<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Game Day on Tarragon</title><link>https://tarrragon.github.io/blog/tags/game-day/</link><description>Recent content in Game Day on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Tue, 23 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/game-day/index.xml" rel="self" type="application/rss+xml"/><item><title>7.19 資安演練：從 Abuse Case 到 Game Day</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/</guid><description>&lt;p>本篇的責任是把資安問題節點轉成可演練的團隊流程。讀者讀完後，能從一張 abuse case 或 problem card 出發，設計 tabletop exercise、game day 與回寫任務。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>資安演練的核心概念是「用受控情境驗證控制面與協作流程」。Abuse case 提供攻擊或濫用假設，game day 驗證團隊能否在訊號、角色與決策節奏上完成收斂。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day&lt;/a>。它把資安案例庫轉成演練材料。&lt;/p>
&lt;h2 id="演練模型">演練模型&lt;/h2>
&lt;p>演練模型的責任是把不同粒度的材料放在同一條路徑上：&lt;/p>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>材料&lt;/th>
 &lt;th>演練用途&lt;/th>
 &lt;th>產出&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/abuse-case/" data-link-title="Abuse Case" data-link-desc="說明合法功能如何被惡意轉用成突破或濫用路徑">Abuse Case&lt;/a>&lt;/td>
 &lt;td>定義合法功能被濫用的情境&lt;/td>
 &lt;td>濫用路徑、風險範圍、判讀訊號&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Problem Card&lt;/td>
 &lt;td>定義可重複失效樣式&lt;/td>
 &lt;td>控制面假設、驗證問題&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Tabletop Exercise&lt;/td>
 &lt;td>驗證角色與決策流程&lt;/td>
 &lt;td>指揮節奏、升級路徑、缺口清單&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day&lt;/a>&lt;/td>
 &lt;td>驗證系統與團隊反應&lt;/td>
 &lt;td>操作證據、修復任務、回寫項目&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>這條路徑的關鍵是先用抽象層材料定義問題，再用現場演練驗證行為。如此可以讓同一張 problem card 在不同服務情境重用。&lt;/p>
&lt;h2 id="演練前置設計">演練前置設計&lt;/h2>
&lt;p>演練前置設計的責任是讓每次演練都能回答同一組問題，並用固定欄位維持命名一致性。建議欄位如下：&lt;/p>
&lt;ol>
&lt;li>Scenario：定義服務情境與風險邊界。&lt;/li>
&lt;li>Trigger：定義演練起點訊號。&lt;/li>
&lt;li>Roles：定義決策角色與操作角色。&lt;/li>
&lt;li>Expected path：定義預期路由與完成條件。&lt;/li>
&lt;li>Evidence：定義演練後要保留的證據。&lt;/li>
&lt;/ol>
&lt;h2 id="tabletop-演練">Tabletop 演練&lt;/h2>
&lt;p>Tabletop 的責任是驗證決策與協作。重點是讓角色在時間壓力下仍能維持一致路由，並把升級流程與外部溝通節奏跑過一次。&lt;/p>
&lt;p>Tabletop 推薦輸出：&lt;/p>
&lt;ol>
&lt;li>Decision timeline：每個決策點何時產生、由誰承接。&lt;/li>
&lt;li>Escalation record：何時升級、升級依據為何。&lt;/li>
&lt;li>Gap list：本輪找到的流程缺口。&lt;/li>
&lt;/ol>
&lt;h2 id="game-day-演練">Game Day 演練&lt;/h2>
&lt;p>Game day 的責任是驗證系統與流程在真實操作下的穩定度。重點是把 control path、alert path、recovery path 串在同一輪場景。&lt;/p>
&lt;p>Game day 推薦輸出：&lt;/p>
&lt;ol>
&lt;li>Signal evidence：告警、log、metric、trace 片段。&lt;/li>
&lt;li>Control evidence：release gate、rollback、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/token-revocation/" data-link-title="Token Revocation" data-link-desc="說明事件中如何撤銷 token，縮短可利用窗口">token revocation&lt;/a> 操作記錄。&lt;/li>
&lt;li>Write-back task：對應回寫到章節與卡片的位置。&lt;/li>
&lt;/ol>
&lt;h2 id="演練回寫流程">演練回寫流程&lt;/h2>
&lt;p>演練回寫的責任是讓演練成果進入知識網。建議回寫順序：&lt;/p>
&lt;ol>
&lt;li>先回寫 problem card 的失效樣式與補強點。&lt;/li>
&lt;li>再回寫 7.x 判讀訊號與風險邊界描述。&lt;/li>
&lt;li>最後回寫 incident workflow 的任務模板與檢查點。&lt;/li>
&lt;/ol>
&lt;h2 id="兩種常見演練場景">兩種常見演練場景&lt;/h2>
&lt;ol>
&lt;li>身份與會話場景：檢查 token 濫用、權限收斂與 session 失效節奏。&lt;/li>
&lt;li>供應鏈場景：檢查 artifact provenance、release freeze、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/tripwire/" data-link-title="Tripwire" data-link-desc="說明風險決策在條件變化時如何自動回到評估流程">tripwire&lt;/a> 與放行條件。&lt;/li>
&lt;/ol>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表演練需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>problem card 已存在但缺少驗證情境&lt;/td>
 &lt;td>需要設計 abuse case 演練&lt;/td>
 &lt;td>7.19 → tabletop&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>控制面描述完整但角色分工鬆散&lt;/td>
 &lt;td>需要 tabletop exercise&lt;/td>
 &lt;td>7.19 → escalation path&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>runbook 存在但缺少實際操作證據&lt;/td>
 &lt;td>需要 game day 驗證&lt;/td>
 &lt;td>7.19 → 06 reliability&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>演練後任務分散在多處&lt;/td>
 &lt;td>需要回寫到 case-to-workflow&lt;/td>
 &lt;td>7.19 → 7.16&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>判讀表格的重點是從訊號直接推到下一步行動。這種路由格式可以直接轉成演練 backlog。&lt;/p>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/" data-link-title="7.R7 事故案例庫（可引用）" data-link-desc="把公開事故整理成可引用案例體系，讓服務章節與 incident workflow 可雙向回寫">7.R7 事故案例庫&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/control-failure-patterns/" data-link-title="7.R8 控制面失效樣式" data-link-desc="把常見攻擊結果回推成控制面失效樣式">7.R8 控制面失效樣式&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能用一張 problem card 建立一次資安演練。演練設計至少包含場景、角色、訊號、決策點、操作證據、關閉條件與回寫位置。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是把資安問題節點轉成可演練的團隊流程。讀者讀完後，能從一張 abuse case 或 problem card 出發，設計 tabletop exercise、game day 與回寫任務。</p>
<h2 id="核心論點">核心論點</h2>
<p>資安演練的核心概念是「用受控情境驗證控制面與協作流程」。Abuse case 提供攻擊或濫用假設，game day 驗證團隊能否在訊號、角色與決策節奏上完成收斂。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片</a>、<a href="/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow</a> 與 <a href="/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day</a>。它把資安案例庫轉成演練材料。</p>
