<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Tabletop on Tarragon</title><link>https://tarrragon.github.io/blog/tags/tabletop/</link><description>Recent content in Tabletop on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 30 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/tabletop/index.xml" rel="self" type="application/rss+xml"/><item><title>7.19 資安演練：從 Abuse Case 到 Game Day</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/</guid><description>&lt;p>本篇的責任是把資安問題節點轉成可演練的團隊流程。讀者讀完後，能從一張 abuse case 或 problem card 出發，設計 tabletop exercise、game day 與回寫任務。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>資安演練的核心概念是「用受控情境驗證控制面與協作流程」。Abuse case 提供攻擊或濫用假設，game day 驗證團隊能否在訊號、角色與決策節奏上完成收斂。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day&lt;/a>。它把資安案例庫轉成演練材料。&lt;/p>
&lt;h2 id="演練模型">演練模型&lt;/h2>
&lt;p>演練模型的責任是把不同粒度的材料放在同一條路徑上：&lt;/p>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>材料&lt;/th>
 &lt;th>演練用途&lt;/th>
 &lt;th>產出&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/abuse-case/" data-link-title="Abuse Case" data-link-desc="說明合法功能如何被惡意轉用成突破或濫用路徑">Abuse Case&lt;/a>&lt;/td>
 &lt;td>定義合法功能被濫用的情境&lt;/td>
 &lt;td>濫用路徑、風險範圍、判讀訊號&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Problem Card&lt;/td>
 &lt;td>定義可重複失效樣式&lt;/td>
 &lt;td>控制面假設、驗證問題&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Tabletop Exercise&lt;/td>
 &lt;td>驗證角色與決策流程&lt;/td>
 &lt;td>指揮節奏、升級路徑、缺口清單&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day&lt;/a>&lt;/td>
 &lt;td>驗證系統與團隊反應&lt;/td>
 &lt;td>操作證據、修復任務、回寫項目&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>這條路徑的關鍵是先用抽象層材料定義問題，再用現場演練驗證行為。如此可以讓同一張 problem card 在不同服務情境重用。&lt;/p>
&lt;h2 id="演練前置設計">演練前置設計&lt;/h2>
&lt;p>演練前置設計的責任是讓每次演練都能回答同一組問題，並用固定欄位維持命名一致性。建議欄位如下：&lt;/p>
&lt;ol>
&lt;li>Scenario：定義服務情境與風險邊界。&lt;/li>
&lt;li>Trigger：定義演練起點訊號。&lt;/li>
&lt;li>Roles：定義決策角色與操作角色。&lt;/li>
&lt;li>Expected path：定義預期路由與完成條件。&lt;/li>
&lt;li>Evidence：定義演練後要保留的證據。&lt;/li>
&lt;/ol>
&lt;h2 id="tabletop-演練">Tabletop 演練&lt;/h2>
&lt;p>Tabletop 的責任是驗證決策與協作。重點是讓角色在時間壓力下仍能維持一致路由，並把升級流程與外部溝通節奏跑過一次。&lt;/p>
&lt;p>Tabletop 推薦輸出：&lt;/p>
&lt;ol>
&lt;li>Decision timeline：每個決策點何時產生、由誰承接。&lt;/li>
&lt;li>Escalation record：何時升級、升級依據為何。&lt;/li>
&lt;li>Gap list：本輪找到的流程缺口。&lt;/li>
&lt;/ol>
&lt;h2 id="game-day-演練">Game Day 演練&lt;/h2>
&lt;p>Game day 的責任是驗證系統與流程在真實操作下的穩定度。重點是把 control path、alert path、recovery path 串在同一輪場景。&lt;/p>
&lt;p>Game day 推薦輸出：&lt;/p>
&lt;ol>
&lt;li>Signal evidence：告警、log、metric、trace 片段。&lt;/li>
&lt;li>Control evidence：release gate、rollback、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/token-revocation/" data-link-title="Token Revocation" data-link-desc="說明事件中如何撤銷 token，縮短可利用窗口">token revocation&lt;/a> 操作記錄。&lt;/li>
&lt;li>Write-back task：對應回寫到章節與卡片的位置。&lt;/li>
&lt;/ol>
&lt;h2 id="演練回寫流程">演練回寫流程&lt;/h2>
&lt;p>演練回寫的責任是讓演練成果進入知識網。建議回寫順序：&lt;/p>
&lt;ol>
&lt;li>先回寫 problem card 的失效樣式與補強點。&lt;/li>
&lt;li>再回寫 7.x 判讀訊號與風險邊界描述。&lt;/li>
&lt;li>最後回寫 incident workflow 的任務模板與檢查點。&lt;/li>
&lt;/ol>
&lt;h2 id="兩種常見演練場景">兩種常見演練場景&lt;/h2>
&lt;ol>
&lt;li>身份與會話場景：檢查 token 濫用、權限收斂與 session 失效節奏。&lt;/li>
&lt;li>供應鏈場景：檢查 artifact provenance、release freeze、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/tripwire/" data-link-title="Tripwire" data-link-desc="說明風險決策在條件變化時如何自動回到評估流程">tripwire&lt;/a> 與放行條件。&lt;/li>
&lt;/ol>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表演練需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>problem card 已存在但缺少驗證情境&lt;/td>
 &lt;td>需要設計 abuse case 演練&lt;/td>
 &lt;td>7.19 → tabletop&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>控制面描述完整但角色分工鬆散&lt;/td>
 &lt;td>需要 tabletop exercise&lt;/td>
 &lt;td>7.19 → escalation path&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>runbook 存在但缺少實際操作證據&lt;/td>
 &lt;td>需要 game day 驗證&lt;/td>
 &lt;td>7.19 → 06 reliability&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>演練後任務分散在多處&lt;/td>
 &lt;td>需要回寫到 case-to-workflow&lt;/td>
 &lt;td>7.19 → 7.16&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>判讀表格的重點是從訊號直接推到下一步行動。這種路由格式可以直接轉成演練 backlog。&lt;/p>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/cases/" data-link-title="7.R7 事故案例庫（可引用）" data-link-desc="把公開事故整理成可引用案例體系，讓服務章節與 incident workflow 可雙向回寫">7.R7 事故案例庫&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/control-failure-patterns/" data-link-title="7.R8 控制面失效樣式" data-link-desc="把常見攻擊結果回推成控制面失效樣式">7.R8 控制面失效樣式&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能用一張 problem card 建立一次資安演練。演練設計至少包含場景、角色、訊號、決策點、操作證據、關閉條件與回寫位置。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是把資安問題節點轉成可演練的團隊流程。讀者讀完後，能從一張 abuse case 或 problem card 出發，設計 tabletop exercise、game day 與回寫任務。</p>
<h2 id="核心論點">核心論點</h2>
<p>資安演練的核心概念是「用受控情境驗證控制面與協作流程」。Abuse case 提供攻擊或濫用假設，game day 驗證團隊能否在訊號、角色與決策節奏上完成收斂。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片</a>、<a href="/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow</a> 與 <a href="/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day</a>。它把資安案例庫轉成演練材料。</p>
<h2 id="演練模型">演練模型</h2>
<p>演練模型的責任是把不同粒度的材料放在同一條路徑上：</p>
<table>
  <thead>
      <tr>
          <th>材料</th>
          <th>演練用途</th>
          <th>產出</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/knowledge-cards/abuse-case/" data-link-title="Abuse Case" data-link-desc="說明合法功能如何被惡意轉用成突破或濫用路徑">Abuse Case</a></td>
          <td>定義合法功能被濫用的情境</td>
          <td>濫用路徑、風險範圍、判讀訊號</td>
      </tr>
      <tr>
          <td>Problem Card</td>
          <td>定義可重複失效樣式</td>
          <td>控制面假設、驗證問題</td>
      </tr>
      <tr>
          <td>Tabletop Exercise</td>
          <td>驗證角色與決策流程</td>
