>強 — endpoint agent runtime telemetry</td>
      </tr>
      <tr>
          <td>Posture / CSPM</td>
          <td>強 — Redlock 出身、compliance template 最完整</td>
          <td>強 — graph-based blast radius 視覺化最好</td>
          <td>中 — 有 CSPM 但 focus 在 detection</td>
          <td>中 — CSPM 後加入、深度比 Prisma / Wiz 淺</td>
      </tr>
      <tr>
          <td>IaC scan</td>
          <td>強 — Bridgecrew 整合、Checkov 底層</td>
          <td>中 — IaC scan 較新</td>
          <td>弱 — 非主力</td>
          <td>弱 — 非主力</td>
      </tr>
      <tr>
          <td>CIEM</td>
          <td>強 — 五模組原生</td>
          <td>強 — graph-based entitlement analysis</td>
          <td>中</td>
          <td>中</td>
      </tr>
      <tr>
          <td>DSPM</td>
          <td>中 — Data Security 模組</td>
          <td>強 — DSPM 是近年強推</td>
          <td>弱</td>
          <td>弱</td>
      </tr>
      <tr>
          <td>模組整合成熟度</td>
          <td>中 — 五次收購、UI / data model 仍在整合</td>
          <td>強 — single platform 原生設計</td>
          <td>強 — 單一 data model</td>
          <td>中 — endpoint + cloud 整合中</td>
      </tr>
      <tr>
          <td>Compliance 廣度</td>
          <td>強 — PCI / HIPAA / NIST / FedRAMP / SOC2 完整</td>
          <td>中 — 主要 compliance 都有但模板較淺</td>
          <td>中</td>
          <td>中</td>
      </tr>
      <tr>
          <td>生態整合</td>
          <td>強 — Palo Alto NGFW / Cortex XDR / XSOAR 同 plane</td>
          <td>中 — vendor-neutral、走 webhook / API</td>
          <td>中</td>
          <td>強 — CrowdStrike Falcon 生態</td>
      </tr>
      <tr>
          <td>計費複雜度</td>
          <td>高 — module + credit + workload + multi-year</td>
          <td>中 — workload / cloud account 為主</td>
          <td>中</td>
          <td>中</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>Palo Alto-heavy、agent + posture 雙覆蓋、合規重</td>
          <td>Cloud-native、agentless-first、部署速度優先</td>
          <td>Detection-heavy、Polygraph anomaly 為核心</td>
          <td>CrowdStrike-heavy、endpoint + cloud 統一</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>高 — agent + policy + Cortex 整合多</td>
          <td>中 — agentless、移除 connector 就乾淨</td>
          <td>中</td>
          <td>高（若深度整合 CrowdStrike）</td>
      </tr>
  </tbody>
</table>
<p>選 Prisma 的核心訴求：<em>已在 Palo Alto 生態（NGFW / SASE / Cortex XDR / XSOAR）+ 需要 runtime agent + posture 雙覆蓋 + compliance audit heavy（PCI / HIPAA / FedRAMP）</em>、且能承擔模組整合不完美 + 部署複雜度 + multi-year contract。純 agentless 用 Wiz、detection-focused 用 Lacework、純 OSS PR scan 用 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> + <a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a>。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Defender agent rollout 策略</strong>：K8s DaemonSet 用 Helm chart 管 version + tolerations、staging cluster 先跑 1-2 週觀察 syscall overhead 跟 false positive、再 promote 到 production。VM agent 走 Ansible / SCCM / Terraform user-data、image baking 把 agent 包進 golden AMI 比每次 boot 安裝穩。Lambda extension 走 Lambda Layer、只對 high-value function 開（金流 / IdP / secret access）、不是全 function 都包。</p>
<p><strong>Runtime IDS / IPS 模式</strong>：Defender 可設 <em>audit only</em>（只 log、不阻擋）或 <em>prevent</em>（自動 kill process / block network）。production 多數 workload 走 audit、只對 <em>確定無誤報</em> 的 rule 開 prevent（已知 malware hash、明確 CVE exploit pattern）。誤判 prevent 業務 process 比放過 alert 代價高、應該預設 audit + SIEM forward + SOC triage。</p>
<p><strong>Compliance template + Custom policy 混用</strong>：Prisma 提供 PCI-DSS / HIPAA / NIST 800-53 / CIS Benchmark / FedRAMP / SOC2 完整 baseline、可直接啟用。但 baseline 通常太嚴或太寬、實務做法是 <em>fork baseline + 加自家 exception + 加 organization-specific rule</em>、走 Git 版控（policy as code、JSON / YAML）、PR review 後 sync 回 Console。policy 不能 console 直改、否則跟既有 SIEM rule 一樣失去 change history。</p>
<p><strong>Cortex XSOAR / XDR 整合</strong>：Prisma alert → XSOAR playbook 是 Palo Alto 環境的標準路徑、playbook 自動執行 enrichment（拉 threat intel）/ containment（NGFW block / disable IAM user）/ remediation（Terraform PR auto-create）。playbook 要走版控 + dry-run、高影響動作（disable IAM user / delete resource）走 approval gate、不能 fire-and-forget。</p>
<p><strong>計費結構</strong>：Prisma 按 <em>module 選購</em> + 按 <em>credit 消耗</em> + 按 <em>workload count</em> 三層計費、enterprise 通常是 <em>multi-year package</em>（3 年 commit 拿折扣）。實務坑 — 加新 cloud account 沒控管會吃 credit、Code Security 對大 monorepo scan 也吃 credit、Data Security 對大 bucket scan 是高成本項。月底常見的 sticker shock 來自 <em>Defender agent 數量爆衝</em>（K8s auto-scale 把 node count 推高）跟 <em>新 cloud account onboard 沒走 quota 控管</em>。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Defender agent overhead 影響業務 process</strong>：DaemonSet pod 吃 CPU / memory 過高、container syscall hook 拖慢 latency-sensitive workload — 把 <em>runtime rule</em> 從 prevent 改 audit、調 collection scope 排除 latency-critical namespace、向 Palo Alto support 開 ticket 看 agent profile</li>
<li><strong>同一個 finding 模組評級不一致</strong>：Compute Console 顯示 critical、CSPM 顯示 medium — 確認 <em>SSoT 是哪個模組</em>、Compute 是 workload-level、CSPM 是 cloud-config-level、兩者本來就看不同 layer、用 Cortex XSOAR 統一 prioritization 而非靠 Console 對齊</li>
<li><strong>CSPM connector permission 報錯</strong>：Prisma 預設 IAM policy 太寬 / 太窄 — 走 <em>least privilege</em> 版本、跟 <a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> owner 確認哪些 API 真用到、不要照官方 template 全開</li>
<li><strong>Compliance template 一啟用就 1000+ finding</strong>：baseline 太嚴 + 既有環境本來就沒符合 — 走 <em>staged adoption</em>、先選 critical control（IAM / encryption / public exposure）、剩下進 backlog 排期、不要一次全開</li>
<li><strong>Code Security PR scan block 太多</strong>：Bridgecrew rule 對既有 IaC noisy — 用 <em>baseline mode</em>（既有 issue 標記、只 block 新 issue）、給 team 12 週 SLA 清 backlog、不要 day-1 block 全部</li>
<li><strong>CIEM 報告太多 over-permission</strong>：5000+ unused permission 看不完 — 排序看 <em>toxic combination</em>（privilege escalation path）優先、單純 unused 走每季 access review、不一次處理</li>