<h2 id="演練模型">演練模型</h2>
<p>演練模型的責任是把不同粒度的材料放在同一條路徑上：</p>
<table>
  <thead>
      <tr>
          <th>材料</th>
          <th>演練用途</th>
          <th>產出</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/knowledge-cards/abuse-case/" data-link-title="Abuse Case" data-link-desc="說明合法功能如何被惡意轉用成突破或濫用路徑">Abuse Case</a></td>
          <td>定義合法功能被濫用的情境</td>
          <td>濫用路徑、風險範圍、判讀訊號</td>
      </tr>
      <tr>
          <td>Problem Card</td>
          <td>定義可重複失效樣式</td>
          <td>控制面假設、驗證問題</td>
      </tr>
      <tr>
          <td>Tabletop Exercise</td>
          <td>驗證角色與決策流程</td>
          <td>指揮節奏、升級路徑、缺口清單</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day</a></td>
          <td>驗證系統與團隊反應</td>
          <td>操作證據、修復任務、回寫項目</td>
      </tr>
  </tbody>
</table>
<p>這條路徑的關鍵是先用抽象層材料定義問題，再用現場演練驗證行為。如此可以讓同一張 problem card 在不同服務情境重用。</p>
<h2 id="演練前置設計">演練前置設計</h2>
<p>演練前置設計的責任是讓每次演練都能回答同一組問題，並用固定欄位維持命名一致性。建議欄位如下：</p>
<ol>
<li>Scenario：定義服務情境與風險邊界。</li>
<li>Trigger：定義演練起點訊號。</li>
<li>Roles：定義決策角色與操作角色。</li>
<li>Expected path：定義預期路由與完成條件。</li>
<li>Evidence：定義演練後要保留的證據。</li>
</ol>
<h2 id="tabletop-演練">Tabletop 演練</h2>
<p>Tabletop 的責任是驗證決策與協作。重點是讓角色在時間壓力下仍能維持一致路由，並把升級流程與外部溝通節奏跑過一次。</p>
<p>Tabletop 推薦輸出：</p>
<ol>
<li>Decision timeline：每個決策點何時產生、由誰承接。</li>
<li>Escalation record：何時升級、升級依據為何。</li>
<li>Gap list：本輪找到的流程缺口。</li>
</ol>
<h2 id="game-day-演練">Game Day 演練</h2>
<p>Game day 的責任是驗證系統與流程在真實操作下的穩定度。重點是把 control path、alert path、recovery path 串在同一輪場景。</p>
<p>Game day 推薦輸出：</p>
<ol>
<li>Signal evidence：告警、log、metric、trace 片段。</li>
<li>Control evidence：release gate、rollback、<a href="/blog/backend/knowledge-cards/token-revocation/" data-link-title="Token Revocation" data-link-desc="說明事件中如何撤銷 token，縮短可利用窗口">token revocation</a> 操作記錄。</li>
<li>Write-back task：對應回寫到章節與卡片的位置。</li>
</ol>
<h2 id="演練回寫流程">演練回寫流程</h2>
<p>演練回寫的責任是讓演練成果進入知識網。建議回寫順序：</p>
<ol>
<li>先回寫 problem card 的失效樣式與補強點。</li>
<li>再回寫 7.x 判讀訊號與風險邊界描述。</li>
<li>最後回寫 incident workflow 的任務模板與檢查點。</li>
</ol>
<h2 id="兩種常見演練場景">兩種常見演練場景</h2>
<ol>
<li>身份與會話場景：檢查 token 濫用、權限收斂與 session 失效節奏。</li>
<li>供應鏈場景：檢查 artifact provenance、release freeze、<a href="/blog/backend/knowledge-cards/tripwire/" data-link-title="Tripwire" data-link-desc="說明風險決策在條件變化時如何自動回到評估流程">tripwire</a> 與放行條件。</li>
</ol>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表演練需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>problem card 已存在但缺少驗證情境</td>
          <td>需要設計 abuse case 演練</td>
          <td>7.19 → tabletop</td>
      </tr>
      <tr>
          <td>控制面描述完整但角色分工鬆散</td>
          <td>需要 tabletop exercise</td>
          <td>7.19 → escalation path</td>
      </tr>
      <tr>
          <td>runbook 存在但缺少實際操作證據</td>
          <td>需要 game day 驗證</td>
          <td>7.19 → 06 reliability</td>
      </tr>
      <tr>
          <td>演練後任務分散在多處</td>
          <td>需要回寫到 case-to-workflow</td>
          <td>7.19 → 7.16</td>
      </tr>
  </tbody>
</table>
<p>判讀表格的重點是從訊號直接推到下一步行動。這種路由格式可以直接轉成演練 backlog。</p>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/red-team/cases/" data-link-title="7.R7 事故案例庫（可引用）" data-link-desc="把公開事故整理成可引用案例體系，讓服務章節與 incident workflow 可雙向回寫">7.R7 事故案例庫</a></li>
<li><a href="/blog/backend/07-security-data-protection/red-team/control-failure-patterns/" data-link-title="7.R8 控制面失效樣式" data-link-desc="把常見攻擊結果回推成控制面失效樣式">7.R8 控制面失效樣式</a></li>
<li><a href="/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片</a></li>
<li><a href="/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能用一張 problem card 建立一次資安演練。演練設計至少包含場景、角色、訊號、決策點、操作證據、關閉條件與回寫位置。</p>
]]></content:encoded></item><item><title>Resiliency Matrix</title><link>https://tarrragon.github.io/blog/backend/knowledge-cards/resiliency-matrix/</link><pubDate>Tue, 23 Jun 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/knowledge-cards/resiliency-matrix/</guid><description>&lt;p>Resiliency matrix 的核心概念是「用 service × failure mode 的交叉矩陣，把系統的防護狀態從隱性假設變成可檢查資產」。每個交叉點標記 covered（有防護且已驗證）、gap（已知缺口待補）或 in-progress（防護建置中），讓團隊能系統性地追蹤 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/blast-radius/" data-link-title="Blast Radius" data-link-desc="說明事故影響面如何估算與隔離">blast radius&lt;/a> 覆蓋。&lt;/p>
&lt;h2 id="概念位置">概念位置&lt;/h2>
&lt;p>Resiliency matrix 位在 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/blast-radius/" data-link-title="Blast Radius" data-link-desc="說明事故影響面如何估算與隔離">blast radius&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/readiness/" data-link-title="Readiness" data-link-desc="說明 instance 何時可以安全接收流量，以及 readiness 如何和部署平台協作">readiness&lt;/a> 之間。它把失敗模式盤點（FMEA / pre-mortem）的產出結構化成可追蹤矩陣，並驅動 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">game day&lt;/a> 演練題目的選擇 — gap 欄直接成為演練的優先目標。&lt;/p>
&lt;h2 id="可觀察訊號與例子">可觀察訊號與例子&lt;/h2>
&lt;p>需要 resiliency matrix 的訊號是團隊知道有風險但不確定哪些已有防護。典型例子是高峰活動前的準備流程：把所有關鍵服務列成行、所有失敗模式（依賴斷線 / 容量超限 / 資料污染 / 配置漂移）列成列，逐格檢查防護狀態。Shopify 在 BFCM 準備中使用這個工具把年度驗證進度視覺化。&lt;/p>
&lt;h2 id="設計責任">設計責任&lt;/h2>
