TH
สินค้าและบริการ
NETWORKING
CLOUD PLATFORM
CYBER SECURITY
ENDPOINT SECURITY
DATA SECURITY
SPECIFICATION
IDENTITY & ACCESS MANAGEMENT
SERVER AND DEVICE
SERVE & SERVICE
DESIGN & OFFERING NETWORK SYSTEM
สินค้าและบริการ

Endpoint Detection and Response (EDR)

ENDPOINT SECURITY

Endpoint Detection and Response (EDR)

Endpoint Detection and Response (EDR) คือ โซลูชันด้านความปลอดภัยทางไซเบอร์ที่มุ่งเน้นการ ตรวจจับ สืบสวน และตอบสนอง ต่อภัยคุกคามขั้นสูงที่พุ่งเป้ามายังอุปกรณ์ปลายทาง (Endpoints) เช่น คอมพิวเตอร์ แล็ปท็อป และเซิร์ฟเวอร์   EDR เปรียบเสมือน กล้องวงจรปิดพร้อมนักสืบดิจิทัล ที่ทำงานตลอด 24 ชั่วโมง เพื่อจับตาดูและวิเคราะห์กิจกรรมทั้งหมดบนอุปกรณ์อย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งภัยคุกคามที่สามารถหลุดรอดจากระบบป้องกันด่านแรก (เช่น Antivirus หรือ EPP) เข้ามาได้  

EDR ทำงานอย่างไร
EDR ไม่ได้เน้นการ ป้องกัน (Prevention) แบบ Antivirus แต่เน้นที่การ ค้นหาและตอบสนอง (Hunt and Response) เป็นหลัก โดยมีกระบวนการหลัก 4 ขั้นตอน:

  1. การเฝ้าระวังอย่างต่อเนื่อง (Continuous Monitoring):
    o    EDR จะติดตั้ง Agent (ซอฟต์แวร์ขนาดเล็ก) บนอุปกรณ์ปลายทางแต่ละเครื่อง
    o    Agent จะทำการ บันทึกและรวบรวมข้อมูลกิจกรรม ที่เกิดขึ้นบนเครื่องอย่างละเอียดและต่อเนื่องแบบเรียลไทม์ (เช่น การสร้างไฟล์, การเปลี่ยนแปลง Registry, การเชื่อมต่อเครือข่าย, การรันโปรเซส) ข้อมูลนี้เรียกว่า Telemetry Data
  2. การตรวจจับและการวิเคราะห์ (Detection & Analysis):
    o    ข้อมูลที่รวบรวมจะถูกส่งไปยัง ศูนย์วิเคราะห์กลาง (มักจะเป็น Cloud-based)
    o    ระบบจะใช้ Machine Learning และ การวิเคราะห์เชิงพฤติกรรม (Behavioral Analysis) เพื่อค้นหา ความผิดปกติ (Anomaly) หรือ Indicator of Attack (IOA) ที่บ่งชี้ถึงภัยคุกคามที่ไม่รู้จัก (Unknown Threats) เช่น Ransomware ที่พยายามเข้ารหัสไฟล์
  3. การตอบสนองอัตโนมัติ (Automated Response):
    o    เมื่อตรวจพบภัยคุกคาม EDR สามารถดำเนินการตอบสนองได้ทันทีโดยอัตโนมัติเพื่อ จำกัดความเสียหาย (Containment) ก่อนที่ภัยคุกคามจะลุกลาม
    o    การตอบสนองที่พบบ่อย: การแยกอุปกรณ์ (Isolate Endpoint) ออกจากเครือข่าย หรือ การยุติโปรเซส (Terminate Process) ที่เป็นอันตราย
  4. การสืบสวนเชิงลึกและการแก้ไข (Investigation & Forensics):
    o    EDR ช่วยให้ทีมรักษาความปลอดภัยสามารถทำ Root Cause Analysis (การวิเคราะห์หาสาเหตุของการโจมตี) ได้อย่างรวดเร็ว โดยการย้อนดูไทม์ไลน์ของเหตุการณ์ทั้งหมด (Acting like a DVR - Digital Video Recorder)
    o    สามารถทำ Threat Hunting (การล่าภัยคุกคามเชิงรุก) โดยการค้นหากิจกรรมที่น่าสงสัยในข้อมูลย้อนหลังที่ถูกเก็บไว้ เพื่อเปิดเผยการแฝงตัวของแฮกเกอร์ที่ยังไม่ถูกตรวจพบ
  ทำไม EDR ถึงสำคัญ EDR กลายเป็นเทคโนโลยีสำคัญสำหรับองค์กรในยุคปัจจุบัน เนื่องจาก:
  • ภัยคุกคามซับซ้อนขึ้น: EDR สามารถตรวจจับการโจมตีขั้นสูงที่เลี่ยงการตรวจจับแบบเดิมได้ (เช่น Fileless Malware, Living off the Land)
  • มองเห็นจุดบอด: EDR ให้ ความสามารถในการมองเห็น (Visibility) กิจกรรมภายในอุปกรณ์อย่างสมบูรณ์ ซึ่งระบบ Antivirus ทั่วไปทำไม่ได้
  • ลดเวลาตอบสนอง (MTTR): ช่วยลดเวลาที่ใช้ในการตรวจจับภัยคุกคาม และตอบสนองต่อเหตุการณ์ได้เร็วขึ้นอย่างมาก เพื่อลดผลกระทบต่อธุรกิจ

 

Products & Services

This website Collects

To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions

Accept