<li><strong>Cortex XSOAR playbook 誤殺</strong>：自動 disable IAM user 結果關到 CI/CD service account — 高影響動作走 <em>approval gate</em>、playbook default 是 <em>containment</em>（temporary block）not <em>deletion</em></li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>純 agentless / 部署速度優先</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a></td>
      </tr>
      <tr>
          <td>Polygraph behavior detection 為核心</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a></td>
      </tr>
      <tr>
          <td>CrowdStrike-heavy 環境</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a></td>
      </tr>
      <tr>
          <td>純 OSS image / IaC scan</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> / <a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a> / <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a></td>
      </tr>
      <tr>
          <td>DLP / sensitive data 為主</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>SIEM 偵測 / SOC</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a></td>
      </tr>
      <tr>
          <td>入口 WAF</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> / <a href="/blog/backend/07-security-data-protection/vendors/aws-waf/" data-link-title="AWS WAF" data-link-desc="AWS-internal WAF、跟 ALB / CloudFront / API Gateway 直接整合、Web ACL &#43; Managed Rule Group &#43; Rate-based Rule、Shield Standard 內含">AWS WAF</a></td>
      </tr>
      <tr>
          <td>事故 routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Defender agent 完整 syscall hook 清單 / runtime rule 語法 reference</li>
<li>Bridgecrew Checkov 規則庫的逐條解釋 / 自寫 Checkov rule 細節</li>
<li>Palo Alto Cortex XSOAR playbook 的 Python SDK 實作</li>
<li>Prisma SASE / NGFW / Cortex XDR 完整功能（屬 network security / EDR、不在 CNAPP 範圍）</li>
<li>Compliance 法規的逐條解讀（PCI-DSS / HIPAA 法律面）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Prisma 在 07 案例庫沒有直接 vendor-level 事件、但多個 supply chain / edge exposure case 是 Defender runtime + image scan 雙層的對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Prisma 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>Defender agent runtime 可偵測 JNDI lookup 行為、補 SBOM / image scan 看不到的 <em>dynamic class load 在 runtime 才觸發</em> 缺口、跟 <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> image scan 互補</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023 Desktop App Supply Chain</a></td>
          <td>Defender runtime 偵測異常 process spawn + outbound C2 callback、補 image-level scan 對 <em>已簽章但 runtime 行為異常</em> 的缺口、不能只靠 IoC</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>runtime behavior anomaly（DNS beacon + dormant period）優於 IoC-only 規則、配合 image signing 雙層覆蓋、Defender + Code Security 在 build / runtime 雙閘</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/edge-exposure/citrix-bleed-2023-session-hijack/" data-link-title="7.R7.3.3 Citrix Bleed 2023：會話被劫持與重放風險" data-link-desc="邊界設備會話資料外洩後，如何演變成帳號與服務風險">Citrix Bleed 2023 Session Hijack</a></td>
          <td>Defender host-layer 偵測異常 session 動作（不能阻擋上游 edge zero-day、但事後 forensic 跟 lateral movement containment 有用）、補 edge appliance 看不到的 host-side 軌跡</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/supply-chain-integrity-and-artifact-trust/" data-link-title="7.12 供應鏈完整性與 Artifact 信任" data-link-desc="定義 build provenance、artifact 信任與交付鏈風險問題">7.10 供應鏈與第三方信任</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a>、<a href="/blog/backend/07-security-data-protection/vendors/lacework/" data-link-title="Lacework" data-link-desc="CNAPP 走 Polygraph ML behavioral baseline 路線、2024 跟 Fortinet 合併成 FortiCNAPP、自動學 normal、anomaly 自動 alert">Lacework</a>、<a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>（Prisma alert forward）、<a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a>（CIEM remediation 落地）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> / <a href="/blog/backend/07-security-data-protection/vendors/syft-grype/" data-link-title="Syft &#43; Grype" data-link-desc="Anchore 開源姐妹工具：Syft 產 SBOM (CycloneDX / SPDX) &#43; Grype scan 漏洞、Unix philosophy、cosign attestation 整合">Syft / Grype</a>（OSS image scan 互補）、<a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GitHub Advanced Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a>（SCA 互補）</li>
<li>跨模組：<a href="/blog/backend/06-reliability/release-gate/" data-link-title="6.8 Release Gate 與變更節奏" data-link-desc="把驗證、migration、相容性納入放行判準">6.6 release gate</a>（Code Security PR scan）、<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（alert handoff）</li>
<li>官方：<a href="https://docs.prismacloud.io/">Prisma Cloud Documentation</a></li>
</ul>
]]></content:encoded></item><item><title>Lacework</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/lacework/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/lacework/</guid><description>&lt;p>Lacework 是 CNAPP（Cloud-Native Application Protection Platform）走 &lt;em>Polygraph ML behavioral baseline&lt;/em> 路線的代表廠商、2024 年跟 Fortinet 合併、新品牌叫 &lt;em>Fortinet Lacework FortiCNAPP&lt;/em>、但 Lacework 名稱與獨立產品線仍在運作。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &amp;#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &amp;#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &amp;#43; workload &amp;#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security&lt;/a> 的差異在 &lt;em>偵測設計哲學&lt;/em>、覆蓋面相近 — Lacework 的核心競爭力是 Polygraph 自動從 log + process + network + cloud API call 學 baseline、anomaly 自動觸發、不需 SOC 手寫 detection rule。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Lacework 的核心定位是 &lt;em>Polygraph 驅動的 CNAPP&lt;/em>、以 ML 自動學習正常行為作為偵測基礎。產品線涵蓋四個能力面：&lt;em>CSPM&lt;/em>（Cloud Security Posture Management、misconfiguration 與合規 scan）、&lt;em>CWPP&lt;/em>（Cloud Workload Protection Platform、host + container runtime 防護）、&lt;em>Code Security&lt;/em>（IaC scan、container image scan、SAST baseline）、以及貫穿全平台的 &lt;em>Polygraph behavioral baseline engine&lt;/em>。