<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Detection Engineering on Tarragon</title><link>https://tarrragon.github.io/blog/tags/detection-engineering/</link><description>Recent content in Detection Engineering on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 30 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/detection-engineering/index.xml" rel="self" type="application/rss+xml"/><item><title>7.B5 Detection Engineering Lifecycle</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/</guid><description>&lt;p>本篇的責任是建立偵測規則生命週期。讀者讀完後，能把一條 detection rule 從來源定義、驗證、調校、上線、退場整理成可維護流程。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>Detection engineering lifecycle 的核心概念是把規則當資產管理。規則資產包含來源、邏輯、測試、誤報處理、owner、驗收門檻與退場條件。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/" data-link-title="Sigma：偵測規則生命週期素材" data-link-desc="把 Sigma detection format 轉成偵測規則欄位、誤報治理與維護流程素材">Sigma：偵測規則生命週期素材&lt;/a>。&lt;/p>
&lt;h2 id="生命周期欄位">生命周期欄位&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>常見來源&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Rule source&lt;/td>
 &lt;td>描述規則來自哪個威脅假設與資料源&lt;/td>
 &lt;td>Sigma、事件復盤、演練結果&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Detection logic&lt;/td>
 &lt;td>定義條件、例外、聚合方式&lt;/td>
 &lt;td>rule repository、query package&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Validation evidence&lt;/td>
 &lt;td>證明規則可命中目標情境&lt;/td>
 &lt;td>測試事件、回放資料、對照 log&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Tuning decision&lt;/td>
 &lt;td>收斂誤報與漏報&lt;/td>
 &lt;td>triage 結果、分析註記、例外記錄&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Release condition&lt;/td>
 &lt;td>定義規則上線條件&lt;/td>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/release-gate/" data-link-title="Release Gate" data-link-desc="說明變更在正式釋出前如何通過或阻擋">release gate&lt;/a>、變更審查&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Retirement condition&lt;/td>
 &lt;td>定義規則退場條件&lt;/td>
 &lt;td>覆蓋重疊、威脅變化、資料源變動&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>生命周期欄位的核心是讓規則維護可以追溯。每次規則更新都能回查它解哪個風險、用哪個證據驗證、為何做這次調整。&lt;/p>
&lt;h2 id="規則來源治理">規則來源治理&lt;/h2>
&lt;p>規則來源治理的責任是讓規則與威脅假設對齊。來源可來自公開框架、事件教訓、演練情境與稽核要求，並需要在建立時寫清楚 threat hypothesis 與 data dependency。&lt;/p>
&lt;h2 id="驗證節奏">驗證節奏&lt;/h2>
&lt;p>驗證節奏的責任是確保規則在上線前後都保持有效。建議至少建立三層驗證：&lt;/p>
&lt;ol>
&lt;li>邏輯驗證：條件可讀、可測、可重現。&lt;/li>
&lt;li>資料驗證：log schema 與欄位品質可支撐判讀。&lt;/li>
&lt;li>情境驗證：在事件回放或 game day 中能命中目標行為。&lt;/li>
&lt;/ol>
&lt;h2 id="調校策略">調校策略&lt;/h2>
&lt;p>調校策略的責任是把 alert 噪音轉成可判讀訊號。調校時同步記錄 false positive 情境、排除條件、影響範圍與回退方式，並和 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">incident severity&lt;/a> 對齊分級節奏。&lt;/p>
&lt;h2 id="上線與退場">上線與退場&lt;/h2>
&lt;p>上線與退場的責任是讓規則變更進入受控流程。上線前需確認 evidence、owner 與回退路徑；退場時要確認替代規則、覆蓋遷移與歷史證據保留。&lt;/p>
&lt;h2 id="與事故流程的交接">與事故流程的交接&lt;/h2>
&lt;p>與事故流程交接的責任是把規則命中轉成回應路由。規則命中後應直接輸出 triage 問題、owner、升級條件與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook&lt;/a> 路由，讓 08 模組可以快速接手。&lt;/p>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>規則持續觸發但分析結論分散&lt;/td>
 &lt;td>需要調校紀錄與 triage 問題&lt;/td>
 &lt;td>7.B5 → 7.B2&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則上線後缺少驗證證據&lt;/td>
 &lt;td>需要補 validation evidence&lt;/td>
 &lt;td>7.B5 → 7.B3&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>相同風險出現多條重複規則&lt;/td>
 &lt;td>需要整理來源與退場條件&lt;/td>
 &lt;td>7.B5 → 7.B1&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則變更未進入放行流程&lt;/td>
 &lt;td>需要 release condition&lt;/td>
 &lt;td>7.B5 → 05&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>事故後規則未更新&lt;/td>
 &lt;td>需要 write-back 閉環&lt;/td>
