Please wait...
Close X
SOLUTIONS CORNER
เจาะลึก EDR XDR MDR เข้าใจให้ชัด ก่อนเลือกใช้ในองค์กร
ในบทความ วิวัฒนาการโซลูชันความปลอดภัย: จาก Traditional Antivirus ถึง MDR  เราได้ไล่เรียง “บันไดความปลอดภัย” ตั้งแต่ Traditional Antivirus ที่เน้นตรวจจับไวรัสจากฐานข้อมูล ไปจนถึง Next-Generation Antivirus (NGAV) ที่ใช้ AI วิเคราะห์พฤติกรรม และขั้นที่สูงขึ้นอย่าง EDR, XDR, MDR

ถ้าจะเปรียบง่ายๆ
                •   Antivirus / NGAV คือ “รั้วบ้าน” ป้องกันโจรเข้ามา
                •   EDR คือ “กล้องวงจรปิด+ยามเฝ้า” จับตาดูทุกความเคลื่อนไหว
                •   XDR คือ “ศูนย์ควบคุมกลาง” ที่รวมภาพจากทุกกล้อง ทั้งในบ้าน นอกรั้ว และในระบบออนไลน์
                •   MDR คือ “จ้างทีม รปภ. มืออาชีพ” มาดูแลให้ทั้งวันทั้งคืน
 
ดังนั้นเครื่องมือยุคใหม่จึงไม่เพียง “ป้องกัน” แต่ต้อง ตรวจจับและตอบสนอง (Detection & Response) ได้ด้วย ซึ่งนี่คือจุดเริ่มของ EDR, XDR, MDR


 
EDR (Endpoint Detection & Response) – ยามเฝ้าเครื่องปลายทาง
1.คืออะไร
EDR คือระบบที่ติดตั้ง Agent ลงบน Endpoint เช่น PC, Notebook, Server, VDI เพื่อเฝ้าตรวจสอบและบันทึกกิจกรรมต่างๆ ในเครื่องแบบละเอียด (Telemetry) แล้วใช้ AI + ฐานข้อมูลภัยคุกคามมาวิเคราะห์ หากพบพฤติกรรมผิดปกติ ก็สามารถสั่งกักกันหรือหยุดการโจมตีได้ทันที
 
2. ข้อมูลที่ EDR เก็บ (Telemetry)
                •  Process / Command Line / Parent–Child Process → รู้ว่าโปรแกรมใดเปิดโดยใคร และสั่งอะไรอยู่
                •  File / Registry / Driver & Kernel Events → ตรวจว่าไฟล์ถูกเปลี่ยนแปลงหรือ Registry ถูกแก้ไข
                •  Network Connection (DNS / IP / Port) → ตรวจการเชื่อมต่อไปยังเซิร์ฟเวอร์ต้องสงสัย
                •  User Logon / Privilege Escalation → รู้ว่ามีใครพยายามยกระดับสิทธิ์ผู้ใช้
                •  Script Engines & Macro → เช่น PowerShell, WMI, Office Macro
                •  Ransomware Canary Files → ไฟล์ล่อเพื่อทดสอบว่ามีการเข้ารหัสเกิดขึ้นหรือไม่
 
3. วิธีตรวจจับของ EDR
               •  Behavioral Rules + แผนที่ MITRE ATT&CK → จับตามเทคนิคการโจมตีที่รู้จัก
               •  Machine Learning / AI → หา Pattern ผิดปกติ
               •  Threat Intelligence (IoC/IoA) → เช็คกับฐานข้อมูลผู้โจมตีที่เคยบันทึกไว้
               •  Memory & Fileless Detection → ตรวจการโจมตีที่ไม่ทิ้งไฟล์ในดิสก์
 
4. การตอบสนองของ EDR
               •  Isolate เครื่องออกจากเครือข่ายทันที
               •  Kill Process หยุดโปรแกรมอันตราย
               •  Quarantine File แยกไฟล์ต้องสงสัย
               •  Rollback กู้ไฟล์กลับมาก่อนโดนเข้ารหัส (บางแบรนด์)
               •  IOC Sweeping & Live Response ค้นหาและแก้ปัญหาทันทีจากศูนย์ควบคุม
 
5. ตัวอย่างสถานการณ์จริง
พนักงานเผลอเปิดไฟล์แนบในอีเมลที่มีมาโครอันตราย → EDR ตรวจพบว่ามีการรัน PowerShell แปลกๆ → สั่ง Kill Process และ Isolate เครื่องทันที → ป้องกันการเข้ารหัสไฟล์ทั้งบริษัท
 
XDR (Extended Detection & Response) – ตาเหยี่ยวมองทั้งระบบ
1. คืออะไร
XDR ขยายการมองเห็นจาก EDR ให้ครอบคลุมทั้งระบบ IT และ Cloud ขององค์กร รวมข้อมูลจากหลายแหล่ง (Endpoint, Email, Identity, Network, Cloud) เข้าสู่ ศูนย์วิเคราะห์กลาง
 