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &amp;#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz&lt;/a> 比、設計哲學是相反的：Wiz 走 &lt;em>Security Graph + Toxic Combination&lt;/em>（你顯式定義「EC2 + RCE + IMDS v1 + cross-account role」是 toxic、graph 找匹配 path）、Lacework 走 &lt;em>Polygraph implicit baseline&lt;/em>（你不定義、ML 從 30 天歷史學 normal、偏離就 alert）。兩種都是 graph、但一個是 rule-driven graph、一個是 behavior-learned graph。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &amp;#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud&lt;/a> 比、Prisma 是 &lt;em>多模組 agent + agentless 寬覆蓋&lt;/em>、Lacework 主打 Polygraph 為單一核心引擎、不靠堆模組廣度競爭。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &amp;#43; workload &amp;#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon CS&lt;/a> 比、Falcon CS 是 &lt;em>endpoint EDR 延伸到 cloud&lt;/em>、Lacework 從第一天就為 cloud-native designed、沒 endpoint EDR 包袱。&lt;/p></description><content:encoded><![CDATA[<p>Lacework 是 CNAPP（Cloud-Native Application Protection Platform）走 <em>Polygraph ML behavioral baseline</em> 路線的代表廠商、2024 年跟 Fortinet 合併、新品牌叫 <em>Fortinet Lacework FortiCNAPP</em>、但 Lacework 名稱與獨立產品線仍在運作。它跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> / <a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a> / <a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a> 的差異在 <em>偵測設計哲學</em>、覆蓋面相近 — Lacework 的核心競爭力是 Polygraph 自動從 log + process + network + cloud API call 學 baseline、anomaly 自動觸發、不需 SOC 手寫 detection rule。</p>
<h2 id="服務定位">服務定位</h2>
<p>Lacework 的核心定位是 <em>Polygraph 驅動的 CNAPP</em>、以 ML 自動學習正常行為作為偵測基礎。產品線涵蓋四個能力面：<em>CSPM</em>（Cloud Security Posture Management、misconfiguration 與合規 scan）、<em>CWPP</em>（Cloud Workload Protection Platform、host + container runtime 防護）、<em>Code Security</em>（IaC scan、container image scan、SAST baseline）、以及貫穿全平台的 <em>Polygraph behavioral baseline engine</em>。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> 比、設計哲學是相反的：Wiz 走 <em>Security Graph + Toxic Combination</em>（你顯式定義「EC2 + RCE + IMDS v1 + cross-account role」是 toxic、graph 找匹配 path）、Lacework 走 <em>Polygraph implicit baseline</em>（你不定義、ML 從 30 天歷史學 normal、偏離就 alert）。兩種都是 graph、但一個是 rule-driven graph、一個是 behavior-learned graph。跟 <a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a> 比、Prisma 是 <em>多模組 agent + agentless 寬覆蓋</em>、Lacework 主打 Polygraph 為單一核心引擎、不靠堆模組廣度競爭。跟 <a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon CS</a> 比、Falcon CS 是 <em>endpoint EDR 延伸到 cloud</em>、Lacework 從第一天就為 cloud-native designed、沒 endpoint EDR 包袱。</p>
<p>關鍵張力：<em>implicit behavioral baseline</em> ↔ <em>explicit auditable rule</em> 是 Lacework 客戶最大的取捨。Polygraph 內部用 ML 學行為、好處是 zero rule maintenance、自動覆蓋未知 attack pattern；代價是內部邏輯不透明、false positive / false negative 都不容易 debug、強合規場景需要 explicit rule 可審計時會卡住。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Lacework 在 cloud security stack 中承擔哪段（CSPM / CWPP / Code Security / behavioral detection）、哪些要外接（<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 等 SIEM 接 alert、<a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 事故處理</a> 接 IR routing）</li>
<li>Polygraph ML baseline 的 ownership 設計（誰調 anomaly threshold、false positive 由誰判讀、ML model retraining cadence 誰負責）</li>
<li><em>implicit baseline</em> vs <em>explicit rule</em> 的取捨何時偏 Lacework、何時要補 Wiz / Prisma 的 explicit rule layer</li>
<li>何時用 Lacework、何時走 Wiz / Prisma Cloud / Falcon CS</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Lacework deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>Polygraph baseline 覆蓋面</strong>：哪些 cloud account / workload / container 進了 Polygraph 學習、baseline window 多長（預設 30 天）、新 workload 進來幾天才視為 baseline 成熟、未覆蓋的 workload 是否走 fallback rule</li>
<li><strong>Anomaly tuning ownership</strong>：誰看 Polygraph alert、false positive 由誰標記、標記後怎麼回饋 model、有沒有 <em>alert backlog grooming</em> lifecycle（不是黑箱 fire-and-forget）</li>
<li><strong>CSPM 跟合規 mapping</strong>：CIS / PCI / SOC 2 / HIPAA framework 哪些開、misconfiguration finding 走 ticket workflow（誰修、deadline）、Compliance report 多久 export 一次給 audit team</li>
<li><strong>跟 SIEM / SOAR handoff</strong>：Polygraph alert 是否同步進 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 給 SOC、是否跟 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 incident response</a> playbook 對接、high severity 是否觸發 SOAR</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Polygraph behavioral baseline</strong>：Lacework 的 first-class concept、從 cloud API call（CloudTrail / Audit Log）+ host process tree + container syscall + network connection 四種 source 同時學習、用 time-series graph 表達「正常情況下 user X 在 workload Y 上會 spawn process Z、連 destination W」。anomaly 是 graph 上不在 baseline 中的 edge、自動 trigger alert。baseline window 預設 30 天、新 workload 進來時用同類 workload 的 baseline 過渡、避免 cold start 全部 alert。</p>
<p><strong>CSPM（misconfiguration + compliance）</strong>：agentless 從 cloud API 拉 resource 設定、對照 CIS Benchmark / PCI / SOC 2 / HIPAA / CSA CCM 等 framework 跑 rule、出 finding。這部分是 <em>explicit rule</em>、不靠 Polygraph、跟 Wiz / Prisma 的 CSPM 能力同等級。Compliance report 可 schedule export 給 audit team。</p>
<p><strong>CWPP（host + container runtime）</strong>：兩種模式 — <em>agentless</em>（從 cloud API + snapshot 掃 vulnerability + misconfiguration、低 overhead 但無 runtime signal）、<em>agent-based</em>（Lacework agent on host / DaemonSet on K8s、提供 process tree + syscall + file integrity monitoring 給 Polygraph）。production runtime detection 必須 agent、不然 Polygraph 沒 process / syscall 資料源。</p>
<p><strong>Code Security（IaC + container image）</strong>：Terraform / CloudFormation / Helm chart 掃 misconfiguration、container image 掃 CVE + secret + SBOM、跟 <a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> / <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a> 同層級。整合 GitHub / GitLab PR check、release gate 前 block 高風險 IaC。</p>