          <td>指揮節奏、升級路徑、缺口清單</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day</a></td>
          <td>驗證系統與團隊反應</td>
          <td>操作證據、修復任務、回寫項目</td>
      </tr>
  </tbody>
</table>
<p>這條路徑的關鍵是先用抽象層材料定義問題，再用現場演練驗證行為。如此可以讓同一張 problem card 在不同服務情境重用。</p>
<h2 id="演練前置設計">演練前置設計</h2>
<p>演練前置設計的責任是讓每次演練都能回答同一組問題，並用固定欄位維持命名一致性。建議欄位如下：</p>
<ol>
<li>Scenario：定義服務情境與風險邊界。</li>
<li>Trigger：定義演練起點訊號。</li>
<li>Roles：定義決策角色與操作角色。</li>
<li>Expected path：定義預期路由與完成條件。</li>
<li>Evidence：定義演練後要保留的證據。</li>
</ol>
<h2 id="tabletop-演練">Tabletop 演練</h2>
<p>Tabletop 的責任是驗證決策與協作。重點是讓角色在時間壓力下仍能維持一致路由，並把升級流程與外部溝通節奏跑過一次。</p>
<p>Tabletop 推薦輸出：</p>
<ol>
<li>Decision timeline：每個決策點何時產生、由誰承接。</li>
<li>Escalation record：何時升級、升級依據為何。</li>
<li>Gap list：本輪找到的流程缺口。</li>
</ol>
<h2 id="game-day-演練">Game Day 演練</h2>
<p>Game day 的責任是驗證系統與流程在真實操作下的穩定度。重點是把 control path、alert path、recovery path 串在同一輪場景。</p>
<p>Game day 推薦輸出：</p>
<ol>
<li>Signal evidence：告警、log、metric、trace 片段。</li>
<li>Control evidence：release gate、rollback、<a href="/blog/backend/knowledge-cards/token-revocation/" data-link-title="Token Revocation" data-link-desc="說明事件中如何撤銷 token，縮短可利用窗口">token revocation</a> 操作記錄。</li>
<li>Write-back task：對應回寫到章節與卡片的位置。</li>
</ol>
<h2 id="演練回寫流程">演練回寫流程</h2>
<p>演練回寫的責任是讓演練成果進入知識網。建議回寫順序：</p>
<ol>
<li>先回寫 problem card 的失效樣式與補強點。</li>
<li>再回寫 7.x 判讀訊號與風險邊界描述。</li>
<li>最後回寫 incident workflow 的任務模板與檢查點。</li>
</ol>
<h2 id="兩種常見演練場景">兩種常見演練場景</h2>
<ol>
<li>身份與會話場景：檢查 token 濫用、權限收斂與 session 失效節奏。</li>
<li>供應鏈場景：檢查 artifact provenance、release freeze、<a href="/blog/backend/knowledge-cards/tripwire/" data-link-title="Tripwire" data-link-desc="說明風險決策在條件變化時如何自動回到評估流程">tripwire</a> 與放行條件。</li>
</ol>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表演練需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>problem card 已存在但缺少驗證情境</td>
          <td>需要設計 abuse case 演練</td>
          <td>7.19 → tabletop</td>
      </tr>
      <tr>
          <td>控制面描述完整但角色分工鬆散</td>
          <td>需要 tabletop exercise</td>
          <td>7.19 → escalation path</td>
      </tr>
      <tr>
          <td>runbook 存在但缺少實際操作證據</td>
          <td>需要 game day 驗證</td>
          <td>7.19 → 06 reliability</td>
      </tr>
      <tr>
          <td>演練後任務分散在多處</td>
          <td>需要回寫到 case-to-workflow</td>
          <td>7.19 → 7.16</td>
      </tr>
  </tbody>
</table>
<p>判讀表格的重點是從訊號直接推到下一步行動。這種路由格式可以直接轉成演練 backlog。</p>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/red-team/cases/" data-link-title="7.R7 事故案例庫（可引用）" data-link-desc="把公開事故整理成可引用案例體系，讓服務章節與 incident workflow 可雙向回寫">7.R7 事故案例庫</a></li>
<li><a href="/blog/backend/07-security-data-protection/red-team/control-failure-patterns/" data-link-title="7.R8 控制面失效樣式" data-link-desc="把常見攻擊結果回推成控制面失效樣式">7.R8 控制面失效樣式</a></li>
<li><a href="/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片</a></li>
<li><a href="/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能用一張 problem card 建立一次資安演練。演練設計至少包含場景、角色、訊號、決策點、操作證據、關閉條件與回寫位置。</p>
]]></content:encoded></item><item><title>7.B4 Tabletop 與 Game Day 設計</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/</guid><description>&lt;p>本篇的責任是把防守情境轉成可執行演練。讀者讀完後，能從 problem card、公開案例或控制面缺口出發，設計 tabletop exercise 與 game day。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>Tabletop 與 game day 的核心概念是「用受控演練驗證角色、訊號、決策與操作證據」。Tabletop 驗證協作與決策，game day 驗證系統與流程能否實際承接。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/" data-link-title="7.19 資安演練：從 Abuse Case 到 Game Day" data-link-desc="建立 abuse case、tabletop exercise 與 game day 之間的演練大綱">7.19 資安演練：從 Abuse Case 到 Game Day&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day&lt;/a>。&lt;/p>
&lt;h2 id="演練設計欄位">演練設計欄位&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>例子&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Scenario&lt;/td>
 &lt;td>定義演練情境與風險範圍&lt;/td>
 &lt;td>token abuse、data export、supply chain advisory&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Participants&lt;/td>
 &lt;td>定義參與角色與決策權限&lt;/td>
 &lt;td>service owner、security owner、incident commander&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Injects&lt;/td>
 &lt;td>定義逐步釋出的訊號與事件&lt;/td>
 &lt;td>alert、customer report、external advisory&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Expected actions&lt;/td>
 &lt;td>定義預期判讀與操作&lt;/td>
 &lt;td>triage、containment、rollback、communication&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Evidence&lt;/td>
 &lt;td>定義演練後可回查的證據&lt;/td>
 &lt;td>timeline、log、decision record、action item&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Write-back&lt;/td>
 &lt;td>定義更新位置&lt;/td>
 &lt;td>problem card、runbook、release gate、detection rule&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>演練設計欄位的重點是讓演練可重複。當 scenario、injects、expected actions 固定，團隊可以跨季度比較能力變化。&lt;/p>
&lt;h2 id="選題來源">選題來源&lt;/h2>
&lt;p>選題來源的責任是讓演練對準實際風險。建議優先順序：&lt;/p>
&lt;ol>
&lt;li>已出現在 problem card 的高風險流程。&lt;/li>
&lt;li>近期發生變更的關鍵系統。&lt;/li>
&lt;li>近期公開事故對應的同類場景。&lt;/li>
&lt;/ol>
&lt;h2 id="tabletop-設計">Tabletop 設計&lt;/h2>
&lt;p>Tabletop 設計的責任是驗證角色協作與決策節奏。這一層可在不動系統的前提下，先跑完整個判讀與升級路由。&lt;/p>
&lt;p>Tabletop 推薦輸出：&lt;/p>
&lt;ol>
&lt;li>Decision timeline。&lt;/li>
&lt;li>Escalation transitions。&lt;/li>
&lt;li>Communication script。&lt;/li>
&lt;li>Write-back draft。&lt;/li>
&lt;/ol>
&lt;h2 id="game-day-設計">Game Day 設計&lt;/h2>
&lt;p>Game day 設計的責任是驗證實際操作能力。這一層會執行告警處理、控制面操作、放行或回復流程，並收集完整證據。&lt;/p>
&lt;p>Game day 推薦輸出：&lt;/p>
&lt;ol>
&lt;li>Signal evidence：告警、log、metric、trace。&lt;/li>
&lt;li>Action evidence：runbook 操作、gate 決策、rollback 記錄。&lt;/li>
&lt;li>Closure evidence：關閉條件驗證與回寫任務。&lt;/li>
&lt;/ol>