2. แหล่งข้อมูลของ XDR
                •  Endpoint → ข้อมูลจาก EDR
                •  Email Security → จับ Phishing, Spam, BEC (Business Email Compromise)
                •  Identity → ตรวจสอบการล็อกอินผิดปกติ, MFA Bypass, Risky Sign-in
                •  Network / Firewall / Proxy / DNS → ตรวจการสื่อสารไปยัง C2 Server
                •  Cloud / SaaS / IaaS → เช่น Microsoft 365, Google Workspace, AWS, Azure, GCP
                •  Threat Intel Feeds → ข้อมูลจากผู้ให้บริการทั่วโลก
 
3. ความสามารถหลักของ XDR
                •  Cross-Domain Correlation → ผูกเหตุการณ์จากหลายระบบเข้าด้วยกัน
                •  Attack Story Graph → เห็นเส้นทางการโจมตีตั้งแต่ต้นจนจบ (Kill Chain)
                •  Auto-Response (SOAR-lite) → ปิดบัญชี, Reset Token, Block Sender, เพิ่มกฎ Firewall
                •  Hunting ข้ามระบบ → ใช้ Query (เช่น KQL/SQL-like) เพื่อค้นหาภัย
 
4. ตัวอย่างสถานการณ์จริง
อีเมลฟิชชิงหลุดเข้ามา → ผู้ใช้คลิก → EDR แจ้งว่ามีไฟล์ต้องสงสัยรันบนเครื่อง → XDR พบว่ามีการใช้บัญชีนี้ล็อกอินเข้า Cloud จาก IP ต่างประเทศ → ระบบสั่งปิดบัญชีทันทีและบล็อกผู้ส่งอีเมลอัตโนมัติ

MDR (Managed Detection & Response) – ทีมมืออาชีพเฝ้าระวังให้ 24/7
1. คืออะไร
MDR คือการจ้างผู้ให้บริการ SOC (Security Operations Center) ที่ใช้ EDR/XDR เป็นเครื่องมือ เฝ้าระวัง วิเคราะห์ และตอบสนองแทนองค์กร
 
2. ขอบเขตบริการ MDR
                 •  Monitoring & Triage → เฝ้าดูและจัดลำดับความรุนแรง
                 •  Threat Hunting → ค้นหาภัยเชิงรุกก่อนสร้างความเสียหาย
                 •  Incident Response → แยกเครื่อง, ปิดบัญชี, บล็อก IP ตาม Playbook
                 •  Reporting & Compliance → รายงานสถานะและแม็ปกับมาตรฐาน PDPA, ISO27001
                 •  Simulation & Testing → บางเจ้าให้บริการจำลองการโจมตีเพื่อทดสอบระบบ
 
3. รูปแบบการให้บริการ MDR
                 •  Provider-Tools → ใช้ระบบของผู้ให้บริการ
                 •  Bring-Your-Own-License → ใช้เครื่องมือที่ลูกค้ามีอยู่แล้ว
                 •  Co-managed SOC → แบ่งหน้าที่ระหว่างทีมลูกค้าและผู้ให้บริการ
 
4. ตัวอย่างสถานการณ์จริง
วันเสาร์ตี 3 มีการโจมตี RDP Bruteforce จากต่างประเทศ → ทีม MDR ตรวจพบ, บล็อก IP, ปิดพอร์ต และส่งรายงานเช้าวันอาทิตย์ → องค์กรไม่ต้องมีคนเฝ้ากลางดึก แต่ก็ปลอดภัยทันที
 


สรุปเปรียบเทียบ

คุณสมบัติ EDR XDR MDR
ขอบเขตมองเห็น Endpoin Endpoint+Email+Identity+Network+Cloud ตามเครื่องมือที่ใช้ (ส่วนใหญ่จะเป็น XDR)
การวิเคราะห์ พฤติกรรมบนเครื่อง วิเคราะห์ข้ามระบบ ผู้เชี่ยวชาญทำให้
การตอบสนอง แยกเครื่อง, ลบไฟล์, Rollback ปิดบัญชี, บล็อกผู้ส่ง, Firewall Rule Provider จัดการตาม Playbook
คนดูแล ทีม IT/SecOps ภายใน ทีม SecOps ที่มีทักษะสูง ไม่ต้องมีทีมภายใน 24/7
เหมาะกับ องค์กรกลาง–ใหญ่ องค์กรหลายระบบ/หลาย Cloud ทุกขนาดที่ต้องการ 24/7
 
แนวทางเลือกให้เหมาะกับองค์กร
                 •  ทีมเล็ก งบจำกัด แต่เสี่ยง Ransomware → NGAV + EDR
                 •  ใช้ Cloud/Email เยอะ และมีพนักงาน WFH → XDR
                 •  ไม่มีทีมเฝ้าระวังตลอดเวลา → MDR
                 •  องค์กรใหญ่ ต้องการทั้งภาพรวมและทีม 24/7 → XDR + MDR (Co-managed)
 
QuickServ พร้อมให้คำปรึกษาและติดตั้งโซลูชัน EDR, XDR, MDR ให้เหมาะกับขนาดและความต้องการของธุรกิจคุณ
ควิกเซิร์ฟ
สินค้า
งานระบบ
บริการ
กิจกรรม
ออนไลน์
ENTERPRISE
COMMERCIAL
CLOUD
Server Hyper converged Storage UPS Networking
PC All in one Notebook Monitor Printer
Hosting Google cloud AWS Huawei cloud SSL