<p><strong>Compliance reporting</strong>：CSPM finding 自動 map 到 framework（CIS AWS / PCI DSS / SOC 2 等）、定期 export PDF / CSV 給 audit team、不需 SOC 手工整理。跨 cloud 帳號 aggregate view 對 multi-account 治理有用。</p>
<p><strong>跟 SIEM 整合</strong>：Polygraph alert 走 webhook / S3 export / Splunk Add-on 進 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a>、做 cross-source correlation。Lacework 不取代 SIEM、是 cloud-native detection 的 <em>upstream signal source</em>。</p>
<p><strong>計費模型</strong>：按 workload count（vCPU 數 / container 數 / cloud account 數）+ 啟用模組。enterprise contract 為主、不公開 list price。跟 Wiz / Prisma 同模型、預算敏感場景需試算。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Lacework</th>
          <th>Wiz</th>
          <th>Prisma Cloud</th>
          <th>CrowdStrike Falcon CS</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>偵測設計哲學</td>
          <td>Polygraph ML implicit baseline</td>
          <td>Security Graph + 顯式 Toxic Combination</td>
          <td>多模組 rule + ML 混合</td>
          <td>EDR 延伸到 cloud、process-centric</td>
      </tr>
      <tr>
          <td>主要訴求</td>
          <td>zero rule maintenance、自動覆蓋未知 attack</td>
          <td>顯式 rule 可審計、cross-asset 關聯路徑清楚</td>
          <td>寬覆蓋、agent + agentless 混合</td>
          <td>endpoint + cloud 同 console、process tree 一致</td>
      </tr>
      <tr>
          <td>Runtime 偵測</td>
          <td>agent (Polygraph syscall + process tree)</td>
          <td>agent (Runtime Sensor、後加)</td>
          <td>agent (Defender)</td>
          <td>強 — 沿用 Falcon EDR agent</td>
      </tr>
      <tr>
          <td>Agentless scan</td>
          <td>強 — CSPM + vulnerability snapshot</td>
          <td>強 — agentless 為 design 起點</td>
          <td>強 — 雙模式並重</td>
          <td>中 — 為 Falcon agent 補位</td>
      </tr>
      <tr>
          <td>合規可審計</td>
          <td>中 — Polygraph 黑箱、CSPM 部分清楚</td>
          <td>強 — 顯式 rule、規則邏輯可審查</td>
          <td>強 — rule-based、模組化清楚</td>
          <td>中</td>
      </tr>
      <tr>
          <td>跟 SIEM 整合</td>
          <td>webhook / Splunk Add-on / S3</td>
          <td>webhook / 多家 SIEM connector</td>
          <td>多家 SIEM connector</td>
          <td>Falcon 自家 NG-SIEM 為主、外接次要</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>cloud-native + 信任 ML、不想自寫 detection rule</td>
          <td>多雲 + 要顯式 rule 治理、需 cross-asset 攻擊路徑</td>
          <td>Palo Alto-heavy 環境、寬覆蓋優先</td>
          <td>CrowdStrike-heavy 環境、endpoint + cloud 統一</td>
      </tr>
      <tr>
          <td>不適合場景</td>
          <td>強合規要 explicit rule 可審計、SOC 要 rule 客製化</td>
          <td>不想自己寫 rule、想 ML 自動覆蓋</td>
          <td>預算敏感（多模組計費容易膨脹）</td>
          <td>沒在用 Falcon EDR、純 cloud-native</td>
      </tr>
      <tr>
          <td>Fortinet 整合</td>
          <td>強（2024+ FortiCNAPP、跟 NGFW / FortiSOAR 整合）</td>
          <td>無 Fortinet 直接整合</td>
          <td>無 Fortinet 直接整合</td>
          <td>無 Fortinet 直接整合</td>
      </tr>
  </tbody>
</table>
<p>選 Lacework 的核心訴求：<em>cloud-native + 信任 ML behavioral baseline + 不想養 detection engineering team 寫 rule</em> + 願意接受 Polygraph 是相對黑箱、false positive 要由 ML retraining 而非 rule edit 解決。強合規要 explicit rule 可審計、或 SOC 要深度 rule 客製化、走 Wiz / Prisma 更合適。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Polygraph internals</strong>：Polygraph 不是單一 ML model、是 time-series behavioral graph + 多個 detection algorithm 組合。node 是 entity（user / workload / process / network endpoint）、edge 是 observed interaction、edge 上掛 frequency + temporal pattern。anomaly detection 用 unsupervised learning（clustering + outlier detection）找 baseline 外的 edge。優點是 <em>zero-day attack pattern 不需事先定義也可能偵測到</em>（行為偏離即可）、缺點是 detection 為何 trigger / 為何沒 trigger 都不易解釋、tuning 不是改 rule、是調整 baseline window 或標記 false positive 回饋 model。</p>
<p><strong>Fortinet FortiCNAPP 整合（2024+）</strong>：Fortinet 收購後加速跟 <em>Fortinet NGFW</em>（network log 進 Polygraph 當 source）、<em>FortiSOAR</em>（Lacework alert 自動觸發 firewall block / endpoint isolation playbook）、<em>FortiSandbox</em>（suspicious file 進 sandbox 再回饋 baseline）整合。Fortinet-heavy 環境吃整合紅利、非 Fortinet 環境 Polygraph 跟原 connector 仍獨立運作。</p>
<p><strong>Anomaly tuning lifecycle</strong>：Polygraph alert 出來不是終點、要走 <em>triage → label false positive → ML model retraining</em> lifecycle。實務上 SOC 看 alert 標 <em>true positive / false positive / benign anomaly</em>（合法但意外）、Lacework 後台用 label 重訓 model、下一個 baseline cycle 調整。組織要決定 <em>誰負責 label</em>（SOC analyst / detection engineer）、<em>backlog grooming cadence</em>（每週 / 每月）、<em>retraining cycle</em>（自動 / 手動觸發）。沒 lifecycle 就是「alert 看一陣子放著」、Polygraph 退化成噪音源。</p>
<p><strong>跨 SIEM webhook / SOAR 整合</strong>：alert 推 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 後、SOC 可用 SIEM correlation 補 cross-source（例如 Polygraph anomaly + Okta MFA fail + GitHub clone spike）、再進 SOAR playbook 自動 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> rotate / <a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> block。Lacework 是 <em>detective layer</em>、SIEM 是 <em>correlation + orchestration layer</em>。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>新 workload 進來大量 alert（cold start）</strong>：baseline 還沒建好、ML 把正常當異常 — 用同類 workload baseline 過渡、給 7-14 天 warm-up 再 enforce alert</li>
<li><strong>Polygraph alert 看不懂為何 trigger</strong>：ML 黑箱本質、不像 explicit rule 可指 line — 看 alert 帶的 <em>involved entities + observed deviation</em>、跨 entity 對 baseline 看差異、必要時補 Wiz / Prisma explicit rule 在強合規場景</li>
<li><strong>False positive 持續多但 model 沒進步</strong>：label lifecycle 沒跑、analyst 把 alert dismiss 沒打 label — 強制走 <em>true positive / false positive / benign anomaly</em> triage、不能直接 close</li>
<li><strong>Agent 沒裝 / 裝不到的 workload</strong>：legacy host / serverless / edge node 沒 agent、Polygraph 只有 cloud API source 沒 process / syscall — 接受 agentless-only 覆蓋面、不要假設 Polygraph 全 stack 看得到</li>
<li><strong>CSPM finding backlog 爆炸</strong>：framework 一次開全、misconfiguration 數千條沒人修 — 分批 enable framework、按 severity + asset criticality 排優先級、走 ticket workflow + deadline</li>
