<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Defense on Tarragon</title><link>https://tarrragon.github.io/blog/tags/defense/</link><description>Recent content in Defense on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 30 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/defense/index.xml" rel="self" type="application/rss+xml"/><item><title>7.B 防守者視角（藍隊）與控制面驗證</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/</guid><description>&lt;p>藍隊子分類的核心目標是建立防守判讀與控制面驗證路徑。這裡的藍隊定位為防守者視角的工程交接層，負責回答要防什麼、看什麼訊號、誰接手、如何驗證與如何回寫。&lt;/p>
&lt;h2 id="判讀分類">判讀分類&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>分類&lt;/th>
 &lt;th>內容方向&lt;/th>
 &lt;th>承接章節&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Defense control map&lt;/td>
 &lt;td>身份、入口、資料、供應鏈、偵測與治理控制面&lt;/td>
 &lt;td>&lt;code>7.B1&lt;/code> + &lt;code>7.8&lt;/code>&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Detection routing&lt;/td>
 &lt;td>signal、threshold、triage、severity、escalation&lt;/td>
 &lt;td>&lt;code>7.B2&lt;/code> + &lt;code>7.13&lt;/code>&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Control validation&lt;/td>
 &lt;td>release gate、evidence chain、rollback、correctness&lt;/td>
 &lt;td>&lt;code>7.B3&lt;/code> + &lt;code>05/06&lt;/code>&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Tabletop and game day&lt;/td>
 &lt;td>scenario、role、decision route、exercise write-back&lt;/td>
 &lt;td>&lt;code>7.B4&lt;/code> + &lt;code>7.19&lt;/code>&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Incident handoff&lt;/td>
 &lt;td>owner、runbook、communication、post-incident review&lt;/td>
 &lt;td>&lt;code>7.B2&lt;/code> + &lt;code>08&lt;/code>&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Materials&lt;/td>
 &lt;td>professional sources、field cases、scenarios、patterns&lt;/td>
 &lt;td>&lt;code>7.BM&lt;/code> + &lt;code>7.B1-7.B4&lt;/code>&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="選型入口">選型入口&lt;/h2>
&lt;p>藍隊分析優先問「防守者如何讓風險被看見並被收斂」。當一個風險已經能被 red-team problem card 描述，下一步就是把它轉成控制面、訊號、驗證條件與回寫位置。&lt;/p>
&lt;h2 id="與安全主模組的關係">與安全主模組的關係&lt;/h2>
&lt;p>本子分類與資安主模組形成防守操作視角。資安主模組定義問題節點與路由規則，藍隊子分類負責把這些節點整理成防守判讀、控制面驗證與演練材料。&lt;/p>
&lt;h2 id="與紅隊子分類的關係">與紅隊子分類的關係&lt;/h2>
&lt;p>藍隊與紅隊共用同一批風險語言。紅隊從攻擊路徑確認弱點，藍隊從防守流程確認控制面是否能偵測、升級、驗證與回寫。&lt;/p>
&lt;h2 id="章節列表">章節列表&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>章節&lt;/th>
 &lt;th>主題&lt;/th>
 &lt;th>目標&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/defense-control-map/" data-link-title="7.B1 防守控制面地圖" data-link-desc="建立防守控制面如何對應身份、入口、資料、供應鏈、偵測與治理問題的大綱">7.B1&lt;/a>&lt;/td>
 &lt;td>防守控制面地圖&lt;/td>
 &lt;td>把 7.x 風險判讀轉成控制面與 owner&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2&lt;/a>&lt;/td>
 &lt;td>偵測到回應的路由&lt;/td>
 &lt;td>把 signal 轉成 triage、severity 與升級流程&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3&lt;/a>&lt;/td>
 &lt;td>資安控制驗證&lt;/td>
 &lt;td>定義控制面如何用 evidence 與演練驗證&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4&lt;/a>&lt;/td>
 &lt;td>Tabletop 與 Game Day&lt;/td>
 &lt;td>把 problem card 轉成演練與回寫任務&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5&lt;/a>&lt;/td>
 &lt;td>Detection Lifecycle&lt;/td>
 &lt;td>把偵測規則變成可維護資產與交接流程&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6&lt;/a>&lt;/td>
 &lt;td>Incident Triage Loop&lt;/td>
 &lt;td>把訊號轉成分級、接手、處置與證據循環&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7&lt;/a>&lt;/td>
 &lt;td>Threat-Informed Validation&lt;/td>
 &lt;td>用威脅導向方式驗證控制面與偵測能力&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/defensive-vocabulary-map/" data-link-title="7.B8 Defensive Vocabulary Map" data-link-desc="用防守技術詞彙地圖統一控制面、偵測規則與服務交接語言">7.B8&lt;/a>&lt;/td>
 &lt;td>Defensive Vocabulary Map&lt;/td>
