<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Triage on Tarragon</title><link>https://tarrragon.github.io/blog/tags/triage/</link><description>Recent content in Triage on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 30 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/triage/index.xml" rel="self" type="application/rss+xml"/><item><title>7.B2 從偵測到回應的路由</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/</guid><description>&lt;p>本篇的責任是把資安偵測訊號轉成回應路由。讀者讀完後，能把 alert、&lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/tripwire/" data-link-title="Tripwire" data-link-desc="說明風險決策在條件變化時如何自動回到評估流程">tripwire&lt;/a>、audit signal 或外部通報，轉成 triage、severity、owner 與升級流程。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>偵測到回應路由的核心概念是「訊號要能推動決策」。偵測本身提供觀察，回應路由則定義誰判讀、如何分級、何時升級、何時關閉。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-governance-exception-and-tripwire/" data-link-title="7.14 資安治理例外與 Tripwire" data-link-desc="定義例外管理、風險接受與重新評估觸發器">7.14 資安治理例外與 Tripwire&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/escalation-policy/" data-link-title="Escalation Policy" data-link-desc="說明事故升級鏈與值班轉接規則">Escalation Policy&lt;/a>。&lt;/p>
&lt;h2 id="路由欄位">路由欄位&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>常見來源&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Signal&lt;/td>
 &lt;td>描述觸發事件與觀察證據&lt;/td>
 &lt;td>alert、audit log、external advisory&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Triage question&lt;/td>
 &lt;td>定義第一輪判讀問題&lt;/td>
 &lt;td>影響範圍、可信度、緊急度&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Severity&lt;/td>
 &lt;td>對應產品影響與回應節奏&lt;/td>
 &lt;td>incident severity&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Owner&lt;/td>
 &lt;td>定義接手角色與升級路徑&lt;/td>
 &lt;td>on-call、service owner、security owner&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Exit condition&lt;/td>
 &lt;td>定義本輪回應的關閉條件&lt;/td>
 &lt;td>containment、validation、write-back&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>路由欄位的核心是把訊號轉成可執行任務。若欄位完整，團隊在壓力下仍能用一致方式判讀與升級。&lt;/p>
&lt;h2 id="訊號分類">訊號分類&lt;/h2>
&lt;p>訊號分類的責任是建立優先順序。建議先區分三種來源：&lt;/p>
&lt;ol>
&lt;li>技術訊號：監控、掃描、驗證結果。&lt;/li>
&lt;li>流程訊號：例外到期、審查延遲、關卡失敗。&lt;/li>
&lt;li>外部訊號：公開漏洞、供應鏈公告、客戶通報。&lt;/li>
&lt;/ol>
&lt;h2 id="triage-問題設計">Triage 問題設計&lt;/h2>
&lt;p>Triage 問題的責任是縮短第一輪決策時間。常用問題包含：&lt;/p>
&lt;ol>
&lt;li>影響範圍是否持續擴大。&lt;/li>
&lt;li>訊號可信度是否足夠觸發升級。&lt;/li>
&lt;li>目前證據是否支持 containment。&lt;/li>
&lt;li>目前事件是否需要跨團隊決策。&lt;/li>
&lt;/ol>
&lt;h2 id="severity-對齊">Severity 對齊&lt;/h2>
&lt;p>Severity 對齊的責任是讓資安訊號與 incident 節奏一致。這一層建議直接掛到 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">incident severity&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/escalation-policy/" data-link-title="Escalation Policy" data-link-desc="說明事故升級鏈與值班轉接規則">escalation policy&lt;/a>。&lt;/p>