 &lt;td>7.B5 → 7.24&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>判讀表格的作用是把規則問題轉成維護任務。每一列都能直接對應到 owner 與下一步交接章節。&lt;/p>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3 資安控制驗證&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/" data-link-title="7.BM1 藍隊專業來源卡" data-link-desc="整理藍隊可引用的專業來源，明確標示可支撐論點與引用限制">7.BM1 藍隊專業來源卡&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能為一條偵測規則設計完整生命週期。輸出至少包含來源、邏輯、驗證證據、調校策略、上線條件、退場條件與回寫位置。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是建立偵測規則生命週期。讀者讀完後，能把一條 detection rule 從來源定義、驗證、調校、上線、退場整理成可維護流程。</p>
<h2 id="核心論點">核心論點</h2>
<p>Detection engineering lifecycle 的核心概念是把規則當資產管理。規則資產包含來源、邏輯、測試、誤報處理、owner、驗收門檻與退場條件。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由</a>、<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a> 與 <a href="/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/" data-link-title="Sigma：偵測規則生命週期素材" data-link-desc="把 Sigma detection format 轉成偵測規則欄位、誤報治理與維護流程素材">Sigma：偵測規則生命週期素材</a>。</p>
<h2 id="生命周期欄位">生命周期欄位</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
          <th>常見來源</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Rule source</td>
          <td>描述規則來自哪個威脅假設與資料源</td>
          <td>Sigma、事件復盤、演練結果</td>
      </tr>
      <tr>
          <td>Detection logic</td>
          <td>定義條件、例外、聚合方式</td>
          <td>rule repository、query package</td>
      </tr>
      <tr>
          <td>Validation evidence</td>
          <td>證明規則可命中目標情境</td>
          <td>測試事件、回放資料、對照 log</td>
      </tr>
      <tr>
          <td>Tuning decision</td>
          <td>收斂誤報與漏報</td>
          <td>triage 結果、分析註記、例外記錄</td>
      </tr>
      <tr>
          <td>Release condition</td>
          <td>定義規則上線條件</td>
          <td><a href="/blog/backend/knowledge-cards/release-gate/" data-link-title="Release Gate" data-link-desc="說明變更在正式釋出前如何通過或阻擋">release gate</a>、變更審查</td>
      </tr>
      <tr>
          <td>Retirement condition</td>
          <td>定義規則退場條件</td>
          <td>覆蓋重疊、威脅變化、資料源變動</td>
      </tr>
  </tbody>
</table>
<p>生命周期欄位的核心是讓規則維護可以追溯。每次規則更新都能回查它解哪個風險、用哪個證據驗證、為何做這次調整。</p>
<h2 id="規則來源治理">規則來源治理</h2>
<p>規則來源治理的責任是讓規則與威脅假設對齊。來源可來自公開框架、事件教訓、演練情境與稽核要求，並需要在建立時寫清楚 threat hypothesis 與 data dependency。</p>
<h2 id="驗證節奏">驗證節奏</h2>
<p>驗證節奏的責任是確保規則在上線前後都保持有效。建議至少建立三層驗證：</p>
<ol>
<li>邏輯驗證：條件可讀、可測、可重現。</li>
<li>資料驗證：log schema 與欄位品質可支撐判讀。</li>
<li>情境驗證：在事件回放或 game day 中能命中目標行為。</li>
</ol>
<h2 id="調校策略">調校策略</h2>
<p>調校策略的責任是把 alert 噪音轉成可判讀訊號。調校時同步記錄 false positive 情境、排除條件、影響範圍與回退方式，並和 <a href="/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">incident severity</a> 對齊分級節奏。</p>
<h2 id="上線與退場">上線與退場</h2>
<p>上線與退場的責任是讓規則變更進入受控流程。上線前需確認 evidence、owner 與回退路徑；退場時要確認替代規則、覆蓋遷移與歷史證據保留。</p>
<h2 id="與事故流程的交接">與事故流程的交接</h2>
<p>與事故流程交接的責任是把規則命中轉成回應路由。規則命中後應直接輸出 triage 問題、owner、升級條件與 <a href="/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook</a> 路由，讓 08 模組可以快速接手。</p>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>規則持續觸發但分析結論分散</td>
          <td>需要調校紀錄與 triage 問題</td>
          <td>7.B5 → 7.B2</td>
      </tr>
      <tr>
          <td>規則上線後缺少驗證證據</td>
          <td>需要補 validation evidence</td>
          <td>7.B5 → 7.B3</td>
      </tr>
      <tr>
          <td>相同風險出現多條重複規則</td>
          <td>需要整理來源與退場條件</td>
          <td>7.B5 → 7.B1</td>
      </tr>
      <tr>
          <td>規則變更未進入放行流程</td>
          <td>需要 release condition</td>
          <td>7.B5 → 05</td>
      </tr>
      <tr>
          <td>事故後規則未更新</td>
          <td>需要 write-back 閉環</td>
          <td>7.B5 → 7.24</td>
      </tr>
  </tbody>
</table>
<p>判讀表格的作用是把規則問題轉成維護任務。每一列都能直接對應到 owner 與下一步交接章節。</p>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3 資安控制驗證</a></li>
<li><a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/" data-link-title="7.BM1 藍隊專業來源卡" data-link-desc="整理藍隊可引用的專業來源，明確標示可支撐論點與引用限制">7.BM1 藍隊專業來源卡</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能為一條偵測規則設計完整生命週期。輸出至少包含來源、邏輯、驗證證據、調校策略、上線條件、退場條件與回寫位置。</p>
