แบบฟอร์มคำขอ Detection
กลุ่มเป้าหมาย: Detection Engineer, SOC Analyst, Threat Hunter, SOC Manager
วัตถุประสงค์: ใช้แบบฟอร์มนี้เพื่อขอ detection ใหม่ ปรับ rule หรือ tune rule โดยมีบริบทเพียงพอสำหรับการจัดลำดับความสำคัญและ implement อย่างปลอดภัย
graph TD
A["ส่งคำขอ detection"] --> B["ยืนยัน use case และ telemetry"]
B --> C["ประเมินความสำคัญและความเสี่ยงด้าน noise"]
C --> D["พัฒนาและทดสอบ"]
D --> E["อนุมัติ deploy หรือเลื่อน"]
1. ส่วนหัวคำขอ
| รายการ |
ค่า |
| Request ID |
DET-[YYYYMMDD]-[001] |
| ผู้ร้องขอ |
|
| ประเภทคำขอ |
☐ Detection ใหม่ · ☐ ปรับแต่ง · ☐ แก้ช่องว่าง · ☐ ยกเลิก |
| วันที่ส่งคำขอ |
|
| ความสำคัญที่ร้องขอ |
☐ Critical · ☐ High · ☐ Medium · ☐ Low |
2. เป้าหมายของ Detection
| คำถาม |
คำตอบ |
| Threat หรือพฤติกรรมที่ต้องการตรวจจับ |
|
| เหตุผลทางธุรกิจหรือความปลอดภัย |
|
| Incident, hunt, หรือข้อค้นพบจาก audit ที่เกี่ยวข้อง |
|
| แหล่งหลักฐานที่คาดหวัง |
|
3. ความต้องการด้าน Telemetry และข้อมูล
| ข้อกำหนด |
สถานะ |
หมายเหตุ |
| ระบุ required log source แล้ว |
☐ |
|
| ยืนยัน required fields แล้ว |
☐ |
|
| มี sample data พร้อม |
☐ |
|
| บันทึก blind spots แล้ว |
☐ |
|
4. หมายเหตุด้านการ Implement
| หัวข้อ |
หมายเหตุ |
| แนวคิดของ detection logic |
|
| รูปแบบ false positive ที่คาดไว้ |
|
| แนวทาง suppression หรือ threshold |
|
| Playbook หรือ runbook ที่เกี่ยวข้อง |
|
5. การอนุมัติและผลลัพธ์
| บทบาท |
ชื่อ |
การตัดสินใจ |
วันที่ |
| Detection Engineer |
|
☐ รับคำขอ · ☐ ไม่รับคำขอ · ☐ ขอข้อมูลเพิ่ม |
|
| SOC Manager |
|
☐ จัดลำดับความสำคัญแล้ว |
|
6. เส้นทางส่งต่อใน Backlog และ Governance
References