&lt;p>Resiliency matrix 的責任是把 reliability debt 從模糊的「我們知道有缺口」變成可排序、可追蹤的清單。它的維護節奏跟 &lt;a href="https://tarrragon.github.io/blog/backend/06-reliability/reliability-debt-backlog/" data-link-title="6.21 Reliability Debt Backlog" data-link-desc="把反覆事故、演練缺口與手動修復累積成可排序、可關閉的 reliability debt">6.21 reliability debt backlog&lt;/a> 對齊 — 每次演練後更新 matrix 的 gap/covered 狀態，每季 review matrix 的完整性。matrix 變成文件而不是工具（超過 6 個月未更新、gap 無 owner）是治理失敗的訊號。&lt;/p></description><content:encoded><![CDATA[<p>Resiliency matrix 的核心概念是「用 service × failure mode 的交叉矩陣，把系統的防護狀態從隱性假設變成可檢查資產」。每個交叉點標記 covered（有防護且已驗證）、gap（已知缺口待補）或 in-progress（防護建置中），讓團隊能系統性地追蹤 <a href="/blog/backend/knowledge-cards/blast-radius/" data-link-title="Blast Radius" data-link-desc="說明事故影響面如何估算與隔離">blast radius</a> 覆蓋。</p>
<h2 id="概念位置">概念位置</h2>
<p>Resiliency matrix 位在 <a href="/blog/backend/knowledge-cards/blast-radius/" data-link-title="Blast Radius" data-link-desc="說明事故影響面如何估算與隔離">blast radius</a> 與 <a href="/blog/backend/knowledge-cards/readiness/" data-link-title="Readiness" data-link-desc="說明 instance 何時可以安全接收流量，以及 readiness 如何和部署平台協作">readiness</a> 之間。它把失敗模式盤點（FMEA / pre-mortem）的產出結構化成可追蹤矩陣，並驅動 <a href="/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">game day</a> 演練題目的選擇 — gap 欄直接成為演練的優先目標。</p>
<h2 id="可觀察訊號與例子">可觀察訊號與例子</h2>
<p>需要 resiliency matrix 的訊號是團隊知道有風險但不確定哪些已有防護。典型例子是高峰活動前的準備流程：把所有關鍵服務列成行、所有失敗模式（依賴斷線 / 容量超限 / 資料污染 / 配置漂移）列成列，逐格檢查防護狀態。Shopify 在 BFCM 準備中使用這個工具把年度驗證進度視覺化。</p>
<h2 id="設計責任">設計責任</h2>
<p>Resiliency matrix 的責任是把 reliability debt 從模糊的「我們知道有缺口」變成可排序、可追蹤的清單。它的維護節奏跟 <a href="/blog/backend/06-reliability/reliability-debt-backlog/" data-link-title="6.21 Reliability Debt Backlog" data-link-desc="把反覆事故、演練缺口與手動修復累積成可排序、可關閉的 reliability debt">6.21 reliability debt backlog</a> 對齊 — 每次演練後更新 matrix 的 gap/covered 狀態，每季 review matrix 的完整性。matrix 變成文件而不是工具（超過 6 個月未更新、gap 無 owner）是治理失敗的訊號。</p>
]]></content:encoded></item><item><title>7.B4 Tabletop 與 Game Day 設計</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/</guid><description>&lt;p>本篇的責任是把防守情境轉成可執行演練。讀者讀完後，能從 problem card、公開案例或控制面缺口出發，設計 tabletop exercise 與 game day。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>Tabletop 與 game day 的核心概念是「用受控演練驗證角色、訊號、決策與操作證據」。Tabletop 驗證協作與決策，game day 驗證系統與流程能否實際承接。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/" data-link-title="7.19 資安演練：從 Abuse Case 到 Game Day" data-link-desc="建立 abuse case、tabletop exercise 與 game day 之間的演練大綱">7.19 資安演練：從 Abuse Case 到 Game Day&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day&lt;/a>。&lt;/p>
&lt;h2 id="演練設計欄位">演練設計欄位&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>例子&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Scenario&lt;/td>
 &lt;td>定義演練情境與風險範圍&lt;/td>
 &lt;td>token abuse、data export、supply chain advisory&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Participants&lt;/td>
 &lt;td>定義參與角色與決策權限&lt;/td>
 &lt;td>service owner、security owner、incident commander&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Injects&lt;/td>
 &lt;td>定義逐步釋出的訊號與事件&lt;/td>
 &lt;td>alert、customer report、external advisory&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Expected actions&lt;/td>
 &lt;td>定義預期判讀與操作&lt;/td>
 &lt;td>triage、containment、rollback、communication&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Evidence&lt;/td>
 &lt;td>定義演練後可回查的證據&lt;/td>
 &lt;td>timeline、log、decision record、action item&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Write-back&lt;/td>
 &lt;td>定義更新位置&lt;/td>
 &lt;td>problem card、runbook、release gate、detection rule&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>演練設計欄位的重點是讓演練可重複。當 scenario、injects、expected actions 固定，團隊可以跨季度比較能力變化。&lt;/p>
&lt;h2 id="選題來源">選題來源&lt;/h2>
&lt;p>選題來源的責任是讓演練對準實際風險。建議優先順序：&lt;/p>
&lt;ol>
&lt;li>已出現在 problem card 的高風險流程。&lt;/li>
&lt;li>近期發生變更的關鍵系統。&lt;/li>
&lt;li>近期公開事故對應的同類場景。&lt;/li>
&lt;/ol>
&lt;h2 id="tabletop-設計">Tabletop 設計&lt;/h2>
&lt;p>Tabletop 設計的責任是驗證角色協作與決策節奏。這一層可在不動系統的前提下，先跑完整個判讀與升級路由。&lt;/p>
&lt;p>Tabletop 推薦輸出：&lt;/p>
&lt;ol>
&lt;li>Decision timeline。&lt;/li>
&lt;li>Escalation transitions。&lt;/li>
&lt;li>Communication script。&lt;/li>
&lt;li>Write-back draft。&lt;/li>
&lt;/ol>
&lt;h2 id="game-day-設計">Game Day 設計&lt;/h2>
&lt;p>Game day 設計的責任是驗證實際操作能力。這一層會執行告警處理、控制面操作、放行或回復流程，並收集完整證據。&lt;/p>
&lt;p>Game day 推薦輸出：&lt;/p>
&lt;ol>
&lt;li>Signal evidence：告警、log、metric、trace。&lt;/li>
&lt;li>Action evidence：runbook 操作、gate 決策、rollback 記錄。&lt;/li>
&lt;li>Closure evidence：關閉條件驗證與回寫任務。&lt;/li>
&lt;/ol>
&lt;h2 id="演練觀察與回寫">演練觀察與回寫&lt;/h2>
&lt;p>演練觀察的責任是把事後改進對齊到章節結構。建議每次演練至少回寫三個位置：&lt;/p>
&lt;ol>
&lt;li>blue-team 路由與驗證章節。&lt;/li>
&lt;li>red-team problem cards 失效樣式。&lt;/li>
&lt;li>incident workflow 檢查點與 owner map。&lt;/li>
&lt;/ol>
&lt;h2 id="演練節奏建議">演練節奏建議&lt;/h2>
&lt;p>演練節奏的責任是建立可持續運作 cadence。建議以「月度 tabletop + 季度 game day」組合，並把每輪成果寫入固定回寫模板。&lt;/p>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>團隊知道風險但角色分工未演練&lt;/td>
 &lt;td>需要 tabletop&lt;/td>