<li><strong>Compliance audit 要 explicit rule 可審查</strong>：Polygraph 內部邏輯不能交給 auditor — CSPM 部分可以審（是 explicit rule）、Polygraph 部分要補 detection engineering 文件 + label history 證明 ML 有治理</li>
<li><strong>Alert 進 SIEM 後沒 correlation</strong>：Lacework alert 跟 IdP / WAF / cloud control plane log 沒在 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 跨 source 串 — 寫 correlation rule 把 Polygraph anomaly 當 <em>one signal</em>、不是當 final verdict</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>顯式 rule + 多雲 cross-asset 路徑</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a></td>
      </tr>
      <tr>
          <td>寬覆蓋 + Palo Alto-heavy</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a></td>
      </tr>
      <tr>
          <td>Endpoint EDR + cloud 統一</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a></td>
      </tr>
      <tr>
          <td>SIEM 主導、CNAPP signal 進 SOC</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></td>
      </tr>
      <tr>
          <td>Container image / IaC scan 為主</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> / <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a></td>
      </tr>
      <tr>
          <td>資料分類 / DLP</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Polygraph ML 演算法的學術細節（unsupervised clustering / graph anomaly detection 具體方法）</li>
<li>FortiCNAPP 跟 Fortinet 其他產品（FortiGate / FortiAnalyzer / FortiSIEM）的 deep integration 設定</li>
<li>Lacework Labs threat research 報告的逐篇解讀</li>
<li>完整 CIS / PCI / SOC 2 framework 對應的 rule 清單</li>
<li>Container runtime 防護的 OS-level 細節（cgroup / namespace / seccomp）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Lacework 在 07 案例庫沒有直接 vendor-level 事件、但多個 case 是 Polygraph behavioral baseline 的對照啟示：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Lacework 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>Polygraph 在 SolarWinds 期間可從 Orion 程序的 DNS callback 行為偏離 baseline 偵測、不靠 IoC list — Lacework marketing 強打的 zero-day 案例</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023 Desktop App Supply Chain</a></td>
          <td>Desktop app process spawn 異常 + unusual outbound 是 Polygraph baseline 可抓的 pattern、補簽章驗證通過後的 runtime 偵測窗口</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>Polygraph 偵測 JNDI lookup 後的 outbound LDAP 連線異常、補 CVE scanner agent rollout 之前的偵測窗口、不依賴事先 CVE 公開</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a></td>
          <td>對照啟示：Polygraph 對 cloud API call pattern 異常（短時間大量 GetObject / 跨 schema query）可 baseline-based 偵測、不需事先寫 query rule</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle (section)</a></td>
          <td>Polygraph 把 detection lifecycle 從「寫 rule → tune → review」改成「baseline → label false positive → retrain」、流程不同但治理責任沒消失</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">Alert Fatigue and Signal Quality (section)</a></td>
          <td>Polygraph 自動 baseline 不等於免 alert fatigue — label lifecycle 跟 retraining cadence 沒做、false positive 一樣會淹 SOC</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a>、<a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a>、<a href="/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/" data-link-title="CrowdStrike Falcon Cloud Security" data-link-desc="CrowdStrike 在 Falcon endpoint EDR 之上的 CNAPP、agent 統一跨 endpoint &#43; workload &#43; container、CrowdStrike Intelligence 內建">CrowdStrike Falcon Cloud Security</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a>（SIEM 接 Polygraph alert）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/snyk/" data-link-title="Snyk" data-link-desc="跨 SCM 多模組 application security platform：Open Source (SCA) &#43; Code (SAST) &#43; Container &#43; IaC &#43; Cloud (CSPM)、Reachability analysis">Snyk</a> / <a href="/blog/backend/07-security-data-protection/vendors/trivy/" data-link-title="Trivy" data-link-desc="Aqua Security 開源 all-in-one scanner：Container / Filesystem / K8s / IaC &#43; Secret &#43; License &#43; SBOM、Apache 2.0、CI 友善">Trivy</a>（Code Security 重疊、CI 階段優先級）、<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（SOAR playbook 拉 API rotate）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（Polygraph alert → IR routing）、<a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a>（log pipeline 共用）</li>
<li>官方：<a href="https://docs.lacework.net/">Lacework Documentation</a> / <a href="https://www.fortinet.com/products/forticnapp">Fortinet Lacework FortiCNAPP</a></li>
</ul>
]]></content:encoded></item><item><title>CrowdStrike Falcon Cloud Security</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/crowdstrike-falcon-cs/</guid><description>&lt;p>CrowdStrike Falcon Cloud Security 是 CrowdStrike 在 Falcon endpoint EDR 平台之上擴張出來的 CNAPP（Cloud-Native Application Protection Platform）產品線。它的核心邏輯是把已經跑在 endpoint 上的 &lt;em>Falcon agent&lt;/em> 同時拿來收 cloud workload / container / Kubernetes node 的 telemetry、再把 CrowdStrike Intelligence 的 threat actor profile 直接餵進 detection rule。對已是 CrowdStrike endpoint 客戶來說、邊際 onboarding cost 接近 0；對非 CrowdStrike 環境、選它的訴求應該是 &lt;em>threat intel + EDR 同 console&lt;/em> 而不是 CSPM 本身。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Falcon Cloud Security 的定位是 &lt;em>agent-first 的 CNAPP&lt;/em>、設計重心在「endpoint EDR agent 順便收 cloud workload 訊號」這條路徑、agentless CSPM 是補位、不是主軸。產品線靠多次收購整合：&lt;em>Bionic&lt;/em>（2023 收購、現為 Falcon ASPM、application security posture management）負責 application architecture + runtime risk map；&lt;em>Flow Security&lt;/em>（2024 收購、現為 Falcon Data Protection / DSPM）負責 sensitive data 發現與 access path；endpoint / workload / container runtime 偵測由 Falcon agent 自家補。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &amp;#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz&lt;/a> 比、Falcon CS 走 &lt;em>agent-first + EDR 整合&lt;/em>、Wiz 走 &lt;em>agentless-first + cloud workload graph&lt;/em>。