]]></content:encoded></item><item><title>7.BM 藍隊素材庫</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/</guid><description>&lt;p>藍隊素材庫的責任是提供防守推演的可回溯證據。素材庫把專業來源、現場案例、演練情境與控制模式分層整理，讓後續文章能從可靠材料延伸，並降低單一事故敘事的依賴。&lt;/p>
&lt;h2 id="素材分層">素材分層&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>分層&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>使用時機&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Professional sources&lt;/td>
 &lt;td>建立藍隊詞彙、流程與驗證基準&lt;/td>
 &lt;td>寫控制面、偵測、事故流程時引用&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Field cases&lt;/td>
 &lt;td>補充攻防事件中的防守壓力與決策節點&lt;/td>
 &lt;td>設計案例推演與 tabletop 時引用&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Scenarios&lt;/td>
 &lt;td>把來源與案例轉成可演練的服務情境&lt;/td>
 &lt;td>寫 Game Day 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook&lt;/a> 時引用&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Control patterns&lt;/td>
 &lt;td>把重複出現的防守做法整理成可搬運模式&lt;/td>
 &lt;td>寫 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/release-gate/" data-link-title="Release Gate" data-link-desc="說明變更在正式釋出前如何通過或阻擋">release gate&lt;/a> 與驗證規則時引用&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>素材分層的核心是讓來源、推演與文章分工清楚。Professional sources 提供判讀語言，field cases 提供現場壓力，scenarios 提供演練路徑，control patterns 提供工程化重用。&lt;/p>
&lt;h2 id="使用路由">使用路由&lt;/h2>
&lt;p>藍隊文章引用素材時先選來源層級、並在引用前確認來源與當下文章主題的對應關係。下表是條件式對應、不是無條件 universal 推薦：&lt;/p>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>文章主題&lt;/th>
 &lt;th>適合優先引用&lt;/th>
 &lt;th>適合場景&lt;/th>
 &lt;th>不適合場景&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>流程 / 治理基準&lt;/td>
 &lt;td>NIST CSF、NIST SP 800 系列&lt;/td>
 &lt;td>政策層、合規對齊、跨組織共通語言&lt;/td>
 &lt;td>具體偵測規則 / IoC（NIST 不深入到 detection content layer）&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>處置建議 / 跨機構協作&lt;/td>
 &lt;td>CISA advisory、CISA KEV&lt;/td>
 &lt;td>重大事件期間的處置時序、KEV 列入、公部門協作&lt;/td>
 &lt;td>平時穩定流程設計（CISA advisory 是事件驅動、節奏跟長期 baseline 不同）&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>防守技術詞彙 / 對抗能力對照&lt;/td>
 &lt;td>MITRE D3FEND、MITRE ATT&amp;amp;CK&lt;/td>
 &lt;td>對抗矩陣、控制能力對照、紅藍對齊語言&lt;/td>
 &lt;td>具體 tooling 配置 / vendor-specific 設定&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>偵測規則格式 / 生命週期&lt;/td>
 &lt;td>Sigma、SANS detection 教材&lt;/td>
 &lt;td>規則格式、test event、retirement 流程設計&lt;/td>
 &lt;td>政策對齊 / 合規語言（detection content 不是 governance layer）&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>現場壓力 / 職能趨勢 / TTP&lt;/td>
 &lt;td>Mandiant、Crowdstrike 報告&lt;/td>
 &lt;td>補事件案例、actor TTP、telemetry 視角&lt;/td>
 &lt;td>標準化基準（廠商報告各有觀察偏差、不適合當 single source of truth）&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>引用前的 verifiability check：「此來源原文有沒有 conditional scope？我引用時有沒有保留？」——避免把 NIST 的 organizational risk discussion 引成 universal mandate、把 MITRE 的 abstract technique 引成 specific tool requirement。&lt;/p>
&lt;h2 id="反向驗證">反向驗證&lt;/h2>
&lt;p>素材庫的反向驗證責任是提醒作者區分「來源能支撐什麼」與「來源需要在本章轉譯什麼」：&lt;/p>
&lt;ul>
&lt;li>&lt;strong>NIST / CISA&lt;/strong>：適合支撐流程基準與處置建議、不適合直接生成 detection rule 內容。原文常是 organizational-level guidance、轉譯到 service-level 時要明示 deployment scope。&lt;/li>
&lt;li>&lt;strong>MITRE D3FEND / ATT&amp;amp;CK&lt;/strong>：適合支撐威脅導向與防守詞彙、不適合直接當 implementation checklist。Technique-level 描述需要在文章補 product-specific mechanism。&lt;/li>
&lt;li>&lt;strong>Sigma&lt;/strong>：適合支撐偵測規則格式、不適合當完整的 detection coverage map。單一規則的有效性 depends on log source / parser 一致性。&lt;/li>
&lt;li>&lt;strong>Mandiant / SANS&lt;/strong>：適合支撐現場壓力與職能趨勢、不適合當 universal baseline。廠商視角受客戶基數 / 行業組成偏差影響。&lt;/li>
&lt;/ul>
&lt;p>每個素材的 last-checked 與適用範圍變動風險、由各 source 卡片在 professional-sources 子分類各自記錄。&lt;/p>
&lt;h2 id="子分類">子分類&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>子分類&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>初始狀態&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/" data-link-title="7.BM1 藍隊專業來源卡" data-link-desc="整理藍隊可引用的專業來源，明確標示可支撐論點與引用限制">Professional sources&lt;/a>&lt;/td>