 &lt;td>7.B4 → 08&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>runbook 存在但操作證據不足&lt;/td>
 &lt;td>需要 game day&lt;/td>
 &lt;td>7.B4 → 06&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>problem card 很完整但缺少驗證流程&lt;/td>
 &lt;td>需要演練設計&lt;/td>
 &lt;td>7.B4 → 7.19&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>演練結果沒有更新控制面&lt;/td>
 &lt;td>需要 write-back loop&lt;/td>
 &lt;td>7.B4 → 7.B3&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>判讀表格可以當作演練發起條件。當任一列被命中，團隊就有清楚起點啟動演練設計。&lt;/p>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/" data-link-title="7.19 資安演練：從 Abuse Case 到 Game Day" data-link-desc="建立 abuse case、tabletop exercise 與 game day 之間的演練大綱">7.19 資安演練：從 Abuse Case 到 Game Day&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3 資安控制驗證&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能設計一次 tabletop 或 game day。演練設計至少包含 scenario、participants、injects、expected actions、evidence、exit condition 與 write-back target。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是把防守情境轉成可執行演練。讀者讀完後，能從 problem card、公開案例或控制面缺口出發，設計 tabletop exercise 與 game day。</p>
<h2 id="核心論點">核心論點</h2>
<p>Tabletop 與 game day 的核心概念是「用受控演練驗證角色、訊號、決策與操作證據」。Tabletop 驗證協作與決策，game day 驗證系統與流程能否實際承接。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/" data-link-title="7.19 資安演練：從 Abuse Case 到 Game Day" data-link-desc="建立 abuse case、tabletop exercise 與 game day 之間的演練大綱">7.19 資安演練：從 Abuse Case 到 Game Day</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由</a> 與 <a href="/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day</a>。</p>
<h2 id="演練設計欄位">演練設計欄位</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
          <th>例子</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Scenario</td>
          <td>定義演練情境與風險範圍</td>
          <td>token abuse、data export、supply chain advisory</td>
      </tr>
      <tr>
          <td>Participants</td>
          <td>定義參與角色與決策權限</td>
          <td>service owner、security owner、incident commander</td>
      </tr>
      <tr>
          <td>Injects</td>
          <td>定義逐步釋出的訊號與事件</td>
          <td>alert、customer report、external advisory</td>
      </tr>
      <tr>
          <td>Expected actions</td>
          <td>定義預期判讀與操作</td>
          <td>triage、containment、rollback、communication</td>
      </tr>
      <tr>
          <td>Evidence</td>
          <td>定義演練後可回查的證據</td>
          <td>timeline、log、decision record、action item</td>
      </tr>
      <tr>
          <td>Write-back</td>
          <td>定義更新位置</td>
          <td>problem card、runbook、release gate、detection rule</td>
      </tr>
  </tbody>
</table>
<p>演練設計欄位的重點是讓演練可重複。當 scenario、injects、expected actions 固定，團隊可以跨季度比較能力變化。</p>
<h2 id="選題來源">選題來源</h2>
<p>選題來源的責任是讓演練對準實際風險。建議優先順序：</p>
<ol>
<li>已出現在 problem card 的高風險流程。</li>
<li>近期發生變更的關鍵系統。</li>
<li>近期公開事故對應的同類場景。</li>
</ol>
<h2 id="tabletop-設計">Tabletop 設計</h2>
<p>Tabletop 設計的責任是驗證角色協作與決策節奏。這一層可在不動系統的前提下，先跑完整個判讀與升級路由。</p>
<p>Tabletop 推薦輸出：</p>
<ol>
<li>Decision timeline。</li>
<li>Escalation transitions。</li>
<li>Communication script。</li>
<li>Write-back draft。</li>
</ol>
<h2 id="game-day-設計">Game Day 設計</h2>
<p>Game day 設計的責任是驗證實際操作能力。這一層會執行告警處理、控制面操作、放行或回復流程，並收集完整證據。</p>
<p>Game day 推薦輸出：</p>
<ol>
<li>Signal evidence：告警、log、metric、trace。</li>
<li>Action evidence：runbook 操作、gate 決策、rollback 記錄。</li>
<li>Closure evidence：關閉條件驗證與回寫任務。</li>
</ol>
<h2 id="演練觀察與回寫">演練觀察與回寫</h2>
<p>演練觀察的責任是把事後改進對齊到章節結構。建議每次演練至少回寫三個位置：</p>
<ol>
<li>blue-team 路由與驗證章節。</li>
<li>red-team problem cards 失效樣式。</li>
<li>incident workflow 檢查點與 owner map。</li>
</ol>
<h2 id="演練節奏建議">演練節奏建議</h2>
<p>演練節奏的責任是建立可持續運作 cadence。建議以「月度 tabletop + 季度 game day」組合，並把每輪成果寫入固定回寫模板。</p>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>團隊知道風險但角色分工未演練</td>
          <td>需要 tabletop</td>
          <td>7.B4 → 08</td>
      </tr>
      <tr>
          <td>runbook 存在但操作證據不足</td>
          <td>需要 game day</td>
          <td>7.B4 → 06</td>
      </tr>
      <tr>
          <td>problem card 很完整但缺少驗證流程</td>
          <td>需要演練設計</td>
          <td>7.B4 → 7.19</td>
      </tr>
      <tr>
          <td>演練結果沒有更新控制面</td>
          <td>需要 write-back loop</td>
          <td>7.B4 → 7.B3</td>
      </tr>
  </tbody>
</table>
<p>判讀表格可以當作演練發起條件。當任一列被命中，團隊就有清楚起點啟動演練設計。</p>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片</a></li>
<li><a href="/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow</a></li>
<li><a href="/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/" data-link-title="7.19 資安演練：從 Abuse Case 到 Game Day" data-link-desc="建立 abuse case、tabletop exercise 與 game day 之間的演練大綱">7.19 資安演練：從 Abuse Case 到 Game Day</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3 資安控制驗證</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能設計一次 tabletop 或 game day。演練設計至少包含 scenario、participants、injects、expected actions、evidence、exit condition 與 write-back target。</p>