已部署 Falcon endpoint 的客戶上 Falcon CS 邊際成本 0；純 cloud-native 沒 endpoint workload 的環境、Falcon 的 agent 紅利不存在、Wiz 更快出價值。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &amp;#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud&lt;/a> 比、兩者都走 agent + agentless 雙軌、Prisma 強項是 &lt;em>compliance pack 跟 IaC scanning 模板&lt;/em>、Falcon 強項是 &lt;em>CrowdStrike Intelligence threat actor profile + Counter Adversary Operations 提供的 hunting 服務&lt;/em>。跟 Lacework 比、Lacework 走 &lt;em>behavioral baseline / anomaly detection&lt;/em>、Falcon 走 &lt;em>signature + threat intel&lt;/em>、兩種偵測哲學。&lt;/p></description><content:encoded><![CDATA[<p>CrowdStrike Falcon Cloud Security 是 CrowdStrike 在 Falcon endpoint EDR 平台之上擴張出來的 CNAPP（Cloud-Native Application Protection Platform）產品線。它的核心邏輯是把已經跑在 endpoint 上的 <em>Falcon agent</em> 同時拿來收 cloud workload / container / Kubernetes node 的 telemetry、再把 CrowdStrike Intelligence 的 threat actor profile 直接餵進 detection rule。對已是 CrowdStrike endpoint 客戶來說、邊際 onboarding cost 接近 0；對非 CrowdStrike 環境、選它的訴求應該是 <em>threat intel + EDR 同 console</em> 而不是 CSPM 本身。</p>
<h2 id="服務定位">服務定位</h2>
<p>Falcon Cloud Security 的定位是 <em>agent-first 的 CNAPP</em>、設計重心在「endpoint EDR agent 順便收 cloud workload 訊號」這條路徑、agentless CSPM 是補位、不是主軸。產品線靠多次收購整合：<em>Bionic</em>（2023 收購、現為 Falcon ASPM、application security posture management）負責 application architecture + runtime risk map；<em>Flow Security</em>（2024 收購、現為 Falcon Data Protection / DSPM）負責 sensitive data 發現與 access path；endpoint / workload / container runtime 偵測由 Falcon agent 自家補。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> 比、Falcon CS 走 <em>agent-first + EDR 整合</em>、Wiz 走 <em>agentless-first + cloud workload graph</em>。已部署 Falcon endpoint 的客戶上 Falcon CS 邊際成本 0；純 cloud-native 沒 endpoint workload 的環境、Falcon 的 agent 紅利不存在、Wiz 更快出價值。跟 <a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a> 比、兩者都走 agent + agentless 雙軌、Prisma 強項是 <em>compliance pack 跟 IaC scanning 模板</em>、Falcon 強項是 <em>CrowdStrike Intelligence threat actor profile + Counter Adversary Operations 提供的 hunting 服務</em>。跟 Lacework 比、Lacework 走 <em>behavioral baseline / anomaly detection</em>、Falcon 走 <em>signature + threat intel</em>、兩種偵測哲學。</p>
<p>關鍵張力：<em>agent 是 single point of compromise</em> 是 Falcon agent-first 路線的長期信任成本。2024-07 Falcon sensor 推 bad content update 導致全球 Windows host BSOD 的事件、把 <em>kernel-level agent 一改全炸</em> 的風險具象化、對 agent-first vendor 是長期教訓。選 Falcon CS 等於買 agent 在 host kernel 的存取權、要把 <em>agent 自身的供應鏈</em> 當成風險來源納入評估。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Falcon Cloud Security 在 cloud security stack 中承擔哪一段（CSPM / CWPP / CIEM / ASPM / DSPM）、哪些靠 Falcon agent、哪些靠 agentless connector</li>
<li>已有 CrowdStrike endpoint 跟沒有 CrowdStrike endpoint 兩種起點下、Falcon CS 的判讀是否一樣</li>
<li>CrowdStrike Intelligence 跟 Counter Adversary Operations 在 detection lifecycle 的位置</li>
<li>何時用 Falcon CS、何時走 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> / <a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a> / Lacework 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Falcon Cloud Security deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>Agent coverage 跟版本治理</strong>：哪些 host / workload / container 跑 Falcon agent、是否跨 endpoint + cloud workload + Kubernetes node 一致、agent version 跟 sensor content channel 是否走 staging tenant + canary rollout（2024-07 incident 後的硬性要求）</li>
<li><strong>Agentless connector 覆蓋</strong>：CSPM 連到哪些 cloud account（AWS / GCP / Azure / OCI）、CIEM 是否拉 IAM identity graph、ASPM 連到哪些 application code repo</li>
<li><strong>Threat intel 是否接進 detection lifecycle</strong>：CrowdStrike Intelligence 的 IoC / threat actor TTP 是否餵進 Falcon detection rule、Counter Adversary Operations（MDR / threat hunting 服務）是否訂閱</li>
<li><strong>跟 Falcon EDR 同 console / IR handoff</strong>：cloud finding 跟 endpoint finding 是否在同一個 Incident view、SOC team 跟 cloud team 的 routing 是否定義、跟 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 incident response</a> 是否對齊</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Falcon agent 統一</strong>：endpoint EDR 用的 Falcon sensor 同時收 cloud workload 上的 process / file / network telemetry、不需要再裝第二支 agent。對已用 Falcon endpoint 的組織意義最大 — VM / container host 上裝 Falcon 就同時是 EDR + CWPP + container runtime detection。新環境要評估 <em>agent 的 kernel 存取權</em> 是否可接受、container 內是否能或需要部署 agent（Falcon Container Sensor 走 sidecar / DaemonSet）。</p>
<p><strong>CSPM</strong>：agentless 連 cloud account（AWS / GCP / Azure / OCI）、掃 misconfiguration（public S3 / over-privileged role / unencrypted disk）、對照 CIS Benchmark / NIST / PCI 模板。CSPM 是 <em>配置面</em> 訊號、補 agent 看不到的 cloud control plane 行為（例如 IAM policy change、S3 bucket policy 改變）。</p>
<p><strong>CWPP — workload + container + Kubernetes</strong>：Falcon agent 在 VM host / container host / Kubernetes node 上做 runtime detection、看 process spawn、file integrity、network connection、container escape attempt。比 agentless snapshot scan 強的是 <em>runtime behavior</em>（看到實際發生的 process tree），比 Wiz agentless 弱的是 <em>初始 coverage 速度</em>（要先部署 agent）。</p>
<p><strong>CIEM</strong>：把 cloud IAM identity 跟 access 畫成 graph、識別 over-privileged role / unused permission / cross-account trust risk。跟 <a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> Access Analyzer / <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> Policy Intelligence 是補位、不是替代 — CIEM 給的是 <em>跨雲 + 跨 identity provider</em> 的 risk view。</p>
<p><strong>ASPM（前 Bionic）</strong>：application security posture management、把 application architecture（service graph / data flow / external dependency / vulnerability）畫成 map、識別哪個 vulnerability 真的可達 production attack surface。跟 Wiz Code / Snyk 的訴求重疊、但 Bionic 強項是 <em>runtime + architecture</em> 而不是 pure SAST/SCA。導入需要拉 application telemetry、不是裝完就有結果。</p>
