วงจรชีวิตวิศวกรรมการตรวจจับ (Detection Engineering Lifecycle)
เอกสารนี้กำหนดวงจรชีวิตตั้งแต่การสร้าง ดูแลรักษา ปรับจูน และยกเลิกกฎการตรวจจับภายใน SOC
ภาพรวมวงจรชีวิต
graph TD
Req["📋 1. ความต้องการ"] --> Dev["⚙️ 2. พัฒนา"]
Dev --> Test["🧪 3. ทดสอบ/จูน"]
Test --> Deploy["🚀 4. ติดตั้ง"]
Deploy --> Monitor["📊 5. เฝ้าระวัง"]
Monitor --> Review["🔄 6. ทบทวน/ยกเลิก"]
Review --> Req
1. ความต้องการและการวิจัย
| อินพุต |
การดำเนินการ |
ผลลัพธ์ |
| รายงาน Threat Intel |
วิเคราะห์ TTPs, IoCs, CVEs |
เอกสารความต้องการกฎ |
| MITRE ATT&CK gaps |
สร้าง coverage heatmap |
รายการ technique ที่ต้องทำ |
| Post-mortem จากเหตุการณ์ |
สกัด detection gaps |
ตั๋วปรับปรุง |
| บริบทธุรกิจ |
ระบุสินทรัพย์สำคัญ |
ลำดับความสำคัญตามความเสี่ยง |
ลำดับความสำคัญ
| ลำดับ |
เกณฑ์ |
ตัวอย่าง |
| P1 |
ถูกโจมตีอยู่, เสี่ยงต่อสินทรัพย์สำคัญ |
Zero-day, ransomware ใหม่ |
| P2 |
ตรงกับ TTP ที่โจมตีอุตสาหกรรมเรา |
Credential theft, lateral movement |
| P3 |
ช่องว่างใน ATT&CK matrix |
Discovery, Collection |
| P4 |
ดีถ้ามี, ความเสี่ยงต่ำ |
Shadow IT, policy violation |
2. การพัฒนา
มาตรฐานรูปแบบกฎ
| รูปแบบ |
กรณีใช้งาน |
ที่เก็บ |
| Sigma |
Detection ใน SIEM (รูปแบบหลัก) |
08_Detection_Engineering/sigma_rules/ |
| YARA |
วิเคราะห์ไฟล์/binary |
08_Detection_Engineering/sigma_rules/yara/ |
| Snort/Suricata |
Detection ระดับเครือข่าย |
08_Detection_Engineering/sigma_rules/ids/ |
title: ชื่อกฎที่อธิบายได้ชัดเจน
id: UUID
status: experimental | test | stable | deprecated
level: low | medium | high | critical
author: ชื่อผู้เขียน
date: YYYY/MM/DD
tags:
- attack.tactic_name
- attack.technique_id
3. ทดสอบและปรับแต่ง
| # |
ขั้นตอน |
วิธี |
เกณฑ์ผ่าน |
| 1 |
ตรวจ syntax |
CI validator |
ไม่มี error |
| 2 |
ข้อมูลย้อนหลัง |
รัน 30 วันย้อนหลัง |
Alert ตรงตามที่คาด |
| 3 |
จำลองการโจมตี |
Atomic Red Team |
Alert ภายใน 5 นาที |
| 4 |
ตรวจ False Positive |
เฝ้า 7 วันในโหมด experimental |
FPR < 10% |
| 5 |
Peer review |
Code review โดยวิศวกรอีกคน |
อนุมัติ |
การจัดการ FPR
| ช่วง FPR |
การดำเนินการ |
กรอบเวลา |
| < 5% |
เลื่อนเป็น stable |
ทันที |
| 5–15% |
เพิ่ม whitelist, ทดสอบซ้ำ |
1 สัปดาห์ |
| 15–30% |
ออกแบบ logic ใหม่ |
2 สัปดาห์ |
| > 30% |
ยกเลิกหรือเขียนใหม่ |
ทันที |
4. การติดตั้ง
เส้นทางเลื่อนขั้น
| ขั้น |
สภาพแวดล้อม |
ระยะเวลา |
อนุมัติโดย |
| Experimental |
Dev/Lab SIEM |
จนผ่านทดสอบ |
