面對日益複雜且多變的網路威脅，企業組織的內部網路環境往往具有高度的異質性。不同的架構、操作系統、應用程式以及使用模式，讓單一的偵測邏輯難以通用於所有環境。同時，隨著攻擊者持續演進其技術與策略。為此，偵測工程（Detection Engineering） 應運而生，成為近年來藍隊廣泛討論的重要主題。偵測工程的核心目標 是透過系統化的流程與方法論，有效率地設計和實現適用於自身環境的偵測規則。它將攻擊行為抽象化為特徵模式，專注於行為而非工具，使得偵測邏輯不僅具備更高的靈活性，還能適應快速變化的攻擊場景。在本次演講中，我們將深入探討偵測工程的核心概念與實踐流程，並結合實際案例進行演示，說明如何透過系統化的流程設計出能有效辨識這類行為的偵測規則。此外，我們將介紹如何利用像 MITRE ATT&CK 等標準化框架，搭配 Abstraction Map ，將攻擊行為分層解構，精確定位潛在的偵測點。