&lt;p>做法上可先定義分級規則，再為每個分級綁定 owner、通訊節奏與關閉條件。&lt;/p>
&lt;h2 id="response-路由">Response 路由&lt;/h2>
&lt;p>Response 路由的責任是把分級後動作排成流程。建議最小流程：&lt;/p>
&lt;ol>
&lt;li>Containment：先穩定影響面。&lt;/li>
&lt;li>Evidence collection：同步保留關鍵證據。&lt;/li>
&lt;li>Communication：同步內外部利害關係人。&lt;/li>
&lt;li>Write-back plan：預留回寫任務入口。&lt;/li>
&lt;/ol>
&lt;h2 id="exit-與回寫">Exit 與回寫&lt;/h2>
&lt;p>Exit 的責任是定義這輪事件何時完成。關閉前應確認：&lt;/p>
&lt;ol>
&lt;li>影響面收斂到目標範圍。&lt;/li>
&lt;li>事件證據可回查。&lt;/li>
&lt;li>後續任務已進入問題卡與 workflow。&lt;/li>
&lt;/ol>
&lt;p>回寫位置建議固定到 detection rule、problem card 與 incident workflow，讓下一輪判讀更快收斂。&lt;/p>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>告警名稱清楚但處理者判讀不一致&lt;/td>
 &lt;td>需要 triage question&lt;/td>
 &lt;td>7.B2 → 08&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>tripwire 觸發後缺少升級對象&lt;/td>
 &lt;td>需要 escalation route&lt;/td>
 &lt;td>7.B2 → 7.14&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>外部公告進來後影響範圍判斷緩慢&lt;/td>
 &lt;td>需要 service owner map&lt;/td>
 &lt;td>7.B2 → 7.B1&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>回應結束後偵測規則沒有更新&lt;/td>
 &lt;td>需要 write-back loop&lt;/td>
 &lt;td>7.B2 → 7.16&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;p>判讀表格可以直接當作值班檢查單。每次事件結束後重新掃一次，能快速找到下輪優先補強項目。&lt;/p>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-governance-exception-and-tripwire/" data-link-title="7.14 資安治理例外與 Tripwire" data-link-desc="定義例外管理、風險接受與重新評估觸發器">7.14 資安治理例外與 Tripwire&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/defense-control-map/" data-link-title="7.B1 防守控制面地圖" data-link-desc="建立防守控制面如何對應身份、入口、資料、供應鏈、偵測與治理問題的大綱">7.B1 防守控制面地圖&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能把一個偵測訊號寫成回應路由。路由至少包含 signal、triage question、severity、owner、escalation path、exit condition 與 write-back target。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是把資安偵測訊號轉成回應路由。讀者讀完後，能把 alert、<a href="/blog/backend/knowledge-cards/tripwire/" data-link-title="Tripwire" data-link-desc="說明風險決策在條件變化時如何自動回到評估流程">tripwire</a>、audit signal 或外部通報，轉成 triage、severity、owner 與升級流程。</p>
<h2 id="核心論點">核心論點</h2>
<p>偵測到回應路由的核心概念是「訊號要能推動決策」。偵測本身提供觀察，回應路由則定義誰判讀、如何分級、何時升級、何時關閉。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/security-governance-exception-and-tripwire/" data-link-title="7.14 資安治理例外與 Tripwire" data-link-desc="定義例外管理、風險接受與重新評估觸發器">7.14 資安治理例外與 Tripwire</a> 與 <a href="/blog/backend/knowledge-cards/escalation-policy/" data-link-title="Escalation Policy" data-link-desc="說明事故升級鏈與值班轉接規則">Escalation Policy</a>。</p>
<h2 id="路由欄位">路由欄位</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
          <th>常見來源</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Signal</td>
          <td>描述觸發事件與觀察證據</td>
          <td>alert、audit log、external advisory</td>
      </tr>
      <tr>
          <td>Triage question</td>