&lt;h2 id="演練觀察與回寫">演練觀察與回寫&lt;/h2>
&lt;p>演練觀察的責任是把事後改進對齊到章節結構。建議每次演練至少回寫三個位置：&lt;/p>
&lt;ol>
&lt;li>blue-team 路由與驗證章節。&lt;/li>
&lt;li>red-team problem cards 失效樣式。&lt;/li>
&lt;li>incident workflow 檢查點與 owner map。&lt;/li>
&lt;/ol>
&lt;h2 id="演練節奏建議">演練節奏建議&lt;/h2>
&lt;p>演練節奏的責任是建立可持續運作 cadence。建議以「月度 tabletop + 季度 game day」組合，並把每輪成果寫入固定回寫模板。&lt;/p>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>團隊知道風險但角色分工未演練&lt;/td>
 &lt;td>需要 tabletop&lt;/td>
 &lt;td>7.B4 → 08&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>runbook 存在但操作證據不足&lt;/td>
 &lt;td>需要 game day&lt;/td>
 &lt;td>7.B4 → 06&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>problem card 很完整但缺少驗證流程&lt;/td>
 &lt;td>需要演練設計&lt;/td>
 &lt;td>7.B4 → 7.19&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>演練結果沒有更新控制面&lt;/td>
 &lt;td>需要 write-back loop&lt;/td>
 &lt;td>7.B4 → 7.B3&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>判讀表格可以當作演練發起條件。當任一列被命中，團隊就有清楚起點啟動演練設計。&lt;/p>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/" data-link-title="7.19 資安演練：從 Abuse Case 到 Game Day" data-link-desc="建立 abuse case、tabletop exercise 與 game day 之間的演練大綱">7.19 資安演練：從 Abuse Case 到 Game Day&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3 資安控制驗證&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能設計一次 tabletop 或 game day。演練設計至少包含 scenario、participants、injects、expected actions、evidence、exit condition 與 write-back target。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是把防守情境轉成可執行演練。讀者讀完後，能從 problem card、公開案例或控制面缺口出發，設計 tabletop exercise 與 game day。</p>
<h2 id="核心論點">核心論點</h2>
<p>Tabletop 與 game day 的核心概念是「用受控演練驗證角色、訊號、決策與操作證據」。Tabletop 驗證協作與決策，game day 驗證系統與流程能否實際承接。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/" data-link-title="7.19 資安演練：從 Abuse Case 到 Game Day" data-link-desc="建立 abuse case、tabletop exercise 與 game day 之間的演練大綱">7.19 資安演練：從 Abuse Case 到 Game Day</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由</a> 與 <a href="/blog/backend/knowledge-cards/game-day/" data-link-title="Game Day" data-link-desc="說明事故演練如何驗證流程、工具與團隊協作">Game Day</a>。</p>
<h2 id="演練設計欄位">演練設計欄位</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
          <th>例子</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Scenario</td>
          <td>定義演練情境與風險範圍</td>
          <td>token abuse、data export、supply chain advisory</td>
      </tr>
      <tr>
          <td>Participants</td>
          <td>定義參與角色與決策權限</td>
          <td>service owner、security owner、incident commander</td>
      </tr>
      <tr>
          <td>Injects</td>
          <td>定義逐步釋出的訊號與事件</td>
          <td>alert、customer report、external advisory</td>
      </tr>
      <tr>
          <td>Expected actions</td>
          <td>定義預期判讀與操作</td>
          <td>triage、containment、rollback、communication</td>
      </tr>
      <tr>
          <td>Evidence</td>
          <td>定義演練後可回查的證據</td>
          <td>timeline、log、decision record、action item</td>
      </tr>
      <tr>
          <td>Write-back</td>
          <td>定義更新位置</td>
          <td>problem card、runbook、release gate、detection rule</td>
      </tr>
  </tbody>
</table>
<p>演練設計欄位的重點是讓演練可重複。當 scenario、injects、expected actions 固定，團隊可以跨季度比較能力變化。</p>
<h2 id="選題來源">選題來源</h2>
<p>選題來源的責任是讓演練對準實際風險。建議優先順序：</p>
<ol>
<li>已出現在 problem card 的高風險流程。</li>
<li>近期發生變更的關鍵系統。</li>
<li>近期公開事故對應的同類場景。</li>
</ol>
<h2 id="tabletop-設計">Tabletop 設計</h2>
<p>Tabletop 設計的責任是驗證角色協作與決策節奏。這一層可在不動系統的前提下，先跑完整個判讀與升級路由。</p>
<p>Tabletop 推薦輸出：</p>
<ol>
<li>Decision timeline。</li>
<li>Escalation transitions。</li>
<li>Communication script。</li>
<li>Write-back draft。</li>
</ol>
<h2 id="game-day-設計">Game Day 設計</h2>
<p>Game day 設計的責任是驗證實際操作能力。這一層會執行告警處理、控制面操作、放行或回復流程，並收集完整證據。</p>
<p>Game day 推薦輸出：</p>
<ol>
<li>Signal evidence：告警、log、metric、trace。</li>
<li>Action evidence：runbook 操作、gate 決策、rollback 記錄。</li>
<li>Closure evidence：關閉條件驗證與回寫任務。</li>
</ol>
<h2 id="演練觀察與回寫">演練觀察與回寫</h2>
<p>演練觀察的責任是把事後改進對齊到章節結構。建議每次演練至少回寫三個位置：</p>
<ol>
<li>blue-team 路由與驗證章節。</li>
<li>red-team problem cards 失效樣式。</li>
<li>incident workflow 檢查點與 owner map。</li>
</ol>
<h2 id="演練節奏建議">演練節奏建議</h2>
<p>演練節奏的責任是建立可持續運作 cadence。建議以「月度 tabletop + 季度 game day」組合，並把每輪成果寫入固定回寫模板。</p>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>團隊知道風險但角色分工未演練</td>
          <td>需要 tabletop</td>
          <td>7.B4 → 08</td>
      </tr>
      <tr>
          <td>runbook 存在但操作證據不足</td>
          <td>需要 game day</td>
          <td>7.B4 → 06</td>
      </tr>
      <tr>
          <td>problem card 很完整但缺少驗證流程</td>
          <td>需要演練設計</td>
          <td>7.B4 → 7.19</td>
      </tr>
      <tr>
          <td>演練結果沒有更新控制面</td>
          <td>需要 write-back loop</td>
          <td>7.B4 → 7.B3</td>
      </tr>
  </tbody>
</table>
<p>判讀表格可以當作演練發起條件。當任一列被命中，團隊就有清楚起點啟動演練設計。</p>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/red-team/problem-cards/" data-link-title="7.R11 流程濫用問題卡片" data-link-desc="以原子化卡片細化整體 red-team 知識網，承接金字塔結構往下生長的問題討論">7.R11 流程濫用問題卡片</a></li>
<li><a href="/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow</a></li>
<li><a href="/blog/backend/07-security-data-protection/security-exercise-from-abuse-case-to-game-day/" data-link-title="7.19 資安演練：從 Abuse Case 到 Game Day" data-link-desc="建立 abuse case、tabletop exercise 與 game day 之間的演練大綱">7.19 資安演練：從 Abuse Case 到 Game Day</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3 資安控制驗證</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能設計一次 tabletop 或 game day。演練設計至少包含 scenario、participants、injects、expected actions、evidence、exit condition 與 write-back target。</p>