 &lt;td>專業來源卡與引用限制&lt;/td>
 &lt;td>先建立七張來源卡&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/" data-link-title="7.BM2 藍隊現場案例素材" data-link-desc="定義藍隊現場案例的收錄規則，支援後續防守推演與控制面補強">Field cases&lt;/a>&lt;/td>
 &lt;td>藍隊現場案例與事件壓力&lt;/td>
 &lt;td>已收錄 11 張案例&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">Scenarios&lt;/a>&lt;/td>
 &lt;td>Tabletop 與 Game Day 情境素材&lt;/td>
 &lt;td>已收錄 4 張情境&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/" data-link-title="7.BM4 藍隊控制模式素材" data-link-desc="定義藍隊控制模式分類，支援 release gate、偵測驗證與事故交接">Control patterns&lt;/a>&lt;/td>
 &lt;td>控制面模式與驗證模式&lt;/td>
 &lt;td>已收錄 7 張模式&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="推演資產化大綱">推演資產化大綱&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>順序&lt;/th>
 &lt;th>素材層&lt;/th>
 &lt;th>預計產出&lt;/th>
 &lt;th>使用方式&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>1&lt;/td>
 &lt;td>Field cases&lt;/td>
 &lt;td>11 張現場案例卡(含變體)&lt;/td>
 &lt;td>抽出 defender pressure、control gap、detection route&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>2&lt;/td>
 &lt;td>Scenarios&lt;/td>
 &lt;td>4 張推演情境卡&lt;/td>
 &lt;td>組成 tabletop、Game Day 與 incident handoff 演練&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>3&lt;/td>
 &lt;td>Control patterns&lt;/td>
 &lt;td>7 張控制模式卡&lt;/td>
 &lt;td>提供 release gate、evidence chain、owner、credential、recovery 與 write-back 欄位&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>4&lt;/td>
 &lt;td>Write-back&lt;/td>
 &lt;td>已回寫 &lt;code>7.B1&lt;/code>、&lt;code>7.B9&lt;/code>、&lt;code>7.B12&lt;/code>、&lt;code>7.24&lt;/code>&lt;/td>
 &lt;td>讓素材回到文章主路由與實作交接&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>比例設計參考 &lt;a href="https://tarrragon.github.io/blog/report/source-library-ratio-supports-scenario-validation/" data-link-title="素材庫比例要支撐主情境的反向驗證" data-link-desc="當文章只展示少量主情境時，素材庫需要保留更多 field cases 或 source cards 來支撐反向驗證、壓力變體與後續擴寫。合理比例是主文章情境 4-5 個、來源素材約 2-3 倍，讓每個主情境背後至少有 2-3 個來源可回查。">素材庫比例支撐主情境的反向驗證&lt;/a>:主情境 4 個、來源 2-3 倍、scenario 4-5 張、pattern 5-7 張。素材庫已達上述上限,進入穩定維護狀態。&lt;/p></description><content:encoded><![CDATA[<p>藍隊素材庫的責任是提供防守推演的可回溯證據。素材庫把專業來源、現場案例、演練情境與控制模式分層整理，讓後續文章能從可靠材料延伸，並降低單一事故敘事的依賴。</p>
<h2 id="素材分層">素材分層</h2>
<table>
  <thead>
      <tr>
          <th>分層</th>
          <th>責任</th>
          <th>使用時機</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Professional sources</td>
          <td>建立藍隊詞彙、流程與驗證基準</td>
          <td>寫控制面、偵測、事故流程時引用</td>
      </tr>
      <tr>
          <td>Field cases</td>
          <td>補充攻防事件中的防守壓力與決策節點</td>
          <td>設計案例推演與 tabletop 時引用</td>
      </tr>
      <tr>
          <td>Scenarios</td>
          <td>把來源與案例轉成可演練的服務情境</td>
          <td>寫 Game Day 與 <a href="/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook</a> 時引用</td>
      </tr>
      <tr>
          <td>Control patterns</td>
          <td>把重複出現的防守做法整理成可搬運模式</td>
          <td>寫 <a href="/blog/backend/knowledge-cards/release-gate/" data-link-title="Release Gate" data-link-desc="說明變更在正式釋出前如何通過或阻擋">release gate</a> 與驗證規則時引用</td>
      </tr>
  </tbody>
</table>
<p>素材分層的核心是讓來源、推演與文章分工清楚。Professional sources 提供判讀語言，field cases 提供現場壓力，scenarios 提供演練路徑，control patterns 提供工程化重用。</p>
<h2 id="使用路由">使用路由</h2>
<p>藍隊文章引用素材時先選來源層級、並在引用前確認來源與當下文章主題的對應關係。下表是條件式對應、不是無條件 universal 推薦：</p>
<table>
  <thead>
      <tr>
          <th>文章主題</th>
          <th>適合優先引用</th>
          <th>適合場景</th>
          <th>不適合場景</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>流程 / 治理基準</td>
          <td>NIST CSF、NIST SP 800 系列</td>
          <td>政策層、合規對齊、跨組織共通語言</td>
          <td>具體偵測規則 / IoC（NIST 不深入到 detection content layer）</td>
      </tr>
      <tr>
          <td>處置建議 / 跨機構協作</td>
          <td>CISA advisory、CISA KEV</td>
          <td>重大事件期間的處置時序、KEV 列入、公部門協作</td>
