CDM_NDR
這篇整理 Network Detection and Response 的概念,並把 EDR、NDR、XDR、MDR 放在一起比較,釐清各種 Detection and Response 技術的監控範圍與適合情境。
前言
由於撰寫這篇其實是很久以前了,所以我在介紹時會比當初報告多許多知識。當初在報告時並沒有介紹到 EDR、XDR 等,所以並不是都在報告內有所呈現。
What is NDR
NDR,全名為 Network Detection And Response,負責在網路層中進行威脅偵測、分析與回應,目的在於即時找出潛藏在內部或外部的異常活動或攻擊行為。
通常 NDR 會關係到以下內容:
網路封包分析
深入檢查進出內網的封包,不只看 header,也會看 payload。
行為分析
用 AI/ML 分析設備、用戶或伺服器的平常行為,一旦出現異常,例如 lateral movement、data exfiltration,就觸發警報。
威脅偵測
可以偵測未知攻擊、zero-day、APT、內部威脅等。與傳統 signature-based IDS 不同,NDR 更偏向行為與模式學習。
回應機制
支援即時或自動阻斷攻擊,例如阻斷連線、封鎖 IP、發送 SIEM log、啟用隔離機制等。
DR 全家桶
| 名稱 | 全名 | 核心監控範圍 | 功能重點 | 適合對象 |
|---|---|---|---|---|
| EDR | Endpoint Detection and Response | 終端裝置,如電腦、手機、伺服器 | 監控與回應惡意行為、勒索、內網擴散 | 有大量主機資產的大型企業 |
| NDR | Network Detection and Response | 網路層,如封包、流量、行為模式 | 偵測 lateral movement、未知攻擊、封包異常 | 資料中心、大型企業、混合雲環境 |
| XDR | Extended Detection and Response | 多層整合,如 EDR、NDR、Email、Cloud | 一體化威脅偵測、分析與回應平台 | 想統一管理資安的組織 |
| MDR | Managed Detection and Response | 外包式的 DR 託管資安服務 | 有專人幫你操作、分析、通報甚至回應 | 沒有資安團隊的中小企業 |
逐步介紹
EDR:Endpoint Detection and Response
- 重點:監控單一終端設備行為,例如電腦、手機、伺服器。
- 功能:紀錄檔案活動、程序行為、記憶體異常、勒索加密行為。
- 偵測目標:勒索軟體、惡意程式、PowerShell 攻擊。
- 常見產品:CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne。
NDR:Network Detection and Response
- 重點:監控整個網路流量與裝置間的互動。
- 功能:封包分析、行為建模、C2 通訊偵測、內網橫向移動。
- 偵測目標:未知惡意流量、滲透攻擊、資料外洩。
- 常見產品:Darktrace、Vectra AI、ExtraHop。
XDR:Extended Detection and Response
- 重點:跨平台整合 EDR、NDR、Email、Cloud、Identity。
- 功能:集中分析、威脅狩獵、SOAR 整合、跨域自動化。
- 偵測目標:複合式攻擊鏈、攻擊者在不同領域間移動。
- 常見產品:Palo Alto Cortex XDR、Microsoft Sentinel + Defender、Trend Micro Vision One。
MDR:Managed Detection and Response
- 重點:專業團隊幫你使用 EDR、NDR 或 XDR 系統。
- 功能:24/7 監控、報告產出、事件通報、協助阻斷。
- 偵測目標:任何異常事件,並由團隊協助處理。
- 常見廠商:Rapid7 MDR、CrowdStrike Falcon Complete、IBM Security Services。
- Title: CDM_NDR
- Author: NPCMike
- Created at : 2025-04-21 00:00:00
- Updated at : 2026-05-13 16:49:36
- Link: https://npcmike.github.io/2025/04/21/CDM-NDR/
- License: This work is licensed under CC BY-NC-SA 4.0.
Comments