]]></content:encoded></item><item><title>7.B9 Blue Team Scenario Library</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/blue-team-scenario-library/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/blue-team-scenario-library/</guid><description>&lt;p>本篇的責任是建立 blue team scenario library。讀者讀完後，能把風險情境轉成可演練劇本與回寫欄位。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>Scenario library 的核心概念是把防守知識轉成可重播情境。可重播情境讓控制驗證從一次性討論變成可累積資產。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">7.BM3 藍隊推演情境素材&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7 Threat-Informed Validation&lt;/a>。&lt;/p>
&lt;h2 id="情境卡模板">情境卡模板&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>產出&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Trigger&lt;/td>
 &lt;td>定義起始訊號&lt;/td>
 &lt;td>scenario trigger&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Hypothesis&lt;/td>
 &lt;td>定義初始判讀與替代假設&lt;/td>
 &lt;td>triage note&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Control surface&lt;/td>
 &lt;td>定義要驗證的控制面&lt;/td>
 &lt;td>control checklist&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Response route&lt;/td>
 &lt;td>定義分級、接手與升級&lt;/td>
 &lt;td>response path&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Evidence target&lt;/td>
 &lt;td>定義要保留的證據&lt;/td>
 &lt;td>evidence list&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Write-back target&lt;/td>
 &lt;td>定義要回寫的位置&lt;/td>
 &lt;td>update backlog&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="初始情境組合">初始情境組合&lt;/h2>
&lt;p>初始情境組合的責任是聚焦高價值風險。可先固定四組：&lt;/p>
&lt;ol>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/identity-support-token-tabletop/" data-link-title="Identity Support Token Tabletop" data-link-desc="以支援流程與 session token 風險設計身份接管 tabletop 情境">Identity Support Token Tabletop&lt;/a>：支援流程、session token 與客戶通報。&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/edge-session-hijack-game-day/" data-link-title="Edge Session Hijack Game Day" data-link-desc="以入口設備 session disclosure 風險設計 edge exposure game day">Edge Session Hijack Game Day&lt;/a>：入口曝險、修補後 hunting 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/session-invalidation/" data-link-title="Session Invalidation" data-link-desc="說明事件後如何讓既有會話失效，避免被重放或延續利用">session invalidation&lt;/a>。&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/supply-chain-artifact-drill/" data-link-title="Supply Chain Artifact Drill" data-link-desc="以 artifact provenance 偏移設計供應鏈 release gate 與 rollback 演練">Supply Chain Artifact Drill&lt;/a>：artifact provenance、release freeze 與 rollback。&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">Low-frequency Exfiltration Tabletop&lt;/a>：資料範圍判讀、通報與證據保存。&lt;/li>
&lt;/ol>
&lt;h2 id="source-first-情境規則">Source-first 情境規則&lt;/h2>
&lt;p>情境庫的責任是把真實案例轉成可重播演練。每張情境卡都要能回查到 field case 或 professional source，並把事件細節轉譯成通用服務壓力。&lt;/p>
&lt;p>Source-first 讓情境保留真實防守壓力，同時避免把單一公司事件寫成讀者必須照抄的流程。情境卡負責抽出 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。&lt;/p>
&lt;h2 id="演練節奏">演練節奏&lt;/h2>
&lt;p>演練節奏的責任是讓情境能持續更新。每輪演練後同步更新觸發條件、分級基準、證據欄位與 runbook，並記錄下一輪要驗證的假設。&lt;/p>
&lt;h2 id="指標設計">指標設計&lt;/h2>
&lt;p>指標設計的責任是評估情境品質。建議追蹤命中率、triage 時間、升級一致性、證據完整度與回寫完成率。&lt;/p>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>演練腳本每次都重寫&lt;/td>
 &lt;td>需要固定情境卡模板&lt;/td>
 &lt;td>7.B9 → 7.BM3&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>演練命中訊號但處置不同步&lt;/td>
 &lt;td>需要補 response route&lt;/td>
 &lt;td>7.B9 → 7.B6&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>演練結束後無回寫任務&lt;/td>
 &lt;td>需要補 write-back target&lt;/td>
 &lt;td>7.B9 → 7.24&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>情境只覆蓋單一風險類型&lt;/td>
 &lt;td>需要擴充 threat 組合&lt;/td>
 &lt;td>7.B9 → 7.B7&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6 Incident Triage Loop&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7 Threat-Informed Validation&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">7.BM3 藍隊推演情境素材&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/" data-link-title="7.BM2 藍隊現場案例素材" data-link-desc="定義藍隊現場案例的收錄規則，支援後續防守推演與控制面補強">7.BM2 藍隊現場案例素材&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能把一個風險轉成可演練情境。輸出至少包含 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是建立 blue team scenario library。讀者讀完後，能把風險情境轉成可演練劇本與回寫欄位。</p>
<h2 id="核心論點">核心論點</h2>
<p>Scenario library 的核心概念是把防守知識轉成可重播情境。可重播情境讓控制驗證從一次性討論變成可累積資產。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計</a>、<a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">7.BM3 藍隊推演情境素材</a> 與 <a href="/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7 Threat-Informed Validation</a>。</p>
<h2 id="情境卡模板">情境卡模板</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
          <th>產出</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Trigger</td>
          <td>定義起始訊號</td>
          <td>scenario trigger</td>
      </tr>
      <tr>
          <td>Hypothesis</td>
          <td>定義初始判讀與替代假設</td>
          <td>triage note</td>
      </tr>
      <tr>
          <td>Control surface</td>
          <td>定義要驗證的控制面</td>
          <td>control checklist</td>
      </tr>
      <tr>
          <td>Response route</td>
          <td>定義分級、接手與升級</td>
          <td>response path</td>
      </tr>
      <tr>
          <td>Evidence target</td>
          <td>定義要保留的證據</td>
          <td>evidence list</td>
      </tr>
      <tr>
          <td>Write-back target</td>
          <td>定義要回寫的位置</td>
          <td>update backlog</td>
      </tr>
  </tbody>
</table>
<h2 id="初始情境組合">初始情境組合</h2>
<p>初始情境組合的責任是聚焦高價值風險。可先固定四組：</p>