          <td>定義第一輪判讀問題</td>
          <td>影響範圍、可信度、緊急度</td>
      </tr>
      <tr>
          <td>Severity</td>
          <td>對應產品影響與回應節奏</td>
          <td>incident severity</td>
      </tr>
      <tr>
          <td>Owner</td>
          <td>定義接手角色與升級路徑</td>
          <td>on-call、service owner、security owner</td>
      </tr>
      <tr>
          <td>Exit condition</td>
          <td>定義本輪回應的關閉條件</td>
          <td>containment、validation、write-back</td>
      </tr>
  </tbody>
</table>
<p>路由欄位的核心是把訊號轉成可執行任務。若欄位完整，團隊在壓力下仍能用一致方式判讀與升級。</p>
<h2 id="訊號分類">訊號分類</h2>
<p>訊號分類的責任是建立優先順序。建議先區分三種來源：</p>
<ol>
<li>技術訊號：監控、掃描、驗證結果。</li>
<li>流程訊號：例外到期、審查延遲、關卡失敗。</li>
<li>外部訊號：公開漏洞、供應鏈公告、客戶通報。</li>
</ol>
<h2 id="triage-問題設計">Triage 問題設計</h2>
<p>Triage 問題的責任是縮短第一輪決策時間。常用問題包含：</p>
<ol>
<li>影響範圍是否持續擴大。</li>
<li>訊號可信度是否足夠觸發升級。</li>
<li>目前證據是否支持 containment。</li>
<li>目前事件是否需要跨團隊決策。</li>
</ol>
<h2 id="severity-對齊">Severity 對齊</h2>
<p>Severity 對齊的責任是讓資安訊號與 incident 節奏一致。這一層建議直接掛到 <a href="/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">incident severity</a> 與 <a href="/blog/backend/knowledge-cards/escalation-policy/" data-link-title="Escalation Policy" data-link-desc="說明事故升級鏈與值班轉接規則">escalation policy</a>。</p>
<p>做法上可先定義分級規則，再為每個分級綁定 owner、通訊節奏與關閉條件。</p>
<h2 id="response-路由">Response 路由</h2>
<p>Response 路由的責任是把分級後動作排成流程。建議最小流程：</p>
<ol>
<li>Containment：先穩定影響面。</li>
<li>Evidence collection：同步保留關鍵證據。</li>
<li>Communication：同步內外部利害關係人。</li>
<li>Write-back plan：預留回寫任務入口。</li>
</ol>
<h2 id="exit-與回寫">Exit 與回寫</h2>
<p>Exit 的責任是定義這輪事件何時完成。關閉前應確認：</p>
<ol>
<li>影響面收斂到目標範圍。</li>
<li>事件證據可回查。</li>
<li>後續任務已進入問題卡與 workflow。</li>
</ol>
<p>回寫位置建議固定到 detection rule、problem card 與 incident workflow，讓下一輪判讀更快收斂。</p>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>告警名稱清楚但處理者判讀不一致</td>
          <td>需要 triage question</td>
          <td>7.B2 → 08</td>
      </tr>
      <tr>
          <td>tripwire 觸發後缺少升級對象</td>
          <td>需要 escalation route</td>
          <td>7.B2 → 7.14</td>
      </tr>
      <tr>
          <td>外部公告進來後影響範圍判斷緩慢</td>
          <td>需要 service owner map</td>
          <td>7.B2 → 7.B1</td>
      </tr>
      <tr>
          <td>回應結束後偵測規則沒有更新</td>
          <td>需要 write-back loop</td>
          <td>7.B2 → 7.16</td>
      </tr>
  </tbody>
</table>
<p>判讀表格可以直接當作值班檢查單。每次事件結束後重新掃一次，能快速找到下輪優先補強項目。</p>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a></li>
<li><a href="/blog/backend/07-security-data-protection/security-governance-exception-and-tripwire/" data-link-title="7.14 資安治理例外與 Tripwire" data-link-desc="定義例外管理、風險接受與重新評估觸發器">7.14 資安治理例外與 Tripwire</a></li>