<p><strong>DSPM（前 Flow Security）</strong>：data security posture management、掃 cloud storage / database / SaaS 裡的 sensitive data 位置、誰能存取、access path 是什麼。跟 <a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a> 不同層 — DSPM 是 <em>posture 層</em>（who can access what）、DLP 是 <em>runtime 層</em>（actual data egress event）、兩者互補。</p>
<p><strong>CrowdStrike Intelligence 整合</strong>：CrowdStrike Intelligence 是 CrowdStrike 自家的 threat intel team、定期發 threat actor profile（COZY BEAR / FANCY BEAR / Scattered Spider 等命名來自 CrowdStrike）、IoC、TTP。Falcon CS detection rule 直接吃這層、不用 SOC team 自己訂閱外部 threat feed。這是 Falcon CS 跟 <em>純 CNAPP 競品</em>（Wiz / Prisma）最大差異 — 競品要再買 Mandiant / Recorded Future 才能補。</p>
<p><strong>Charlotte AI</strong>：CrowdStrike 的 LLM-assisted investigation 介面、SOC analyst 用自然語言問 incident（「過去 24hr 有哪些 process 是 first-seen across fleet」）、Charlotte 翻成 Falcon query 跑。屬 SOC productivity 補位、不是 detection logic 本身。</p>
<p><strong>跟 Falcon LogScale / Identity Protection 同 plane</strong>：完整 CrowdStrike stack 客戶可以把 Falcon LogScale（前 Humio 收購、SIEM）+ Falcon Identity Protection（identity threat detection）跟 Falcon CS 整合在同一個 console。Single pane of glass 強、但 vendor lock-in 也最深、退場成本是業界最高。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>CrowdStrike Falcon CS</th>
          <th>Wiz</th>
          <th>Prisma Cloud</th>
          <th>Lacework</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Agent 策略</td>
          <td>Agent-first（Falcon sensor）+ agentless 補位</td>
          <td>Agentless-first（snapshot scan）+ runtime sensor</td>
          <td>Agent + agentless 雙軌（Defender agent）</td>
          <td>Agent-based（Lacework agent + Polygraph）</td>
      </tr>
      <tr>
          <td>強項</td>
          <td>EDR 整合、threat intel、Counter Adversary Ops</td>
          <td>Cloud workload graph、快速 onboarding、無 agent</td>
          <td>Compliance pack、IaC scanning、廣覆蓋</td>
          <td>Behavioral baseline、anomaly detection</td>
      </tr>
      <tr>
          <td>Threat intel</td>
          <td>CrowdStrike Intelligence 內建</td>
          <td>外部 feed integration</td>
          <td>Unit 42 threat intel 內建</td>
          <td>外部 feed integration</td>
      </tr>
      <tr>
          <td>ASPM / app layer</td>
          <td>Falcon ASPM（前 Bionic、runtime + architecture）</td>
          <td>Wiz Code（SAST / SCA / IaC）</td>
          <td>Prisma Code Security（前 Bridgecrew）</td>
          <td>有限</td>
      </tr>
      <tr>
          <td>DSPM</td>
          <td>Falcon Data Protection（前 Flow Security）</td>
          <td>Wiz DSPM</td>
          <td>Data Security Posture Management</td>
          <td>有限</td>
      </tr>
      <tr>
          <td>MDR / hunting</td>
          <td>Counter Adversary Operations（業界先驅）</td>
          <td>無 first-party MDR</td>
          <td>Cortex MDR（Palo Alto）</td>
          <td>有限</td>
      </tr>
      <tr>
          <td>跟 EDR 同 console</td>
          <td>內建（Falcon EDR / Identity Protection / LogScale）</td>
          <td>需外接</td>
          <td>Cortex XDR（同 Palo Alto stack）</td>
          <td>需外接</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>已用 Falcon endpoint、看重 threat intel + MDR</td>
          <td>Cloud-native、無 endpoint workload、要快</td>
          <td>Palo Alto stack 客戶、compliance-heavy 產業</td>
          <td>中等規模、behavioral detection 為主</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>最高（agent + console + threat intel + MDR 綁定）</td>
          <td>中（agentless 退出較快）</td>
          <td>高（Palo Alto stack 整合深）</td>
          <td>中</td>
      </tr>
  </tbody>
</table>
<p>選 Falcon CS 的核心訴求：<em>已是 CrowdStrike endpoint 客戶 / SOC team 已熟 Falcon console + 看重 CrowdStrike Intelligence threat intel + 願意接受 agent-first 的供應鏈風險</em>。純 cloud-only 沒 endpoint workload、agent 紅利不存在、走 <a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a> 更划算。非 CrowdStrike 環境想要 compliance + IaC、走 <a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a>。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Counter Adversary Operations（MDR + threat hunting）</strong>：CrowdStrike 的 managed detection and response 服務、24x7 SOC team + threat hunter 主動掃客戶環境裡的 adversary 跡象。跟一般 MDR 不同的是、它直接接 CrowdStrike Intelligence 的 threat actor profile、看到 TTP 匹配就主動 hunt 而不是等 alert。對 SOC team 規模有限但要面對 nation-state actor 的組織、是補 SOC capability 的快路。</p>
<p><strong>CrowdStrike Intelligence threat actor profile</strong>：CrowdStrike 把 threat actor 用命名規則（BEAR = Russian state、PANDA = Chinese state、KITTEN = Iranian state、SPIDER = eCrime）+ 編號管理、每個 actor 有 TTP、tooling、target sector 的 profile。Detection rule 不再只看 IoC（hash / IP）而是看 <em>actor 的 behavioral pattern</em>、IoC 變了也能抓。配對 <a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Microsoft Storm-0558 Signing Key Chain</a> 的 nation-state actor lesson。</p>
<p><strong>Falcon LogScale 整合</strong>：Falcon LogScale（前 Humio）是 CrowdStrike 自家的 SIEM、可以把 Falcon agent telemetry + cloud log + 自家 app log 全收。跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 比、LogScale 強在 <em>跟 Falcon detection 同 plane</em>、計費也不是 ingestion-based；弱在 <em>detection content 跟 ecosystem 比 Splunk 淺</em>。</p>
<p><strong>Charlotte AI + LLM-assisted investigation</strong>：SOC analyst triage 時間長是普遍痛點、Charlotte AI 用 LLM 把自然語言問題翻成 Falcon query、補出 incident timeline summary。屬 SOC productivity 工具、不取代 detection rule、也不取代 analyst judgement。</p>
<p><strong>Falcon Identity Protection 補位</strong>：identity-layer threat detection（pass-the-hash、Kerberoasting、AD enumeration）、跟 <a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> ITDR 訊號互補。完整 stack 客戶可把 endpoint + cloud + identity 三層 telemetry 一起 correlate。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Agent rollout 一改全炸</strong>：sensor content channel 沒有 staging tenant、prod 直接吃 vendor push 的 update — 2024-07 incident 後 CrowdStrike 推 Sensor Update Policy 允許客戶設 canary ring、所有 prod 都該開、不開等於把 fleet 命交給 vendor QA</li>