          <td>平時穩定流程設計（CISA advisory 是事件驅動、節奏跟長期 baseline 不同）</td>
      </tr>
      <tr>
          <td>防守技術詞彙 / 對抗能力對照</td>
          <td>MITRE D3FEND、MITRE ATT&amp;CK</td>
          <td>對抗矩陣、控制能力對照、紅藍對齊語言</td>
          <td>具體 tooling 配置 / vendor-specific 設定</td>
      </tr>
      <tr>
          <td>偵測規則格式 / 生命週期</td>
          <td>Sigma、SANS detection 教材</td>
          <td>規則格式、test event、retirement 流程設計</td>
          <td>政策對齊 / 合規語言（detection content 不是 governance layer）</td>
      </tr>
      <tr>
          <td>現場壓力 / 職能趨勢 / TTP</td>
          <td>Mandiant、Crowdstrike 報告</td>
          <td>補事件案例、actor TTP、telemetry 視角</td>
          <td>標準化基準（廠商報告各有觀察偏差、不適合當 single source of truth）</td>
      </tr>
  </tbody>
</table>
<p>引用前的 verifiability check：「此來源原文有沒有 conditional scope？我引用時有沒有保留？」——避免把 NIST 的 organizational risk discussion 引成 universal mandate、把 MITRE 的 abstract technique 引成 specific tool requirement。</p>
<h2 id="反向驗證">反向驗證</h2>
<p>素材庫的反向驗證責任是提醒作者區分「來源能支撐什麼」與「來源需要在本章轉譯什麼」：</p>
<ul>
<li><strong>NIST / CISA</strong>：適合支撐流程基準與處置建議、不適合直接生成 detection rule 內容。原文常是 organizational-level guidance、轉譯到 service-level 時要明示 deployment scope。</li>
<li><strong>MITRE D3FEND / ATT&amp;CK</strong>：適合支撐威脅導向與防守詞彙、不適合直接當 implementation checklist。Technique-level 描述需要在文章補 product-specific mechanism。</li>
<li><strong>Sigma</strong>：適合支撐偵測規則格式、不適合當完整的 detection coverage map。單一規則的有效性 depends on log source / parser 一致性。</li>
<li><strong>Mandiant / SANS</strong>：適合支撐現場壓力與職能趨勢、不適合當 universal baseline。廠商視角受客戶基數 / 行業組成偏差影響。</li>
</ul>
<p>每個素材的 last-checked 與適用範圍變動風險、由各 source 卡片在 professional-sources 子分類各自記錄。</p>
<h2 id="子分類">子分類</h2>
<table>
  <thead>
      <tr>
          <th>子分類</th>
          <th>責任</th>
          <th>初始狀態</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/" data-link-title="7.BM1 藍隊專業來源卡" data-link-desc="整理藍隊可引用的專業來源，明確標示可支撐論點與引用限制">Professional sources</a></td>
          <td>專業來源卡與引用限制</td>
          <td>先建立七張來源卡</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/" data-link-title="7.BM2 藍隊現場案例素材" data-link-desc="定義藍隊現場案例的收錄規則，支援後續防守推演與控制面補強">Field cases</a></td>
          <td>藍隊現場案例與事件壓力</td>
          <td>已收錄 11 張案例</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">Scenarios</a></td>
          <td>Tabletop 與 Game Day 情境素材</td>
          <td>已收錄 4 張情境</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/" data-link-title="7.BM4 藍隊控制模式素材" data-link-desc="定義藍隊控制模式分類，支援 release gate、偵測驗證與事故交接">Control patterns</a></td>
          <td>控制面模式與驗證模式</td>
          <td>已收錄 7 張模式</td>
      </tr>
  </tbody>
</table>
<h2 id="推演資產化大綱">推演資產化大綱</h2>
<table>
  <thead>
      <tr>
          <th>順序</th>
          <th>素材層</th>
          <th>預計產出</th>
          <th>使用方式</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>1</td>
          <td>Field cases</td>
          <td>11 張現場案例卡(含變體)</td>
          <td>抽出 defender pressure、control gap、detection route</td>
      </tr>
      <tr>
          <td>2</td>
          <td>Scenarios</td>
          <td>4 張推演情境卡</td>
          <td>組成 tabletop、Game Day 與 incident handoff 演練</td>
      </tr>
      <tr>
          <td>3</td>
          <td>Control patterns</td>
          <td>7 張控制模式卡</td>
          <td>提供 release gate、evidence chain、owner、credential、recovery 與 write-back 欄位</td>
      </tr>
      <tr>
          <td>4</td>
          <td>Write-back</td>
          <td>已回寫 <code>7.B1</code>、<code>7.B9</code>、<code>7.B12</code>、<code>7.24</code></td>
          <td>讓素材回到文章主路由與實作交接</td>
      </tr>
  </tbody>
</table>
<p>比例設計參考 <a href="/blog/report/source-library-ratio-supports-scenario-validation/" data-link-title="素材庫比例要支撐主情境的反向驗證" data-link-desc="當文章只展示少量主情境時，素材庫需要保留更多 field cases 或 source cards 來支撐反向驗證、壓力變體與後續擴寫。合理比例是主文章情境 4-5 個、來源素材約 2-3 倍，讓每個主情境背後至少有 2-3 個來源可回查。">素材庫比例支撐主情境的反向驗證</a>:主情境 4 個、來源 2-3 倍、scenario 4-5 張、pattern 5-7 張。素材庫已達上述上限,進入穩定維護狀態。</p>