<ol>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/identity-support-token-tabletop/" data-link-title="Identity Support Token Tabletop" data-link-desc="以支援流程與 session token 風險設計身份接管 tabletop 情境">Identity Support Token Tabletop</a>：支援流程、session token 與客戶通報。</li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/edge-session-hijack-game-day/" data-link-title="Edge Session Hijack Game Day" data-link-desc="以入口設備 session disclosure 風險設計 edge exposure game day">Edge Session Hijack Game Day</a>：入口曝險、修補後 hunting 與 <a href="/blog/backend/knowledge-cards/session-invalidation/" data-link-title="Session Invalidation" data-link-desc="說明事件後如何讓既有會話失效，避免被重放或延續利用">session invalidation</a>。</li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/supply-chain-artifact-drill/" data-link-title="Supply Chain Artifact Drill" data-link-desc="以 artifact provenance 偏移設計供應鏈 release gate 與 rollback 演練">Supply Chain Artifact Drill</a>：artifact provenance、release freeze 與 rollback。</li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">Low-frequency Exfiltration Tabletop</a>：資料範圍判讀、通報與證據保存。</li>
</ol>
<h2 id="source-first-情境規則">Source-first 情境規則</h2>
<p>情境庫的責任是把真實案例轉成可重播演練。每張情境卡都要能回查到 field case 或 professional source，並把事件細節轉譯成通用服務壓力。</p>
<p>Source-first 讓情境保留真實防守壓力，同時避免把單一公司事件寫成讀者必須照抄的流程。情境卡負責抽出 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。</p>
<h2 id="演練節奏">演練節奏</h2>
<p>演練節奏的責任是讓情境能持續更新。每輪演練後同步更新觸發條件、分級基準、證據欄位與 runbook，並記錄下一輪要驗證的假設。</p>
<h2 id="指標設計">指標設計</h2>
<p>指標設計的責任是評估情境品質。建議追蹤命中率、triage 時間、升級一致性、證據完整度與回寫完成率。</p>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>演練腳本每次都重寫</td>
          <td>需要固定情境卡模板</td>
          <td>7.B9 → 7.BM3</td>
      </tr>
      <tr>
          <td>演練命中訊號但處置不同步</td>
          <td>需要補 response route</td>
          <td>7.B9 → 7.B6</td>
      </tr>
      <tr>
          <td>演練結束後無回寫任務</td>
          <td>需要補 write-back target</td>
          <td>7.B9 → 7.24</td>
      </tr>
      <tr>
          <td>情境只覆蓋單一風險類型</td>
          <td>需要擴充 threat 組合</td>
          <td>7.B9 → 7.B7</td>
      </tr>
  </tbody>
</table>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/blue-team/tabletop-and-game-day-design/" data-link-title="7.B4 Tabletop 與 Game Day 設計" data-link-desc="建立藍隊如何設計 tabletop exercise 與 game day 的大綱">7.B4 Tabletop 與 Game Day 設計</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6 Incident Triage Loop</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/threat-informed-validation/" data-link-title="7.B7 Threat-Informed Validation" data-link-desc="用威脅導向方法驗證控制面與偵測能力，建立可重複的防守驗證路徑">7.B7 Threat-Informed Validation</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/" data-link-title="7.BM3 藍隊推演情境素材" data-link-desc="定義藍隊推演情境模板，協助把來源與案例轉成 tabletop 與 Game Day">7.BM3 藍隊推演情境素材</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/" data-link-title="7.BM2 藍隊現場案例素材" data-link-desc="定義藍隊現場案例的收錄規則，支援後續防守推演與控制面補強">7.BM2 藍隊現場案例素材</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能把一個風險轉成可演練情境。輸出至少包含 trigger、hypothesis、control surface、response route、evidence target 與 write-back target。</p>
]]></content:encoded></item><item><title>7.BM3 藍隊推演情境素材</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/</guid><description>&lt;p>藍隊推演情境素材的責任是把來源與案例轉成可演練情境。每個情境都要能回答觸發訊號、初始判讀、控制面、升級路由、驗證證據與回寫位置。&lt;/p>
&lt;h2 id="情境模板">情境模板&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Scenario trigger&lt;/td>
 &lt;td>第一個可觀測訊號&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Initial hypothesis&lt;/td>
 &lt;td>初始判讀與替代假設&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Control surface&lt;/td>
 &lt;td>需要驗證的身份、入口、資料或供應鏈控制面&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Response route&lt;/td>
 &lt;td>triage、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity&lt;/a>、owner 與 escalation&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Evidence target&lt;/td>
 &lt;td>需要保留的 log、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact&lt;/a> 或 decision record&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Write-back target&lt;/td>
 &lt;td>演練後要更新的章節、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook&lt;/a> 或控制模式&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="初始情境方向">初始情境方向&lt;/h2>
&lt;p>推演情境先從四類高價值服務壓力開始：身份濫用、入口曝險、供應鏈 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact&lt;/a> 偏移與低頻資料外送。這四類能直接承接 7.2、7.3、7.12 與 7.13。&lt;/p>
&lt;h2 id="source-first-規則">Source-first 規則&lt;/h2>
&lt;p>推演情境卡的責任是把真實案例轉成中性服務演練。每張情境卡都要標示來源案例，並把情境改寫成通用服務語言。&lt;/p>
&lt;p>情境可以合成多個來源的壓力點，但每個主要壓力都要能回查到 field case 或 professional source。這個規則讓 tabletop 與 Game Day 保持可討論性，也避免情境只停留在想像中的攻防故事。&lt;/p>
&lt;h2 id="下一輪情境大綱">下一輪情境大綱&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>情境&lt;/th>
 &lt;th>觸發訊號&lt;/th>
 &lt;th>驗證控制面&lt;/th>
 &lt;th>回寫位置&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Identity takeover tabletop&lt;/td>
 &lt;td>高風險登入、支援工具操作或 token 異常&lt;/td>
 &lt;td>identity、session、escalation&lt;/td>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/identity-support-token-tabletop/" data-link-title="Identity Support Token Tabletop" data-link-desc="以支援流程與 session token 風險設計身份接管 tabletop 情境">情境卡&lt;/a>&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Edge exposure game day&lt;/td>
 &lt;td>外部通報、掃描命中或 exploit 指標&lt;/td>
 &lt;td>entrypoint、patch window、containment&lt;/td>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/edge-session-hijack-game-day/" data-link-title="Edge Session Hijack Game Day" data-link-desc="以入口設備 session disclosure 風險設計 edge exposure game day">情境卡&lt;/a>&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Supply chain artifact drill&lt;/td>
 &lt;td>artifact provenance 偏移或 build 證據不一致&lt;/td>