 &lt;td>用防守詞彙統一控制面、規則與交接語言&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/blue-team-scenario-library/" data-link-title="7.B9 Blue Team Scenario Library" data-link-desc="把高風險服務情境轉成可重用推演素材，支援 tabletop 與 game day 設計">7.B9&lt;/a>&lt;/td>
 &lt;td>Scenario Library&lt;/td>
 &lt;td>把高風險情境轉成可重播演練素材&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">7.B10&lt;/a>&lt;/td>
 &lt;td>Alert Fatigue&lt;/td>
 &lt;td>建立訊號品質治理與調校策略&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/vulnerability-response-state-machine/" data-link-title="7.B11 Vulnerability Response State Machine" data-link-desc="把漏洞回應拆成狀態機，建立 observed 到 closed 的可交接流程">7.B11&lt;/a>&lt;/td>
 &lt;td>Vulnerability State Machine&lt;/td>
 &lt;td>把漏洞回應拆成可交接狀態機&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/defender-pressure-from-real-incidents/" data-link-title="7.B12 Defender Pressure From Real Incidents" data-link-desc="從真實事故抽出防守壓力模型，補強藍隊判讀、演練與交接設計">7.B12&lt;/a>&lt;/td>
 &lt;td>Defender Pressure&lt;/td>
 &lt;td>從真實事故抽出防守壓力模型與回寫路由&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/" data-link-title="7.BM 藍隊素材庫" data-link-desc="整理藍隊專業來源、真實案例、推演情境與控制模式，支援防守章節的大規模延伸">7.BM&lt;/a>&lt;/td>
 &lt;td>藍隊素材庫&lt;/td>
 &lt;td>整理專業來源、現場案例、推演情境與控制模式&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>本子分類會先建立防守判讀順序與控制面驗證語言，再交接到部署、可靠性與事故流程的實作章節。&lt;/p></description><content:encoded><![CDATA[<p>藍隊子分類的核心目標是建立防守判讀與控制面驗證路徑。這裡的藍隊定位為防守者視角的工程交接層，負責回答要防什麼、看什麼訊號、誰接手、如何驗證與如何回寫。</p>
<h2 id="判讀分類">判讀分類</h2>
<table>
  <thead>
      <tr>
          <th>分類</th>
          <th>內容方向</th>
          <th>承接章節</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Defense control map</td>
          <td>身份、入口、資料、供應鏈、偵測與治理控制面</td>
          <td><code>7.B1</code> + <code>7.8</code></td>
      </tr>
      <tr>
          <td>Detection routing</td>
          <td>signal、threshold、triage、severity、escalation</td>
          <td><code>7.B2</code> + <code>7.13</code></td>
      </tr>
      <tr>
          <td>Control validation</td>
          <td>release gate、evidence chain、rollback、correctness</td>
          <td><code>7.B3</code> + <code>05/06</code></td>
      </tr>
      <tr>
          <td>Tabletop and game day</td>
          <td>scenario、role、decision route、exercise write-back</td>
          <td><code>7.B4</code> + <code>7.19</code></td>
      </tr>
      <tr>
          <td>Incident handoff</td>
          <td>owner、runbook、communication、post-incident review</td>
          <td><code>7.B2</code> + <code>08</code></td>
      </tr>
      <tr>
          <td>Materials</td>
          <td>professional sources、field cases、scenarios、patterns</td>
          <td><code>7.BM</code> + <code>7.B1-7.B4</code></td>
      </tr>
  </tbody>
</table>
<h2 id="選型入口">選型入口</h2>
<p>藍隊分析優先問「防守者如何讓風險被看見並被收斂」。當一個風險已經能被 red-team problem card 描述，下一步就是把它轉成控制面、訊號、驗證條件與回寫位置。</p>
<h2 id="與安全主模組的關係">與安全主模組的關係</h2>
<p>本子分類與資安主模組形成防守操作視角。資安主模組定義問題節點與路由規則，藍隊子分類負責把這些節點整理成防守判讀、控制面驗證與演練材料。</p>
<h2 id="與紅隊子分類的關係">與紅隊子分類的關係</h2>
<p>藍隊與紅隊共用同一批風險語言。紅隊從攻擊路徑確認弱點，藍隊從防守流程確認控制面是否能偵測、升級、驗證與回寫。</p>
<h2 id="章節列表">章節列表</h2>
<table>
  <thead>
      <tr>
          <th>章節</th>
          <th>主題</th>
          <th>目標</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/defense-control-map/" data-link-title="7.B1 防守控制面地圖" data-link-desc="建立防守控制面如何對應身份、入口、資料、供應鏈、偵測與治理問題的大綱">7.B1</a></td>
          <td>防守控制面地圖</td>
          <td>把 7.x 風險判讀轉成控制面與 owner</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2</a></td>
          <td>偵測到回應的路由</td>
          <td>把 signal 轉成 triage、severity 與升級流程</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3</a></td>
          <td>資安控制驗證</td>
          <td>定義控制面如何用 evidence 與演練驗證</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4</a></td>
          <td>Tabletop 與 Game Day</td>
          <td>把 problem card 轉成演練與回寫任務</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5</a></td>