<h2 id="下一步路由">下一步路由</h2>
<p>素材庫先服務 <a href="/blog/backend/07-security-data-protection/blue-team/defense-control-map/" data-link-title="7.B1 防守控制面地圖" data-link-desc="建立防守控制面如何對應身份、入口、資料、供應鏈、偵測與治理問題的大綱">7.B1 防守控制面地圖</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 偵測到回應的路由</a> 與 <a href="/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day</a>。後續每新增一篇藍隊文章，都要回到本素材庫補來源、情境或控制模式。</p>
]]></content:encoded></item><item><title>Sigma：偵測規則生命週期素材</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/</guid><description>&lt;p>Sigma 的素材責任是提供跨 SIEM 的偵測規則描述語言。Sigma rules 使用 YAML 描述 logsource、detection、condition、falsepositives 與 level，適合支撐 detection-as-code 與規則維護流程。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://sigmahq.io/docs/basics/rules.html">Sigma Rules documentation&lt;/a> 適合支撐「偵測規則需要明確資料源、條件、誤報說明與等級」的論點。&lt;a href="https://sigmahq.io/docs/basics/conditions.html">Sigma Conditions documentation&lt;/a> 則適合支撐「偵測邏輯需要可讀的 AND/OR/NOT 與 filter 表達」。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>規則需要 logsource&lt;/td>
 &lt;td>7.B2 的 signal 要標明來源系統&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則需要 condition&lt;/td>
 &lt;td>偵測邏輯要可 review、可測試&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則需要 falsepositives&lt;/td>
 &lt;td>誤報情境要進 triage 與調校流程&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則需要 level&lt;/td>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity&lt;/a> 與 escalation 可接到 08&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把 detection rule 當成生命週期資產。每條規則都需要來源、觸發條件、測試事件、誤報說明、調校紀錄、owner 與退場條件。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>Sigma 適合支撐規則格式與維護欄位，實際查詢語法、資料品質與 alert 噪音要依 SIEM、log schema 與服務流量特性調校。&lt;/p></description><content:encoded><![CDATA[<p>Sigma 的素材責任是提供跨 SIEM 的偵測規則描述語言。Sigma rules 使用 YAML 描述 logsource、detection、condition、falsepositives 與 level，適合支撐 detection-as-code 與規則維護流程。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://sigmahq.io/docs/basics/rules.html">Sigma Rules documentation</a> 適合支撐「偵測規則需要明確資料源、條件、誤報說明與等級」的論點。<a href="https://sigmahq.io/docs/basics/conditions.html">Sigma Conditions documentation</a> 則適合支撐「偵測邏輯需要可讀的 AND/OR/NOT 與 filter 表達」。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>規則需要 logsource</td>
          <td>7.B2 的 signal 要標明來源系統</td>
      </tr>
      <tr>
          <td>規則需要 condition</td>
          <td>偵測邏輯要可 review、可測試</td>
      </tr>
      <tr>
          <td>規則需要 falsepositives</td>
          <td>誤報情境要進 triage 與調校流程</td>
      </tr>
      <tr>
          <td>規則需要 level</td>
          <td><a href="/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity</a> 與 escalation 可接到 08</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把 detection rule 當成生命週期資產。每條規則都需要來源、觸發條件、測試事件、誤報說明、調校紀錄、owner 與退場條件。</p>
<h2 id="引用限制">引用限制</h2>
<p>Sigma 適合支撐規則格式與維護欄位，實際查詢語法、資料品質與 alert 噪音要依 SIEM、log schema 與服務流量特性調校。</p>
]]></content:encoded></item><item><title>SANS Detection Engineering Survey：偵測工程職能素材</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sans-detection-engineering-survey/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sans-detection-engineering-survey/</guid><description>&lt;p>SANS Detection Engineering Survey 的素材責任是提供偵測工程職能與流程成熟度觀察。它適合支撐「藍隊需要把偵測規則當成可維護工程資產」的論點。&lt;/p>
&lt;h2 id="來源定位">來源定位&lt;/h2>
&lt;p>&lt;a href="https://www.sans.org/white-papers/2025-sans-detection-engineering-survey-evolving-practices-modern-security-operations">2025 SANS Detection Engineering Survey&lt;/a> 適合支撐 detection engineering 在現代 security operations 中持續演進的論點。&lt;a href="https://www.sans.org/webcasts/state-detection-engineering-2026-what-data-reveals-accuracy-automation-ai-adoption">2026 SANS detection engineering webcast&lt;/a> 則顯示 accuracy、automation 與 AI adoption 已經成為偵測工程討論重點。&lt;/p>