 &lt;td>ci pipeline、release gate、rollback&lt;/td>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/supply-chain-artifact-drill/" data-link-title="Supply Chain Artifact Drill" data-link-desc="以 artifact provenance 偏移設計供應鏈 release gate 與 rollback 演練">情境卡&lt;/a>&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Low-frequency exfiltration tabletop&lt;/td>
 &lt;td>低頻大量匯出、跨租戶查詢或異常下載&lt;/td>
 &lt;td>data protection、audit trail、notification&lt;/td>
 &lt;td>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">情境卡&lt;/a>&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>情境卡的完成條件是能直接產生演練腳本。每張卡至少包含 scenario trigger、initial hypothesis、response route、evidence target 與 write-back target。&lt;/p></description><content:encoded><![CDATA[<p>藍隊推演情境素材的責任是把來源與案例轉成可演練情境。每個情境都要能回答觸發訊號、初始判讀、控制面、升級路由、驗證證據與回寫位置。</p>
<h2 id="情境模板">情境模板</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Scenario trigger</td>
          <td>第一個可觀測訊號</td>
      </tr>
      <tr>
          <td>Initial hypothesis</td>
          <td>初始判讀與替代假設</td>
      </tr>
      <tr>
          <td>Control surface</td>
          <td>需要驗證的身份、入口、資料或供應鏈控制面</td>
      </tr>
      <tr>
          <td>Response route</td>
          <td>triage、<a href="/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">severity</a>、owner 與 escalation</td>
      </tr>
      <tr>
          <td>Evidence target</td>
          <td>需要保留的 log、<a href="/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact</a> 或 decision record</td>
      </tr>
      <tr>
          <td>Write-back target</td>
          <td>演練後要更新的章節、<a href="/blog/backend/knowledge-cards/runbook/" data-link-title="Runbook" data-link-desc="說明 runbook 如何把事故判斷與操作步驟標準化">runbook</a> 或控制模式</td>
      </tr>
  </tbody>
</table>
<h2 id="初始情境方向">初始情境方向</h2>
<p>推演情境先從四類高價值服務壓力開始：身份濫用、入口曝險、供應鏈 <a href="/blog/backend/knowledge-cards/artifact-provenance/" data-link-title="Artifact Provenance" data-link-desc="說明交付物的來源、完整性與簽章關聯如何建立信任">artifact</a> 偏移與低頻資料外送。這四類能直接承接 7.2、7.3、7.12 與 7.13。</p>
<h2 id="source-first-規則">Source-first 規則</h2>
<p>推演情境卡的責任是把真實案例轉成中性服務演練。每張情境卡都要標示來源案例，並把情境改寫成通用服務語言。</p>
<p>情境可以合成多個來源的壓力點，但每個主要壓力都要能回查到 field case 或 professional source。這個規則讓 tabletop 與 Game Day 保持可討論性，也避免情境只停留在想像中的攻防故事。</p>
<h2 id="下一輪情境大綱">下一輪情境大綱</h2>
<table>
  <thead>
      <tr>
          <th>情境</th>
          <th>觸發訊號</th>
          <th>驗證控制面</th>
          <th>回寫位置</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Identity takeover tabletop</td>
          <td>高風險登入、支援工具操作或 token 異常</td>
          <td>identity、session、escalation</td>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/identity-support-token-tabletop/" data-link-title="Identity Support Token Tabletop" data-link-desc="以支援流程與 session token 風險設計身份接管 tabletop 情境">情境卡</a></td>
      </tr>
      <tr>
          <td>Edge exposure game day</td>
          <td>外部通報、掃描命中或 exploit 指標</td>
          <td>entrypoint、patch window、containment</td>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/edge-session-hijack-game-day/" data-link-title="Edge Session Hijack Game Day" data-link-desc="以入口設備 session disclosure 風險設計 edge exposure game day">情境卡</a></td>
      </tr>
      <tr>
          <td>Supply chain artifact drill</td>
          <td>artifact provenance 偏移或 build 證據不一致</td>
          <td>ci pipeline、release gate、rollback</td>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/supply-chain-artifact-drill/" data-link-title="Supply Chain Artifact Drill" data-link-desc="以 artifact provenance 偏移設計供應鏈 release gate 與 rollback 演練">情境卡</a></td>
      </tr>
      <tr>
          <td>Low-frequency exfiltration tabletop</td>
          <td>低頻大量匯出、跨租戶查詢或異常下載</td>
          <td>data protection、audit trail、notification</td>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/" data-link-title="Low-frequency Exfiltration Tabletop" data-link-desc="以受管檔案傳輸系統外送風險設計資料範圍與通報 tabletop">情境卡</a></td>
      </tr>
  </tbody>
</table>
<p>情境卡的完成條件是能直接產生演練腳本。每張卡至少包含 scenario trigger、initial hypothesis、response route、evidence target 與 write-back target。</p>
]]></content:encoded></item><item><title>Identity Support Token Tabletop</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/identity-support-token-tabletop/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/identity-support-token-tabletop/</guid><description>&lt;p>本情境的責任是演練支援流程中的身份敏感資料處置。它以 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/okta-support-token-2023-identity-pressure/" data-link-title="Okta 2023 Support Token：身份支援流程壓力" data-link-desc="把 Okta 2023 support system incident 轉成身份供應鏈與支援流程的藍隊案例素材">Okta 2023 support token case&lt;/a> 為來源，轉成中性的 SaaS 支援系統 tabletop。&lt;/p>
&lt;h2 id="scenario-trigger">Scenario Trigger&lt;/h2>
&lt;p>支援系統出現大量附件下載，同一時間有客戶回報管理員 session 異常。SOC 在 identity provider log 中看到高權限 session 從不常見位置延續使用。&lt;/p>
&lt;h2 id="initial-hypothesis">Initial Hypothesis&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>假設&lt;/th>
 &lt;th>驗證資料&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>支援附件含 session token&lt;/td>
 &lt;td>HAR 檔、附件下載紀錄、支援 ticket&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>token 已被重放&lt;/td>
 &lt;td>identity log、session metadata、device fingerprint&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>客戶側先偵測到異常&lt;/td>
 &lt;td>customer report、support timeline、通報紀錄&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="control-surface">Control Surface&lt;/h2>
&lt;p>控制面包含 support workflow、session management、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/token-revocation/" data-link-title="Token Revocation" data-link-desc="說明事件中如何撤銷 token，縮短可利用窗口">token revocation&lt;/a>、customer communication 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/ownership/" data-link-title="Ownership" data-link-desc="說明 ownership 如何把問題、決策與交接責任固定到可執行角色">ownership&lt;/a>。&lt;/p>