]]></content:encoded></item><item><title>7.B9 Blue Team Scenario Library</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/blue-team-scenario-library/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/blue-team-scenario-library/</guid><description>&lt;p>本篇的責任是建立 blue team scenario library。讀者讀完後，能把風險情境轉成可演練劇本與回寫欄位。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>Scenario library 的核心概念是把防守知識轉成可重播情境。可重播情境讓控制驗證從一次性討論變成可累積資產。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">7.BM3 藍隊推演情境素材&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7 Threat-Informed Validation&lt;/a>。&lt;/p>
&lt;h2 id="情境卡模板">情境卡模板&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>產出&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Trigger&lt;/td>
 &lt;td>定義起始訊號&lt;/td>
 &lt;td>scenario trigger&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Hypothesis&lt;/td>
 &lt;td>定義初始判讀與替代假設&lt;/td>
 &lt;td>triage note&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Control surface&lt;/td>
 &lt;td>定義要驗證的控制面&lt;/td>
 &lt;td>control checklist&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Response route&lt;/td>
 &lt;td>定義分級、接手與升級&lt;/td>
 &lt;td>response path&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Evidence target&lt;/td>
 &lt;td>定義要保留的證據&lt;/td>
 &lt;td>evidence list&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Write-back target&lt;/td>
 &lt;td>定義要回寫的位置&lt;/td>
 &lt;td>update backlog&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="初始情境組合">初始情境組合&lt;/h2>
&lt;p>初始情境組合的責任是聚焦高價值風險。可先固定四組：&lt;/p>
&lt;ol>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/identity-support-token-tabletop/" data-link-title="Identity Support Token Tabletop" data-link-desc="以支援流程與 session token 風險設計身份接管 tabletop 情境">Identity Support Token Tabletop&lt;/a>：支援流程、session token 與客戶通報。&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/edge-session-hijack-game-day/" data-link-title="Edge Session Hijack Game Day" data-link-desc="以入口設備 session disclosure 風險設計 edge exposure game day">Edge Session Hijack Game Day&lt;/a>：入口曝險、修補後 hunting 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/session-invalidation/" data-link-title="Session Invalidation" data-link-desc="說明事件後如何讓既有會話失效，避免被重放或延續利用">session invalidation&lt;/a>。&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/supply-chain-artifact-drill/" data-link-title="Supply Chain Artifact Drill" data-link-desc="以 artifact provenance 偏移設計供應鏈 release gate 與 rollback 演練">Supply Chain Artifact Drill&lt;/a>：artifact provenance、release freeze 與 rollback。&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">Low-frequency Exfiltration Tabletop&lt;/a>：資料範圍判讀、通報與證據保存。&lt;/li>
&lt;/ol>
&lt;h2 id="source-first-情境規則">Source-first 情境規則&lt;/h2>
&lt;p>情境庫的責任是把真實案例轉成可重播演練。每張情境卡都要能回查到 field case 或 professional source，並把事件細節轉譯成通用服務壓力。&lt;/p>
&lt;p>Source-first 讓情境保留真實防守壓力，同時避免把單一公司事件寫成讀者必須照抄的流程。情境卡負責抽出 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。&lt;/p>
&lt;h2 id="演練節奏">演練節奏&lt;/h2>
&lt;p>演練節奏的責任是讓情境能持續更新。每輪演練後同步更新觸發條件、分級基準、證據欄位與 runbook，並記錄下一輪要驗證的假設。&lt;/p>
&lt;h2 id="指標設計">指標設計&lt;/h2>
&lt;p>指標設計的責任是評估情境品質。建議追蹤命中率、triage 時間、升級一致性、證據完整度與回寫完成率。&lt;/p>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>演練腳本每次都重寫&lt;/td>
 &lt;td>需要固定情境卡模板&lt;/td>
 &lt;td>7.B9 → 7.BM3&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>演練命中訊號但處置不同步&lt;/td>
 &lt;td>需要補 response route&lt;/td>
 &lt;td>7.B9 → 7.B6&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>演練結束後無回寫任務&lt;/td>
 &lt;td>需要補 write-back target&lt;/td>
 &lt;td>7.B9 → 7.24&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>情境只覆蓋單一風險類型&lt;/td>
 &lt;td>需要擴充 threat 組合&lt;/td>
 &lt;td>7.B9 → 7.B7&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6 Incident Triage Loop&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7 Threat-Informed Validation&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">7.BM3 藍隊推演情境素材&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/" data-link-title="7.BM2 藍隊現場案例素材" data-link-desc="定義藍隊現場案例的收錄規則，支援後續防守推演與控制面補強">7.BM2 藍隊現場案例素材&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能把一個風險轉成可演練情境。輸出至少包含 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是建立 blue team scenario library。讀者讀完後，能把風險情境轉成可演練劇本與回寫欄位。</p>
<h2 id="核心論點">核心論點</h2>
<p>Scenario library 的核心概念是把防守知識轉成可重播情境。可重播情境讓控制驗證從一次性討論變成可累積資產。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計</a>、<a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">7.BM3 藍隊推演情境素材</a> 與 <a href="/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7 Threat-Informed Validation</a>。</p>
<h2 id="情境卡模板">情境卡模板</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
          <th>產出</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Trigger</td>
          <td>定義起始訊號</td>
          <td>scenario trigger</td>
      </tr>
      <tr>
          <td>Hypothesis</td>
          <td>定義初始判讀與替代假設</td>
          <td>triage note</td>
      </tr>
      <tr>
          <td>Control surface</td>
          <td>定義要驗證的控制面</td>
          <td>control checklist</td>
      </tr>
      <tr>
          <td>Response route</td>
          <td>定義分級、接手與升級</td>