&lt;h2 id="可引用論點">可引用論點&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>可引用論點&lt;/th>
 &lt;th>藍隊轉譯&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Detection engineering 是持續職能&lt;/td>
 &lt;td>7.B2 規則維護需要 owner、review cadence 與測試&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Accuracy 與 automation 是重點&lt;/td>
 &lt;td>7.B3 驗證要包含誤報、漏報與自動化邊界&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>協作流程影響偵測品質&lt;/td>
 &lt;td>7.B4 演練要納入 analyst、engineer 與 service owner&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="後端服務轉譯">後端服務轉譯&lt;/h2>
&lt;p>後端服務引用這張卡時，重點是把偵測工程放進服務交付流程。每個高風險服務變更都可以同步檢查 log schema、rule coverage、alert routing、owner 與回寫節奏。&lt;/p>
&lt;h2 id="引用限制">引用限制&lt;/h2>
&lt;p>SANS 適合支撐職能趨勢與流程討論，具體偵測策略仍要回到服務事件資料、攻擊面與既有工具能力。&lt;/p></description><content:encoded><![CDATA[<p>SANS Detection Engineering Survey 的素材責任是提供偵測工程職能與流程成熟度觀察。它適合支撐「藍隊需要把偵測規則當成可維護工程資產」的論點。</p>
<h2 id="來源定位">來源定位</h2>
<p><a href="https://www.sans.org/white-papers/2025-sans-detection-engineering-survey-evolving-practices-modern-security-operations">2025 SANS Detection Engineering Survey</a> 適合支撐 detection engineering 在現代 security operations 中持續演進的論點。<a href="https://www.sans.org/webcasts/state-detection-engineering-2026-what-data-reveals-accuracy-automation-ai-adoption">2026 SANS detection engineering webcast</a> 則顯示 accuracy、automation 與 AI adoption 已經成為偵測工程討論重點。</p>
<h2 id="可引用論點">可引用論點</h2>
<table>
  <thead>
      <tr>
          <th>可引用論點</th>
          <th>藍隊轉譯</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Detection engineering 是持續職能</td>
          <td>7.B2 規則維護需要 owner、review cadence 與測試</td>
      </tr>
      <tr>
          <td>Accuracy 與 automation 是重點</td>
          <td>7.B3 驗證要包含誤報、漏報與自動化邊界</td>
      </tr>
      <tr>
          <td>協作流程影響偵測品質</td>
          <td>7.B4 演練要納入 analyst、engineer 與 service owner</td>
      </tr>
  </tbody>
</table>
<h2 id="後端服務轉譯">後端服務轉譯</h2>
<p>後端服務引用這張卡時，重點是把偵測工程放進服務交付流程。每個高風險服務變更都可以同步檢查 log schema、rule coverage、alert routing、owner 與回寫節奏。</p>
<h2 id="引用限制">引用限制</h2>
<p>SANS 適合支撐職能趨勢與流程討論，具體偵測策略仍要回到服務事件資料、攻擊面與既有工具能力。</p>
]]></content:encoded></item><item><title>Detection Lifecycle Pattern</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/detection-lifecycle-pattern/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/detection-lifecycle-pattern/</guid><description>&lt;p>Detection lifecycle pattern 的責任是把偵測規則變成可維護資產。規則需要來源、邏輯、測試事件、誤報紀錄、owner 與退場條件，才能穩定支撐 incident triage。&lt;/p>
&lt;h2 id="支撐素材">支撐素材&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>素材&lt;/th>
 &lt;th>可支撐論點&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/" data-link-title="Sigma：偵測規則生命週期素材" data-link-desc="把 Sigma detection format 轉成偵測規則欄位、誤報治理與維護流程素材">Sigma detection rule lifecycle&lt;/a>&lt;/td>
 &lt;td>detection rule 需要格式、測試與維護語言&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sans-detection-engineering-survey/" data-link-title="SANS Detection Engineering Survey：偵測工程職能素材" data-link-desc="把 SANS detection engineering survey 轉成藍隊偵測工程與協作流程素材">SANS Detection Engineering Survey&lt;/a>&lt;/td>
 &lt;td>detection engineering 需要流程、角色與品質治理&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/3cx-2023-supply-chain-artifact-pressure/" data-link-title="3CX 2023：供應鏈 Artifact 壓力" data-link-desc="把 3CX supply chain compromise 轉成 build、artifact、來源信任與 release gate 的藍隊案例素材">3CX supply chain case&lt;/a>&lt;/td>
 &lt;td>artifact 與客戶端 IOC 需要偵測規則支撐&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="欄位">欄位&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Source&lt;/td>
 &lt;td>定義規則來源與威脅假設&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Logic&lt;/td>
 &lt;td>定義命中條件與資料來源&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Test event&lt;/td>
 &lt;td>提供可重播測試資料&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>False positive&lt;/td>