<li><a href="/blog/backend/07-security-data-protection/incident-case-to-control-workflow/" data-link-title="7.16 從公開事故到工程 Workflow：案例如何回寫控制面" data-link-desc="建立公開事故如何轉成控制面失效樣式與 workflow 回寫的大綱">7.16 從公開事故到工程 Workflow</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/defense-control-map/" data-link-title="7.B1 防守控制面地圖" data-link-desc="建立防守控制面如何對應身份、入口、資料、供應鏈、偵測與治理問題的大綱">7.B1 防守控制面地圖</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能把一個偵測訊號寫成回應路由。路由至少包含 signal、triage question、severity、owner、escalation path、exit condition 與 write-back target。</p>
]]></content:encoded></item><item><title>7.B6 Incident Triage Loop</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/</link><pubDate>Thu, 30 Apr 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/incident-triage-loop/</guid><description>&lt;p>本篇的責任是建立 incident triage loop。讀者讀完後，能把 alert 與外部通報轉成分級、接手、處置與回寫循環。&lt;/p>
&lt;h2 id="核心論點">核心論點&lt;/h2>
&lt;p>Incident triage loop 的核心概念是讓訊號推動一致決策。循環一旦固定，團隊在壓力下仍能用同一組欄位完成判讀與交接。&lt;/p>
&lt;h2 id="讀者入口">讀者入口&lt;/h2>
&lt;p>本篇適合銜接 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由&lt;/a>、&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5 Detection Engineering Lifecycle&lt;/a> 與 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">incident severity&lt;/a>。&lt;/p>
&lt;h2 id="triage-循環欄位">Triage 循環欄位&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>欄位&lt;/th>
 &lt;th>責任&lt;/th>
 &lt;th>產出&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>Signal intake&lt;/td>
 &lt;td>收斂初始訊號與來源&lt;/td>
 &lt;td>alert record&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Triage question&lt;/td>
 &lt;td>建立第一輪判讀問題&lt;/td>
 &lt;td>triage note&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Severity decision&lt;/td>
 &lt;td>對齊影響等級與節奏&lt;/td>
 &lt;td>severity decision&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Owner assignment&lt;/td>
 &lt;td>明確主責與協作角色&lt;/td>
 &lt;td>owner route&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Containment action&lt;/td>
 &lt;td>控制影響面與擴散&lt;/td>
 &lt;td>containment record&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Evidence capture&lt;/td>
 &lt;td>保留回查證據&lt;/td>
 &lt;td>evidence chain&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>Write-back&lt;/td>
 &lt;td>回寫規則與流程&lt;/td>
 &lt;td>backlog item&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="triage-問題設計">Triage 問題設計&lt;/h2>
&lt;p>Triage 問題設計的責任是讓判讀聚焦。每次事件可先回答四題：&lt;/p>
&lt;ol>
&lt;li>目前影響面在哪些服務邊界。&lt;/li>
&lt;li>訊號可信度與誤報機率在哪個範圍。&lt;/li>
&lt;li>哪個 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/ownership/" data-link-title="Ownership" data-link-desc="說明 ownership 如何把問題、決策與交接責任固定到可執行角色">ownership&lt;/a> 可以先收斂風險。&lt;/li>
&lt;li>這輪事件的關閉條件是什麼。&lt;/li>
&lt;/ol>
&lt;h2 id="severity-對齊">Severity 對齊&lt;/h2>
&lt;p>Severity 對齊的責任是把技術判讀接到業務影響。分級決策可直接綁定升級節奏、通訊節奏與處置時限，並和 &lt;a href="https://tarrragon.github.io/blog/backend/knowledge-cards/escalation-policy/" data-link-title="Escalation Policy" data-link-desc="說明事故升級鏈與值班轉接規則">escalation policy&lt;/a> 對齊。&lt;/p>