          <td>response path</td>
      </tr>
      <tr>
          <td>Evidence target</td>
          <td>定義要保留的證據</td>
          <td>evidence list</td>
      </tr>
      <tr>
          <td>Write-back target</td>
          <td>定義要回寫的位置</td>
          <td>update backlog</td>
      </tr>
  </tbody>
</table>
<h2 id="初始情境組合">初始情境組合</h2>
<p>初始情境組合的責任是聚焦高價值風險。可先固定四組：</p>
<ol>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/identity-support-token-tabletop/" data-link-title="Identity Support Token Tabletop" data-link-desc="以支援流程與 session token 風險設計身份接管 tabletop 情境">Identity Support Token Tabletop</a>：支援流程、session token 與客戶通報。</li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/edge-session-hijack-game-day/" data-link-title="Edge Session Hijack Game Day" data-link-desc="以入口設備 session disclosure 風險設計 edge exposure game day">Edge Session Hijack Game Day</a>：入口曝險、修補後 hunting 與 <a href="/blog/backend/knowledge-cards/session-invalidation/" data-link-title="Session Invalidation" data-link-desc="說明事件後如何讓既有會話失效，避免被重放或延續利用">session invalidation</a>。</li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/supply-chain-artifact-drill/" data-link-title="Supply Chain Artifact Drill" data-link-desc="以 artifact provenance 偏移設計供應鏈 release gate 與 rollback 演練">Supply Chain Artifact Drill</a>：artifact provenance、release freeze 與 rollback。</li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">Low-frequency Exfiltration Tabletop</a>：資料範圍判讀、通報與證據保存。</li>
</ol>
<h2 id="source-first-情境規則">Source-first 情境規則</h2>
<p>情境庫的責任是把真實案例轉成可重播演練。每張情境卡都要能回查到 field case 或 professional source，並把事件細節轉譯成通用服務壓力。</p>
<p>Source-first 讓情境保留真實防守壓力，同時避免把單一公司事件寫成讀者必須照抄的流程。情境卡負責抽出 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。</p>
<h2 id="演練節奏">演練節奏</h2>
<p>演練節奏的責任是讓情境能持續更新。每輪演練後同步更新觸發條件、分級基準、證據欄位與 runbook，並記錄下一輪要驗證的假設。</p>
<h2 id="指標設計">指標設計</h2>
<p>指標設計的責任是評估情境品質。建議追蹤命中率、triage 時間、升級一致性、證據完整度與回寫完成率。</p>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>演練腳本每次都重寫</td>
          <td>需要固定情境卡模板</td>
          <td>7.B9 → 7.BM3</td>
      </tr>
      <tr>
          <td>演練命中訊號但處置不同步</td>
          <td>需要補 response route</td>
          <td>7.B9 → 7.B6</td>
      </tr>
      <tr>
          <td>演練結束後無回寫任務</td>
          <td>需要補 write-back target</td>
          <td>7.B9 → 7.24</td>
      </tr>
      <tr>
          <td>情境只覆蓋單一風險類型</td>
          <td>需要擴充 threat 組合</td>
          <td>7.B9 → 7.B7</td>
      </tr>
  </tbody>
</table>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6 Incident Triage Loop</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7 Threat-Informed Validation</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">7.BM3 藍隊推演情境素材</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/" data-link-title="7.BM2 藍隊現場案例素材" data-link-desc="定義藍隊現場案例的收錄規則，支援後續防守推演與控制面補強">7.BM2 藍隊現場案例素材</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能把一個風險轉成可演練情境。輸出至少包含 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。</p>
]]></content:encoded></item><item><title>Edge Session Hijack Game Day</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/edge-session-hijack-game-day/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/edge-session-hijack-game-day/</guid><description>&lt;p>本情境的責任是演練入口設備修補後的 session 收斂。它以 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/citrix-bleed-2023-edge-session-pressure/" data-link-title="Citrix Bleed 2023：入口曝險與 Session 壓力" data-link-desc="把 Citrix Bleed 轉成入口曝險、session hijack 與修補後 hunting 的藍隊案例素材">Citrix Bleed 2023 edge session case&lt;/a> 為來源，轉成通用 edge gateway game day。&lt;/p>
&lt;h2 id="scenario-trigger">Scenario Trigger&lt;/h2>
&lt;p>外部 advisory 指出 edge gateway 存在已被利用的 session disclosure vulnerability。平台團隊已完成 patch，但 SOC 仍看到部分高權限 session 在異常來源延續。&lt;/p>
&lt;h2 id="initial-hypothesis">Initial Hypothesis&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>假設&lt;/th>
 &lt;th>驗證資料&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>vulnerability 已被利用&lt;/td>
 &lt;td>edge access log、IOC、exploit trace&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>patch 已完成但 session 仍有效&lt;/td>
 &lt;td>patch record、session store、gateway log&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>downstream service 已受影響&lt;/td>
 &lt;td>API access log、admin action、audit log&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="control-surface">Control Surface&lt;/h2>
&lt;p>控制面包含 public entrypoint、patch management、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/session-invalidation/" data-link-title="Session Invalidation" data-link-desc="說明事件後如何讓既有會話失效，避免被重放或延續利用">session invalidation&lt;/a>、containment、hunting 與 incident severity。&lt;/p>
&lt;h2 id="response-route">Response Route&lt;/h2>
&lt;ol>
&lt;li>Observed：確認 CVE、暴露資產與 patch 狀態。&lt;/li>
&lt;li>Assessed：比對 IOC、session activity 與 high-risk account。&lt;/li>
&lt;li>Mitigated：限縮 gateway access、撤銷 session、提升監控。&lt;/li>
&lt;li>Validated：確認新 session policy、log coverage 與 downstream audit。&lt;/li>
