"Detection-Rule"
- Splunk → Elastic Security Detection Rule Migration:6 段 phased playbook 跟 5 大踩雷
從 Splunk Enterprise Security 遷到 Elastic Security 的 detection rule translation playbook:SPL ↔ KQL/ES|QL schema 對位、AI-assisted translation pipeline、parallel run 比對、cutover routing、5 個 production 踩雷(macro 沒對應 / time zone 差異 / summary index 不對位 / alert dedup key 衝突 / 過早 decommission)、capacity / cost 對照
- 7.B5 Detection Engineering Lifecycle
把偵測規則視為可維護資產,建立從來源、測試、調校到退場的完整生命週期
- Sigma:偵測規則生命週期素材
把 Sigma detection format 轉成偵測規則欄位、誤報治理與維護流程素材