&lt;h2 id="containment-與-evidence">Containment 與 Evidence&lt;/h2>
&lt;p>Containment 與 evidence 的責任是讓事件處置可驗證。處置動作與證據保留同步進行，常見證據包含 audit log、變更紀錄、時間線與決策紀錄。&lt;/p>
&lt;h2 id="回寫閉環">回寫閉環&lt;/h2>
&lt;p>回寫閉環的責任是讓每次 triage 提升下次效率。建議回寫到三個位置：&lt;/p>
&lt;ol>
&lt;li>detection rule 與 tuning 記錄。&lt;/li>
&lt;li>runbook 與 escalation path。&lt;/li>
&lt;li>7.x 章節中的判讀訊號與路由。&lt;/li>
&lt;/ol>
&lt;h2 id="判讀訊號與路由">判讀訊號與路由&lt;/h2>
&lt;table>
 &lt;thead>
 &lt;tr>
 &lt;th>判讀訊號&lt;/th>
 &lt;th>代表需求&lt;/th>
 &lt;th>下一步路由&lt;/th>
 &lt;/tr>
 &lt;/thead>
 &lt;tbody>
 &lt;tr>
 &lt;td>分級標準頻繁改寫&lt;/td>
 &lt;td>需要固定 severity 準則&lt;/td>
 &lt;td>7.B6 → 08&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>triage 記錄缺少影響邊界&lt;/td>
 &lt;td>需要補 triage 問題模板&lt;/td>
 &lt;td>7.B6 → 7.B2&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>containment 完成但證據不足&lt;/td>
 &lt;td>需要補 evidence capture&lt;/td>
 &lt;td>7.B6 → 7.B3&lt;/td>
 &lt;/tr>
 &lt;tr>
 &lt;td>事件結束後規則未更新&lt;/td>
 &lt;td>需要 write-back 閉環&lt;/td>
 &lt;td>7.B6 → 7.B5&lt;/td>
 &lt;/tr>
 &lt;/tbody>
&lt;/table>
&lt;h2 id="必連章節">必連章節&lt;/h2>
&lt;ul>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3 資安控制驗證&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5 Detection Engineering Lifecycle&lt;/a>&lt;/li>
&lt;li>&lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構&lt;/a>&lt;/li>
&lt;/ul>
&lt;h2 id="完稿判準">完稿判準&lt;/h2>
&lt;p>完稿時要讓讀者能把一個 incident 訊號走完 triage loop。輸出至少包含訊號、問題、分級、接手、處置、證據與回寫。&lt;/p></description><content:encoded><![CDATA[<p>本篇的責任是建立 incident triage loop。讀者讀完後，能把 alert 與外部通報轉成分級、接手、處置與回寫循環。</p>
<h2 id="核心論點">核心論點</h2>
<p>Incident triage loop 的核心概念是讓訊號推動一致決策。循環一旦固定，團隊在壓力下仍能用同一組欄位完成判讀與交接。</p>
<h2 id="讀者入口">讀者入口</h2>
<p>本篇適合銜接 <a href="/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5 Detection Engineering Lifecycle</a> 與 <a href="/blog/backend/knowledge-cards/incident-severity/" data-link-title="Incident Severity" data-link-desc="說明事故分級如何把產品影響轉成對應處置節奏">incident severity</a>。</p>
<h2 id="triage-循環欄位">Triage 循環欄位</h2>
<table>
  <thead>
      <tr>
          <th>欄位</th>
          <th>責任</th>
          <th>產出</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Signal intake</td>
          <td>收斂初始訊號與來源</td>
          <td>alert record</td>
      </tr>
      <tr>
          <td>Triage question</td>
          <td>建立第一輪判讀問題</td>
          <td>triage note</td>
      </tr>
      <tr>
          <td>Severity decision</td>
          <td>對齊影響等級與節奏</td>
          <td>severity decision</td>
      </tr>
      <tr>
          <td>Owner assignment</td>
          <td>明確主責與協作角色</td>
          <td>owner route</td>
      </tr>
      <tr>
          <td>Containment action</td>
          <td>控制影響面與擴散</td>
          <td>containment record</td>