Detection Engineer |
| Test |
Production (silent mode) |
≥ 7 วัน |
SOC Lead |
| Stable |
Production (แจ้งเตือนเต็มรูปแบบ) |
ต่อเนื่อง |
SOC Lead + peer |
| Deprecated |
ยกเลิกจาก detection |
- |
SOC Lead + RFC |
5. เฝ้าระวัง
| ตัวชี้วัด |
เป้าหมาย |
แจ้งเตือนเมื่อ |
| ปริมาณ Alert |
Baseline ± 20% |
พุ่งสูงหรือลดลงมาก |
| True Positive Rate |
≥ 90% |
< 70% |
| เวลาคัดกรองเฉลี่ย |
< 10 นาที |
> 30 นาที |
6. ทบทวนและยกเลิก
ตรวจสอบรายไตรมาส
| # |
ตรวจสอบ |
การแก้ไข |
| 1 |
กฎยังตรงกับภัยคุกคามที่ใช้งานอยู่? |
พิจารณายกเลิก |
| 2 |
FPR ยังอยู่ในเกณฑ์? |
ปรับจูนหรือยกเลิก |
| 3 |
Log source เปลี่ยน format? |
อัปเดต parser |
| 4 |
มีกฎซ้ำซ้อน? |
รวมกฎ |
| 5 |
กฎ trigger ภายใน 90 วันที่ผ่านมา? |
ประเมินความเกี่ยวข้อง |
Content Lifecycle
graph LR
Create["📝 สร้าง"] --> Review["👀 ทบทวน"]
Review --> Approve["✅ อนุมัติ"]
Approve --> Deploy["🚀 Deploy"]
Deploy --> Monitor["📊 ติดตาม"]
Monitor --> Update["🔄 อัปเดต"]
Update --> Review
Monitor --> Retire["🗑️ เลิกใช้"]
Content Inventory Template
| Content ID |
ประเภท |
ชื่อ |
เวอร์ชัน |
Owner |
Last Review |
Status |
| SIG-001 |
Sigma Rule |
Suspicious PowerShell |
1.2 |
DetEng |
2026-01 |
Active |
| PB-001 |
Playbook |
Phishing Response |
2.1 |
SOC Lead |
2026-01 |
Active |
| YAR-001 |
YARA Rule |
Ransomware Family X |
1.0 |
Malware Analyst |
2025-12 |
Active |
Content Quality Metrics
| ตัวชี้วัด |
เป้าหมาย |
ปัจจุบัน |
| Detection rules with owner assigned |
100% |
[XX]% |
| Rules reviewed in last 6 months |
≥ 80% |
[XX]% |
| Rules with MITRE mapping |
≥ 90% |
[XX]% |
| Playbooks with Mermaid diagrams |
≥ 90% |
[XX]% |
| Average FP rate across all rules |
< 10% |
[XX]% |
เอกสารที่เกี่ยวข้อง
Content Lifecycle Management
| Phase |
Activity |
Owner |
Frequency |
| Create |
สร้าง rule/playbook |
Engineer |
As needed |
| Review |
Peer review + test |
Senior Analyst |
Per change |
| Approve |
Quality gate |
SOC Manager |
Per change |
| Deploy |
Push to production |
Engineer |
Post-approval |
| Monitor |
Track FP/TP rates |
Analyst |
Weekly |
| Retire |
Archive outdated |
Engineer |
Quarterly |
Content Quality Checklist
Content Types Summary
| Type |
Format |
Owner |
| Detection rules |
YAML/SPL |
Engineer |
| Playbooks |
Markdown |
Analyst |
| Dashboards |
JSON |
Engineer |
| Reports |
Template |
Manager |
อ้างอิง