&lt;li>Closed：更新 vulnerability response 與 edge runbook。&lt;/li>
&lt;/ol>
&lt;h2 id="evidence-target">Evidence Target&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>證據&lt;/th>
 &lt;th>用途&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>patch record&lt;/td>
 &lt;td>證明曝險窗口&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>gateway access log&lt;/td>
 &lt;td>判斷 session disclosure 範圍&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>session invalidation record&lt;/td>
 &lt;td>證明 containment 完成&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>downstream audit log&lt;/td>
 &lt;td>判斷服務影響&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="write-back-target">Write-back Target&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">7.3 入口治理與伺服器防護&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/vulnerability-response-state-machine/" data-link-title="7.B11 Vulnerability Response State Machine" data-link-desc="把漏洞回應拆成狀態機，建立 observed 到 closed 的可交接流程">7.B11 Vulnerability Response State Machine&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/vulnerability-response-pattern/" data-link-title="Vulnerability Response Pattern" data-link-desc="定義漏洞回應如何從 observed 推進到 assessed、mitigated、patched、validated 與 closed">Vulnerability response pattern&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/evidence-chain-pattern/" data-link-title="Evidence Chain Pattern" data-link-desc="定義事故與演練需要保存的訊號、決策、artifact、timeline 與 retention 證據">Evidence chain pattern&lt;/a>&lt;/li>
&lt;/ul></description><content:encoded><![CDATA[<p>本情境的責任是演練入口設備修補後的 session 收斂。它以 <a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/citrix-bleed-2023-edge-session-pressure/" data-link-title="Citrix Bleed 2023：入口曝險與 Session 壓力" data-link-desc="把 Citrix Bleed 轉成入口曝險、session hijack 與修補後 hunting 的藍隊案例素材">Citrix Bleed 2023 edge session case</a> 為來源，轉成通用 edge gateway game day。</p>
<h2 id="scenario-trigger">Scenario Trigger</h2>
<p>外部 advisory 指出 edge gateway 存在已被利用的 session disclosure vulnerability。平台團隊已完成 patch，但 SOC 仍看到部分高權限 session 在異常來源延續。</p>
<h2 id="initial-hypothesis">Initial Hypothesis</h2>
<table>
  <thead>
      <tr>
          <th>假設</th>
          <th>驗證資料</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>vulnerability 已被利用</td>
          <td>edge access log、IOC、exploit trace</td>
      </tr>
      <tr>
          <td>patch 已完成但 session 仍有效</td>
          <td>patch record、session store、gateway log</td>
      </tr>
      <tr>
          <td>downstream service 已受影響</td>
          <td>API access log、admin action、audit log</td>
      </tr>
  </tbody>
</table>
<h2 id="control-surface">Control Surface</h2>
<p>控制面包含 public entrypoint、patch management、<a href="/blog/backend/knowledge-cards/session-invalidation/" data-link-title="Session Invalidation" data-link-desc="說明事件後如何讓既有會話失效，避免被重放或延續利用">session invalidation</a>、containment、hunting 與 incident severity。</p>
<h2 id="response-route">Response Route</h2>
<ol>
<li>Observed：確認 CVE、暴露資產與 patch 狀態。</li>
<li>Assessed：比對 IOC、session activity 與 high-risk account。</li>
<li>Mitigated：限縮 gateway access、撤銷 session、提升監控。</li>
<li>Validated：確認新 session policy、log coverage 與 downstream audit。</li>
<li>Closed：更新 vulnerability response 與 edge runbook。</li>
</ol>
<h2 id="evidence-target">Evidence Target</h2>
<table>
  <thead>
      <tr>
          <th>證據</th>
          <th>用途</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>patch record</td>
          <td>證明曝險窗口</td>
      </tr>
      <tr>
          <td>gateway access log</td>
          <td>判斷 session disclosure 範圍</td>
      </tr>
      <tr>
          <td>session invalidation record</td>
          <td>證明 containment 完成</td>
      </tr>
      <tr>
          <td>downstream audit log</td>
          <td>判斷服務影響</td>
      </tr>
  </tbody>
</table>
<h2 id="write-back-target">Write-back Target</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/entrypoint-and-server-protection/" data-link-title="7.3 入口治理與伺服器防護" data-link-desc="以問題驅動方式整理對外入口、管理平面與伺服器邊界">7.3 入口治理與伺服器防護</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/vulnerability-response-state-machine/" data-link-title="7.B11 Vulnerability Response State Machine" data-link-desc="把漏洞回應拆成狀態機，建立 observed 到 closed 的可交接流程">7.B11 Vulnerability Response State Machine</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/vulnerability-response-pattern/" data-link-title="Vulnerability Response Pattern" data-link-desc="定義漏洞回應如何從 observed 推進到 assessed、mitigated、patched、validated 與 closed">Vulnerability response pattern</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/evidence-chain-pattern/" data-link-title="Evidence Chain Pattern" data-link-desc="定義事故與演練需要保存的訊號、決策、artifact、timeline 與 retention 證據">Evidence chain pattern</a></li>
</ul>
]]></content:encoded></item><item><title>Exercise Write-back Pattern</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/</guid><description>&lt;p>Exercise write-back pattern 的責任是把演練結果轉成工程任務。演練完成後，finding 需要回寫到控制面、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook&lt;/a>、owner、tripwire 與後續驗證節奏。&lt;/p>