      </tr>
      <tr>
          <td>Evidence capture</td>
          <td>保留回查證據</td>
          <td>evidence chain</td>
      </tr>
      <tr>
          <td>Write-back</td>
          <td>回寫規則與流程</td>
          <td>backlog item</td>
      </tr>
  </tbody>
</table>
<h2 id="triage-問題設計">Triage 問題設計</h2>
<p>Triage 問題設計的責任是讓判讀聚焦。每次事件可先回答四題：</p>
<ol>
<li>目前影響面在哪些服務邊界。</li>
<li>訊號可信度與誤報機率在哪個範圍。</li>
<li>哪個 <a href="/blog/backend/knowledge-cards/ownership/" data-link-title="Ownership" data-link-desc="說明 ownership 如何把問題、決策與交接責任固定到可執行角色">ownership</a> 可以先收斂風險。</li>
<li>這輪事件的關閉條件是什麼。</li>
</ol>
<h2 id="severity-對齊">Severity 對齊</h2>
<p>Severity 對齊的責任是把技術判讀接到業務影響。分級決策可直接綁定升級節奏、通訊節奏與處置時限，並和 <a href="/blog/backend/knowledge-cards/escalation-policy/" data-link-title="Escalation Policy" data-link-desc="說明事故升級鏈與值班轉接規則">escalation policy</a> 對齊。</p>
<h2 id="containment-與-evidence">Containment 與 Evidence</h2>
<p>Containment 與 evidence 的責任是讓事件處置可驗證。處置動作與證據保留同步進行，常見證據包含 audit log、變更紀錄、時間線與決策紀錄。</p>
<h2 id="回寫閉環">回寫閉環</h2>
<p>回寫閉環的責任是讓每次 triage 提升下次效率。建議回寫到三個位置：</p>
<ol>
<li>detection rule 與 tuning 記錄。</li>
<li>runbook 與 escalation path。</li>
<li>7.x 章節中的判讀訊號與路由。</li>
</ol>
<h2 id="判讀訊號與路由">判讀訊號與路由</h2>
<table>
  <thead>
      <tr>
          <th>判讀訊號</th>
          <th>代表需求</th>
          <th>下一步路由</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>分級標準頻繁改寫</td>
          <td>需要固定 severity 準則</td>
          <td>7.B6 → 08</td>
      </tr>
      <tr>
          <td>triage 記錄缺少影響邊界</td>
          <td>需要補 triage 問題模板</td>
          <td>7.B6 → 7.B2</td>
      </tr>
      <tr>
          <td>containment 完成但證據不足</td>
          <td>需要補 evidence capture</td>
          <td>7.B6 → 7.B3</td>
      </tr>
      <tr>
          <td>事件結束後規則未更新</td>
          <td>需要 write-back 閉環</td>
          <td>7.B6 → 7.B5</td>
      </tr>
  </tbody>
</table>
<h2 id="必連章節">必連章節</h2>
<ul>
<li><a href="/blog/backend/07-security-data-protection/blue-team/detection-to-response-routing/" data-link-title="7.B2 從偵測到回應的路由" data-link-desc="建立資安偵測訊號如何轉成 triage、severity、升級與 incident workflow 的大綱">7.B2 從偵測到回應的路由</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/security-control-validation/" data-link-title="7.B3 資安控制驗證" data-link-desc="建立資安控制面如何用證據、演練與 release gate 驗證的大綱">7.B3 資安控制驗證</a></li>
<li><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">7.B5 Detection Engineering Lifecycle</a></li>
<li><a href="/blog/backend/07-security-data-protection/security-incident-write-back-to-product-and-architecture/" data-link-title="7.24 資安事故如何回寫產品與架構" data-link-desc="把事故教訓回寫到產品決策、架構控制與知識網，建立持續改進閉環">7.24 資安事故如何回寫產品與架構</a></li>
</ul>
<h2 id="完稿判準">完稿判準</h2>
<p>完稿時要讓讀者能把一個 incident 訊號走完 triage loop。輸出至少包含訊號、問題、分級、接手、處置、證據與回寫。</p>
]]></content:encoded></item></channel></rss>