 &lt;td>記錄誤報情境與調校依據&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Retirement&lt;/td>
 &lt;td>定義規則退場或替換條件&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="判讀訊號">判讀訊號&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>規則命中後分析結論分散&lt;/td>
 &lt;td>需要 test event 與 triage question&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>誤報調校只靠臨場經驗&lt;/td>
 &lt;td>需要 false positive 紀錄&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>規則長期存在但沒有 owner&lt;/td>
 &lt;td>需要 lifecycle owner 與 retirement&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="適用邊界">適用邊界&lt;/h2>
&lt;p>此模式適合 detection rule、IOC hunting、artifact integrity check 與 low-frequency exfiltration detection。一次性查詢可先用 hunt note，穩定後再轉為規則生命週期。&lt;/p>
&lt;h2 id="下一步路由">下一步路由&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5 Detection Engineering Lifecycle&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/supply-chain-artifact-drill/" data-link-title="Supply Chain Artifact Drill" data-link-desc="以 artifact provenance 偏移設計供應鏈 release gate 與 rollback 演練">Supply chain artifact drill&lt;/a>&lt;/li>
&lt;/ul></description><content:encoded><![CDATA[<p>Detection lifecycle pattern 的責任是把偵測規則變成可維護資產。規則需要來源、邏輯、測試事件、誤報紀錄、owner 與退場條件，才能穩定支撐 incident triage。</p>
<h2 id="支撐素材">支撐素材</h2>
<table>
  <thead>
      <tr>
          <th>素材</th>
          <th>可支撐論點</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sigma-detection-rule-lifecycle/" data-link-title="Sigma：偵測規則生命週期素材" data-link-desc="把 Sigma detection format 轉成偵測規則欄位、誤報治理與維護流程素材">Sigma detection rule lifecycle</a></td>
          <td>detection rule 需要格式、測試與維護語言</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/sans-detection-engineering-survey/" data-link-title="SANS Detection Engineering Survey：偵測工程職能素材" data-link-desc="把 SANS detection engineering survey 轉成藍隊偵測工程與協作流程素材">SANS Detection Engineering Survey</a></td>
          <td>detection engineering 需要流程、角色與品質治理</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/3cx-2023-supply-chain-artifact-pressure/" data-link-title="3CX 2023：供應鏈 Artifact 壓力" data-link-desc="把 3CX supply chain compromise 轉成 build、artifact、來源信任與 release gate 的藍隊案例素材">3CX supply chain case</a></td>
          <td>artifact 與客戶端 IOC 需要偵測規則支撐</td>
      </tr>
  </tbody>
</table>
<h2 id="欄位">欄位</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Source</td>
          <td>定義規則來源與威脅假設</td>
      </tr>
      <tr>
          <td>Logic</td>
          <td>定義命中條件與資料來源</td>
      </tr>
      <tr>
          <td>Test event</td>
          <td>提供可重播測試資料</td>
      </tr>
      <tr>
          <td>False positive</td>
          <td>記錄誤報情境與調校依據</td>
      </tr>
      <tr>
          <td>Retirement</td>
          <td>定義規則退場或替換條件</td>
      </tr>
  </tbody>
</table>
<h2 id="判讀訊號">判讀訊號</h2>
<table>
  <thead>
      <tr>
          <th>訊號</th>
          <th>代表需求</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>規則命中後分析結論分散</td>
          <td>需要 test event 與 triage question</td>
      </tr>
      <tr>
          <td>誤報調校只靠臨場經驗</td>
          <td>需要 false positive 紀錄</td>
      </tr>
      <tr>
          <td>規則長期存在但沒有 owner</td>
          <td>需要 lifecycle owner 與 retirement</td>
      </tr>
  </tbody>
</table>
<h2 id="適用邊界">適用邊界</h2>
<p>此模式適合 detection rule、IOC hunting、artifact integrity check 與 low-frequency exfiltration detection。一次性查詢可先用 hunt note，穩定後再轉為規則生命週期。</p>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5 Detection Engineering Lifecycle</a></li>
<li><a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/supply-chain-artifact-drill/" data-link-title="Supply Chain Artifact Drill" data-link-desc="以 artifact provenance 偏移設計供應鏈 release gate 與 rollback 演練">Supply chain artifact drill</a></li>
</ul>
]]></content:encoded></item></channel></rss>