&lt;h2 id="支撐素材">支撐素材&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>素材&lt;/th>
 &lt;th>可支撐論點&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/moveit-2023-mft-exfiltration-pressure/" data-link-title="MOVEit 2023：MFT 外送與通報壓力" data-link-desc="把 MOVEit Transfer exploitation 轉成資料外送、影響範圍判讀與通報壓力的藍隊案例素材">MOVEit exfiltration case&lt;/a>&lt;/td>
 &lt;td>data scope 與 notification finding 需要回寫資料出口控制&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/3cx-2023-supply-chain-artifact-pressure/" data-link-title="3CX 2023：供應鏈 Artifact 壓力" data-link-desc="把 3CX supply chain compromise 轉成 build、artifact、來源信任與 release gate 的藍隊案例素材">3CX supply chain case&lt;/a>&lt;/td>
 &lt;td>release gate、artifact provenance 與 customer advisory 需要回寫&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/nist-sp-800-61r3-incident-response/" data-link-title="NIST SP 800-61r3：事故回應作為風險管理能力" data-link-desc="把 NIST SP 800-61r3 轉成藍隊事故回應與風險治理素材">NIST SP 800-61r3&lt;/a>&lt;/td>
 &lt;td>incident response 應納入治理、復原與持續改進&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="欄位">欄位&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Finding&lt;/td>
 &lt;td>描述演練中觀察到的缺口&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Control update&lt;/td>
 &lt;td>定義控制面要改什麼&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Runbook update&lt;/td>
 &lt;td>定義操作流程要補什麼&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Owner&lt;/td>
 &lt;td>指定回寫任務主責&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Tripwire&lt;/td>
 &lt;td>定義何時重新演練或升級&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="判讀訊號">判讀訊號&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>演練結束後只有會議紀錄&lt;/td>
 &lt;td>需要 finding 到 task 的回寫欄位&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>同一缺口在多次 tabletop 重複出現&lt;/td>
 &lt;td>需要 owner 與 tripwire&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>情境有結論但 release gate 沒變&lt;/td>
 &lt;td>需要 control update 與驗證條件&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="適用邊界">適用邊界&lt;/h2>
&lt;p>此模式適合 tabletop、game day、incident postmortem 與 threat-informed validation。小型演練可保留 finding、owner 與 due date，重大演練要完整回寫控制面與 tripwire。&lt;/p>
&lt;h2 id="下一步路由">下一步路由&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">Low-frequency exfiltration tabletop&lt;/a>&lt;/li>
&lt;/ul></description><content:encoded><![CDATA[<p>Exercise write-back pattern 的責任是把演練結果轉成工程任務。演練完成後，finding 需要回寫到控制面、<a href="/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook</a>、owner、tripwire 與後續驗證節奏。</p>
<h2 id="支撐素材">支撐素材</h2>
<table>
  <thead>
      <tr>
          <th>素材</th>
          <th>可支撐論點</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/moveit-2023-mft-exfiltration-pressure/" data-link-title="MOVEit 2023：MFT 外送與通報壓力" data-link-desc="把 MOVEit Transfer exploitation 轉成資料外送、影響範圍判讀與通報壓力的藍隊案例素材">MOVEit exfiltration case</a></td>
          <td>data scope 與 notification finding 需要回寫資料出口控制</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/3cx-2023-supply-chain-artifact-pressure/" data-link-title="3CX 2023：供應鏈 Artifact 壓力" data-link-desc="把 3CX supply chain compromise 轉成 build、artifact、來源信任與 release gate 的藍隊案例素材">3CX supply chain case</a></td>
          <td>release gate、artifact provenance 與 customer advisory 需要回寫</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/professional-sources/nist-sp-800-61r3-incident-response/" data-link-title="NIST SP 800-61r3：事故回應作為風險管理能力" data-link-desc="把 NIST SP 800-61r3 轉成藍隊事故回應與風險治理素材">NIST SP 800-61r3</a></td>
          <td>incident response 應納入治理、復原與持續改進</td>
      </tr>
  </tbody>
</table>
<h2 id="欄位">欄位</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Finding</td>
          <td>描述演練中觀察到的缺口</td>
      </tr>
      <tr>
          <td>Control update</td>
          <td>定義控制面要改什麼</td>
      </tr>
      <tr>
          <td>Runbook update</td>
          <td>定義操作流程要補什麼</td>
      </tr>
      <tr>
          <td>Owner</td>
          <td>指定回寫任務主責</td>
      </tr>
      <tr>
          <td>Tripwire</td>
          <td>定義何時重新演練或升級</td>
      </tr>
  </tbody>
</table>
<h2 id="判讀訊號">判讀訊號</h2>
<table>
  <thead>
      <tr>
          <th>訊號</th>
          <th>代表需求</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>演練結束後只有會議紀錄</td>
          <td>需要 finding 到 task 的回寫欄位</td>
      </tr>
      <tr>
          <td>同一缺口在多次 tabletop 重複出現</td>
          <td>需要 owner 與 tripwire</td>
      </tr>
      <tr>
          <td>情境有結論但 release gate 沒變</td>
          <td>需要 control update 與驗證條件</td>
      </tr>
  </tbody>
</table>
<h2 id="適用邊界">適用邊界</h2>
<p>此模式適合 tabletop、game day、incident postmortem 與 threat-informed validation。小型演練可保留 finding、owner 與 due date，重大演練要完整回寫控制面與 tripwire。</p>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計</a></li>
<li><a href="/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">Low-frequency exfiltration tabletop</a></li>
</ul>
]]></content:encoded></item></channel></rss>