          <td>Detection Lifecycle</td>
          <td>把偵測規則變成可維護資產與交接流程</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6</a></td>
          <td>Incident Triage Loop</td>
          <td>把訊號轉成分級、接手、處置與證據循環</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7</a></td>
          <td>Threat-Informed Validation</td>
          <td>用威脅導向方式驗證控制面與偵測能力</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/defensive-vocabulary-map/" data-link-title="7.B8 Defensive Vocabulary Map" data-link-desc="用防守技術詞彙地圖統一控制面、偵測規則與服務交接語言">7.B8</a></td>
          <td>Defensive Vocabulary Map</td>
          <td>用防守詞彙統一控制面、規則與交接語言</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/blue-team-scenario-library/" data-link-title="7.B9 Blue Team Scenario Library" data-link-desc="把高風險服務情境轉成可重用推演素材，支援 tabletop 與 game day 設計">7.B9</a></td>
          <td>Scenario Library</td>
          <td>把高風險情境轉成可重播演練素材</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">7.B10</a></td>
          <td>Alert Fatigue</td>
          <td>建立訊號品質治理與調校策略</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/vulnerability-response-state-machine/" data-link-title="7.B11 Vulnerability Response State Machine" data-link-desc="把漏洞回應拆成狀態機，建立 observed 到 closed 的可交接流程">7.B11</a></td>
          <td>Vulnerability State Machine</td>
          <td>把漏洞回應拆成可交接狀態機</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/defender-pressure-from-real-incidents/" data-link-title="7.B12 Defender Pressure From Real Incidents" data-link-desc="從真實事故抽出防守壓力模型，補強藍隊判讀、演練與交接設計">7.B12</a></td>
          <td>Defender Pressure</td>
          <td>從真實事故抽出防守壓力模型與回寫路由</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/" data-link-title="7.BM 藍隊素材庫" data-link-desc="整理藍隊專業來源、真實案例、推演情境與控制模式，支援防守章節的大規模延伸">7.BM</a></td>
          <td>藍隊素材庫</td>
          <td>整理專業來源、現場案例、推演情境與控制模式</td>
      </tr>
  </tbody>
</table>
<p>本子分類會先建立防守判讀順序與控制面驗證語言，再交接到部署、可靠性與事故流程的實作章節。</p>
<p>藍隊章節的工程交接可參考 <a href="/blog/backend/07-security-data-protection/security-control-handoff-to-delivery-and-incident/" data-link-title="7.18 資安控制面如何交接到部署與事故流程" data-link-desc="建立資安控制面交接到部署、可靠性與事故流程的大綱">7.18 資安控制面如何交接到部署與事故流程</a> 與 <a href="/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/" data-link-title="7.19 資安演練：從 Abuse Case 到 Game Day" data-link-desc="建立 abuse case、tabletop exercise 與 game day 之間的演練大綱">7.19 資安演練：從 Abuse Case 到 Game Day</a>。</p>
<h2 id="模組完成狀態">模組完成狀態</h2>
<p>藍隊章節目前已形成從控制地圖、規則生命周期、triage、威脅導向驗證到情境庫與素材庫的完整循環。素材庫共 11 張 field cases、4 張 scenarios、7 張 control patterns，並透過 <code>7.B12</code> 防守壓力地圖、<code>7.B9</code> 情境庫與 <code>7.24</code> 回寫路由串接到主章。</p>
<h2 id="下一輪素材化大綱">下一輪素材化大綱</h2>
<table>
  <thead>
      <tr>
          <th>類型</th>
          <th>建議卡片</th>
          <th>推演責任</th>
          <th>承接章節</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Field case</td>
          <td>身份濫用、入口曝險、供應鏈偏移、資料外送、協調壓力</td>
          <td>提供防守方真實壓力與決策節點</td>
          <td><code>7.B12</code></td>
      </tr>
      <tr>
          <td>Scenario</td>
          <td>身份接管推演、邊界入口推演、供應鏈 artifact 推演、低頻資料外送推演</td>
          <td>提供 tabletop 與 Game Day 劇本</td>
          <td><code>7.B9</code></td>
      </tr>
      <tr>
          <td>Control pattern</td>
          <td>owner、evidence chain、detection lifecycle、vulnerability response、exercise write-back</td>
          <td>提供可搬運控制欄位與驗證方法</td>
          <td><code>7.B1</code> + <code>7.B3</code></td>
      </tr>
      <tr>
          <td>Write-back</td>
          <td>產品回寫、架構回寫、runbook 回寫、release gate 回寫</td>
          <td>把演練結果轉成後續工程任務</td>
          <td><code>7.24</code></td>
      </tr>
  </tbody>
</table>
<p>這輪實作完成後，藍隊章節的價值會從「說明防守流程」提升為「提供可直接組裝的演練材料」。</p>
]]></content:encoded></item></channel></rss>