&lt;h2 id="response-route">Response Route&lt;/h2>
&lt;ol>
&lt;li>Triage：確認支援附件是否含敏感 session 資料。&lt;/li>
&lt;li>Severity：依受影響 tenant、權限等級與 token 可用性分級。&lt;/li>
&lt;li>Owner：identity owner 主責，support owner 與 incident commander 協作。&lt;/li>
&lt;li>Containment：撤銷 session、鎖定附件下載、通知受影響客戶。&lt;/li>
&lt;li>Write-back：更新支援附件處理、HAR sanitizer、customer notification 與 runbook。&lt;/li>
&lt;/ol>
&lt;h2 id="evidence-target">Evidence Target&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>證據&lt;/th>
 &lt;th>用途&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>support ticket access log&lt;/td>
 &lt;td>回查誰下載附件&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>identity session log&lt;/td>
 &lt;td>判斷 session 使用範圍&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>customer report timeline&lt;/td>
 &lt;td>對齊外部通報與內部偵測時序&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>token revocation record&lt;/td>
 &lt;td>證明 containment 完成&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="write-back-target">Write-back Target&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/identity-access-boundary/" data-link-title="7.2 身分與授權邊界" data-link-desc="以問題驅動方式整理身分、授權、會話與供應商身分鏈">7.2 身分與授權邊界&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6 Incident Triage Loop&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/control-owner-pattern/" data-link-title="Control Owner Pattern" data-link-desc="定義高風險控制面如何配置 owner、協作角色、決策角色與升級路徑">Control owner pattern&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/" data-link-title="Exercise Write-back Pattern" data-link-desc="定義 tabletop 與 game day 如何把 finding 回寫成控制更新、runbook 更新與 [tripwire](/backend/knowledge-cards/tripwire/)">Exercise write-back pattern&lt;/a>&lt;/li>
&lt;/ul></description><content:encoded><![CDATA[<p>本情境的責任是演練支援流程中的身份敏感資料處置。它以 <a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/okta-support-token-2023-identity-pressure/" data-link-title="Okta 2023 Support Token：身份支援流程壓力" data-link-desc="把 Okta 2023 support system incident 轉成身份供應鏈與支援流程的藍隊案例素材">Okta 2023 support token case</a> 為來源，轉成中性的 SaaS 支援系統 tabletop。</p>
<h2 id="scenario-trigger">Scenario Trigger</h2>
<p>支援系統出現大量附件下載，同一時間有客戶回報管理員 session 異常。SOC 在 identity provider log 中看到高權限 session 從不常見位置延續使用。</p>
<h2 id="initial-hypothesis">Initial Hypothesis</h2>
<table>
  <thead>
      <tr>
          <th>假設</th>
          <th>驗證資料</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>支援附件含 session token</td>
          <td>HAR 檔、附件下載紀錄、支援 ticket</td>
      </tr>
      <tr>
          <td>token 已被重放</td>
          <td>identity log、session metadata、device fingerprint</td>
      </tr>
      <tr>
          <td>客戶側先偵測到異常</td>
          <td>customer report、support timeline、通報紀錄</td>
      </tr>
  </tbody>
</table>
<h2 id="control-surface">Control Surface</h2>
<p>控制面包含 support workflow、session management、<a href="/blog/backend/knowledge-cards/token-revocation/" data-link-title="Token Revocation" data-link-desc="說明事件中如何撤銷 token，縮短可利用窗口">token revocation</a>、customer communication 與 <a href="/blog/backend/knowledge-cards/ownership/" data-link-title="Ownership" data-link-desc="說明 ownership 如何把問題、決策與交接責任固定到可執行角色">ownership</a>。</p>
<h2 id="response-route">Response Route</h2>
<ol>
<li>Triage：確認支援附件是否含敏感 session 資料。</li>
<li>Severity：依受影響 tenant、權限等級與 token 可用性分級。</li>
<li>Owner：identity owner 主責，support owner 與 incident commander 協作。</li>
<li>Containment：撤銷 session、鎖定附件下載、通知受影響客戶。</li>
<li>Write-back：更新支援附件處理、HAR sanitizer、customer notification 與 runbook。</li>
</ol>
<h2 id="evidence-target">Evidence Target</h2>
<table>
  <thead>
      <tr>
          <th>證據</th>
          <th>用途</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>support ticket access log</td>
          <td>回查誰下載附件</td>
      </tr>
      <tr>
          <td>identity session log</td>
          <td>判斷 session 使用範圍</td>
      </tr>
      <tr>
          <td>customer report timeline</td>
          <td>對齊外部通報與內部偵測時序</td>
      </tr>
      <tr>
          <td>token revocation record</td>
          <td>證明 containment 完成</td>
      </tr>
  </tbody>
</table>
<h2 id="write-back-target">Write-back Target</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/identity-access-boundary/" data-link-title="7.2 身分與授權邊界" data-link-desc="以問題驅動方式整理身分、授權、會話與供應商身分鏈">7.2 身分與授權邊界</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/" data-link-title="7.B6 Incident Triage Loop" data-link-desc="把資安訊號轉成 triage、severity、owner、containment 與 evidence 的回應循環">7.B6 Incident Triage Loop</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/control-owner-pattern/" data-link-title="Control Owner Pattern" data-link-desc="定義高風險控制面如何配置 owner、協作角色、決策角色與升級路徑">Control owner pattern</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/" data-link-title="Exercise Write-back Pattern" data-link-desc="定義 tabletop 與 game day 如何把 finding 回寫成控制更新、runbook 更新與 [tripwire](/backend/knowledge-cards/tripwire/)">Exercise write-back pattern</a></li>
</ul>
]]></content:encoded></item><item><title>Low-frequency Exfiltration Tabletop</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/scenarios/low-frequency-exfiltration-tabletop/</guid><description>&lt;p>本情境的責任是演練低頻資料外送的範圍判讀與通報。它以 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/field-cases/moveit-2023-mft-exfiltration-pressure/" data-link-title="MOVEit 2023：MFT 外送與通報壓力" data-link-desc="把 MOVEit Transfer exploitation 轉成資料外送、影響範圍判讀與通報壓力的藍隊案例素材">MOVEit 2023 MFT exfiltration case&lt;/a> 為來源，轉成通用 MFT 與資料出口 tabletop。&lt;/p>