<li><strong>Cloud workload coverage 不全 / 偵測盲點</strong>：只有部分 VM 部署 Falcon agent、container / Kubernetes 沒覆蓋 — 補 Falcon Container Sensor（DaemonSet）+ CSPM agentless 連 cloud account 補配置面</li>
<li><strong>Threat intel 沒接進 detection lifecycle</strong>：訂了 CrowdStrike Intelligence 但 SOC team 沒把 actor TTP 對應到自家 detection rule — 走 <a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a>、定期 review intel report + rule coverage gap</li>
<li><strong>CIEM finding 太多 / SOC 看不完</strong>：cloud IAM 累積 over-permission 沒清、CIEM 一掃幾千條 finding — 走 risk prioritization（哪些 identity 真的可達 sensitive resource）+ 跟 <a href="/blog/backend/07-security-data-protection/identity-access-boundary/" data-link-title="7.2 身分與授權邊界" data-link-desc="以問題驅動方式整理身分、授權、會話與供應商身分鏈">Cloud IAM</a> ownership 對齊、不是 dump 給 SOC</li>
<li><strong>ASPM 拉不出 application graph</strong>：Bionic 需要 application telemetry + repo integration、只裝 Falcon agent 不會有 application architecture map — 補 ASPM 的 application onboarding（repo / CI / runtime telemetry）</li>
<li><strong>DSPM 找到 sensitive data 但沒 follow-up</strong>：DSPM 是 <em>posture 層</em>、發現問題後要走 <a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">Data Classification</a> lifecycle、不是只把 finding 丟到 dashboard</li>
<li><strong>Vendor lock-in 過深、退場時 SOC 工作流崩潰</strong>：所有 detection content / IR playbook / Charlotte query / LogScale dashboard 都綁 Falcon — 關鍵 detection rule 同步 export 成 Sigma format（中性 format）、IR playbook 寫成 vendor-neutral 文件、不全押在 Falcon console</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Cloud-native / 無 endpoint workload</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a></td>
      </tr>
      <tr>
          <td>Palo Alto stack + compliance-heavy</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a></td>
      </tr>
      <tr>
          <td>Behavioral baseline / anomaly 為主</td>
          <td>Lacework</td>
      </tr>
      <tr>
          <td>Runtime container syscall 深度偵測</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/" data-link-title="資安與資料保護 Vendor 清單" data-link-desc="規劃身份、秘密、金鑰、入口防護、供應鏈與偵測工具的服務頁撰寫順序與教學大綱">Falco</a> / Cilium Tetragon</td>
      </tr>
      <tr>
          <td>DLP / sensitive data egress event</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>純 SIEM / log aggregation</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a></td>
      </tr>
      <tr>
          <td>Incident response routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>Falcon agent 內部 architecture（kernel module / sensor content channel 細節）</li>
<li>CrowdStrike Intelligence 完整 threat actor 名單與 TTP reference</li>
<li>Falcon LogScale 完整 SIEM 操作（屬獨立 SIEM 章節範圍、跟 Splunk 對照）</li>
<li>2024-07 Falcon update incident 的完整 root cause（屬 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 incident response</a> 範圍）</li>
<li>Falcon Identity Protection 的 AD-specific detection rule（屬 identity-access 範圍）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Falcon Cloud Security 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>CrowdStrike 是 SolarWinds incident response 主導 vendor、Falcon endpoint + CrowdStrike Intelligence 整合在事件期間是強項、agent + threat intel 同 plane 的價值具象案例</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/3cx-2023-desktopapp-supply-chain/" data-link-title="7.R7.2.8 3CX 2023：桌面軟體更新鏈攻擊" data-link-desc="合法更新流程被植入後，桌面端供應鏈事件如何傳到企業端點">3CX 2023 Desktop App Supply Chain</a></td>
          <td>CrowdStrike 公開 attribution（指向 LABYRINTH CHOLLIMA）與 detection、Falcon agent runtime 偵測異常 process spawn、signed binary 也要看 behavior</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/log4shell-cve-2021-44228-component-chain/" data-link-title="7.R7.2.7 Log4Shell 2021：共用元件風險與修補鏈" data-link-desc="共用元件漏洞如何同步影響多服務，並迫使團隊建立依賴治理 workflow">Log4Shell CVE-2021-44228</a></td>
          <td>Falcon agent runtime 偵測 JNDI lookup process tree、CrowdStrike Intelligence push IoC + TTP、漏洞披露 → fleet-wide detection deployment 是時間競賽</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Microsoft Storm-0558 Signing Key Chain</a></td>
          <td>對照啟示：endpoint agent vendor 自己也是 supply chain target、2024-07 Falcon bad sensor update 全球 Windows BSOD 是這個 risk 的具體表現、agent-first 路線的長期信任成本</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">7.12 雲端控制面安全與 CNAPP</a>、<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/wiz/" data-link-title="Wiz" data-link-desc="Agentless CNAPP、Security Graph &#43; Toxic Combination 風險優先級、API-only scan 不需 workload agent">Wiz</a>、<a href="/blog/backend/07-security-data-protection/vendors/prisma-cloud/" data-link-title="Prisma Cloud" data-link-desc="Palo Alto CNAPP、agent (Defender) &#43; agentless 雙軌、五模組（Compute / CSPM / Code / Data / CIEM）、Compliance template 強">Prisma Cloud</a>、Lacework</li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-security-operations/" data-link-title="Google Security Operations" data-link-desc="Google 雲原生 SIEM &#43; SOAR &#43; Mandiant threat intel 三合一（前 Chronicle）、UDM &#43; YARA-L、fixed-price by data tier、PB-scale 友善">Google Security Operations</a>（SIEM 對照）、<a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a>（DLP 補位）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/aws-iam/" data-link-title="AWS IAM" data-link-desc="AWS cloud resource permission engine、Role / Policy / STS、跨帳號信任邊界與 OIDC federation 的核心">AWS IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a>（CIEM 訊號來源）、<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>（identity threat 對照）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（cloud finding → IR routing）、<a href="/blog/backend/06-reliability/" data-link-title="模組六：可靠性驗證流程" data-link-desc="用 SRE 領域詞彙建問題節點、以服務級案例庫累積驗證脈絡，先建概念與案例庫再進實作交接">6.4 release gate</a>（ASPM finding → release gate）</li>
<li>官方：<a href="https://www.crowdstrike.com/platform/cloud-security/">CrowdStrike Falcon Cloud Security</a></li>
</ul>
]]></content:encoded></item></channel></rss>