&lt;h2 id="scenario-trigger">Scenario Trigger&lt;/h2>
&lt;p>外部 advisory 指出受管檔案傳輸系統存在已被利用漏洞。內部稽核發現 MFT 上有異常 web shell indicator 與多筆低頻大量下載。&lt;/p>
&lt;h2 id="initial-hypothesis">Initial Hypothesis&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>假設&lt;/th>
 &lt;th>驗證資料&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>MFT 被植入 web shell&lt;/td>
 &lt;td>file integrity、web access log、IOC&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>特定資料集已被外送&lt;/td>
 &lt;td>download log、object access、database audit&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>通報義務已被觸發&lt;/td>
 &lt;td>data classification、customer mapping、legal review&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="control-surface">Control Surface&lt;/h2>
&lt;p>控制面包含 data classification、MFT ownership、audit trail、incident communication、forensic preserve 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/retention/" data-link-title="Retention" data-link-desc="說明資料或事件保留多久，以及保留期限如何影響重放與成本">retention&lt;/a>。&lt;/p>
&lt;h2 id="response-route">Response Route&lt;/h2>
&lt;ol>
&lt;li>Contain：隔離 MFT、保留 forensic image、暫停高風險傳輸。&lt;/li>
&lt;li>Scope：建立資料集、客戶、時間窗與存取主體映射。&lt;/li>
&lt;li>Notify：讓 legal、customer success 與 incident commander 對齊通報節奏。&lt;/li>
&lt;li>Recover：修補 MFT、輪替 credential、驗證 log coverage。&lt;/li>
&lt;li>Write-back：更新資料出口控制、retention 與 low-frequency exfiltration detection。&lt;/li>
&lt;/ol>
&lt;h2 id="evidence-target">Evidence Target&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>證據&lt;/th>
 &lt;th>用途&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>MFT access log&lt;/td>
 &lt;td>判斷資料外送時間窗&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>data classification map&lt;/td>
 &lt;td>判斷通報與影響等級&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>customer mapping&lt;/td>
 &lt;td>判斷受影響對象&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>forensic preserve record&lt;/td>
 &lt;td>支撐調查與法務回查&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="write-back-target">Write-back Target&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">7.4 資料保護與遮罩治理&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/evidence-chain-pattern/" data-link-title="Evidence Chain Pattern" data-link-desc="定義事故與演練需要保存的訊號、決策、artifact、timeline 與 retention 證據">Evidence chain pattern&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/" data-link-title="Exercise Write-back Pattern" data-link-desc="定義 tabletop 與 game day 如何把 finding 回寫成控制更新、runbook 更新與 [tripwire](/backend/knowledge-cards/tripwire/)">Exercise write-back pattern&lt;/a>&lt;/li>
&lt;/ul></description><content:encoded><![CDATA[<p>本情境的責任是演練低頻資料外送的範圍判讀與通報。它以 <a href="/blog/backend/07-security-data-protection/blue-team/materials/field-cases/moveit-2023-mft-exfiltration-pressure/" data-link-title="MOVEit 2023：MFT 外送與通報壓力" data-link-desc="把 MOVEit Transfer exploitation 轉成資料外送、影響範圍判讀與通報壓力的藍隊案例素材">MOVEit 2023 MFT exfiltration case</a> 為來源，轉成通用 MFT 與資料出口 tabletop。</p>
<h2 id="scenario-trigger">Scenario Trigger</h2>
<p>外部 advisory 指出受管檔案傳輸系統存在已被利用漏洞。內部稽核發現 MFT 上有異常 web shell indicator 與多筆低頻大量下載。</p>
<h2 id="initial-hypothesis">Initial Hypothesis</h2>
<table>
  <thead>
      <tr>
          <th>假設</th>
          <th>驗證資料</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>MFT 被植入 web shell</td>
          <td>file integrity、web access log、IOC</td>
      </tr>
      <tr>
          <td>特定資料集已被外送</td>
          <td>download log、object access、database audit</td>
      </tr>
      <tr>
          <td>通報義務已被觸發</td>
          <td>data classification、customer mapping、legal review</td>
      </tr>
  </tbody>
</table>
<h2 id="control-surface">Control Surface</h2>
<p>控制面包含 data classification、MFT ownership、audit trail、incident communication、forensic preserve 與 <a href="/blog/backend/knowledge-cards/retention/" data-link-title="Retention" data-link-desc="說明資料或事件保留多久，以及保留期限如何影響重放與成本">retention</a>。</p>
<h2 id="response-route">Response Route</h2>
<ol>
<li>Contain：隔離 MFT、保留 forensic image、暫停高風險傳輸。</li>
<li>Scope：建立資料集、客戶、時間窗與存取主體映射。</li>
<li>Notify：讓 legal、customer success 與 incident commander 對齊通報節奏。</li>
<li>Recover：修補 MFT、輪替 credential、驗證 log coverage。</li>
<li>Write-back：更新資料出口控制、retention 與 low-frequency exfiltration detection。</li>
</ol>
<h2 id="evidence-target">Evidence Target</h2>
<table>
  <thead>
      <tr>
          <th>證據</th>
          <th>用途</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>MFT access log</td>
          <td>判斷資料外送時間窗</td>
      </tr>
      <tr>
          <td>data classification map</td>
          <td>判斷通報與影響等級</td>
      </tr>
      <tr>
          <td>customer mapping</td>
          <td>判斷受影響對象</td>
      </tr>
      <tr>
          <td>forensic preserve record</td>
          <td>支撐調查與法務回查</td>
      </tr>
  </tbody>
</table>
<h2 id="write-back-target">Write-back Target</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/data-protection-and-masking-governance/" data-link-title="7.4 資料保護與遮罩治理" data-link-desc="以問題驅動方式整理資料分級、遮罩、匯出與備份治理">7.4 資料保護與遮罩治理</a></li>
<li><a href="/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/evidence-chain-pattern/" data-link-title="Evidence Chain Pattern" data-link-desc="定義事故與演練需要保存的訊號、決策、artifact、timeline 與 retention 證據">Evidence chain pattern</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/materials/control-patterns/exercise-write-back-pattern/" data-link-title="Exercise Write-back Pattern" data-link-desc="定義 tabletop 與 game day 如何把 finding 回寫成控制更新、runbook 更新與 [tripwire](/backend/knowledge-cards/tripwire/)">Exercise write-back pattern</a></li>
</ul>
]]></content:encoded></item></channel></rss>