CDM_NDR
目錄
- 前言
- What is NDR
- EDR?NDR?XDR?MDR?
- 實作
- 相關連結
前言
由於撰寫這篇其實是很久以前了,所以我在介紹時會比當初報告多許多知識。當初在報告時並沒有介紹到 EDR、XDR 等,所以並不是都在報告內有所呈現。
What is NDR
(NDR, Network Detection And Response)負責在網路層中進行威脅偵測、分析與回應,目的在於即時找出潛藏在內部或外部的異常活動或攻擊行為。
通常 NDR 會關係到以下內容:
網路封包分析(Packet Inspection)
- 深入檢查進出內網的封包,不只看 header,也會看 payload。
行為分析(Behavioral Analytics)
- 用 AI/ML 分析設備、用戶或伺服器的平常行為,一旦出現異常(如 lateral movement、data exfiltration)就觸發警報。
威脅偵測(Threat Detection)
- 可以偵測未知攻擊(zero-day)、APT、內部威脅(insider threat)等,與傳統 signature-based IDS 不同,更偏向行為與模式學習。
回應機制(Response)
- 支援即時或自動阻斷攻擊(如阻斷連線、封鎖 IP)、發送 SIEM log、啟用隔離機制等。
DR 全家桶
| 名稱 | 全名 | 核心監控範圍 | 功能重點 | 適合對象 |
|---|---|---|---|---|
| EDR | Endpoint Detection and Response | 終端裝置(電腦、手機、伺服器) | 監控與回應惡意行為、勒索、內網擴散 | 有大量主機資產的大型企業 |
| NDR | Network Detection and Response | 網路層(封包、流量、行為模式) | 偵測 lateral movement、未知攻擊、封包異常 | 資料中心、大型企業、混合雲環境 |
| XDR | Extended Detection and Response | 多層整合(EDR + NDR + Email + Cloud) | 一體化威脅偵測、分析與回應平台 | 想統一管理資安的組織 |
| MDR | Managed Detection and Response | 外包式的 DR(託管資安服務) | 有專人幫你操作、分析、通報甚至回應 | 沒有資安團隊的中小企業 |
逐步介紹
EDR:Endpoint Detection and Response
- 重點:監控單一終端設備行為(像電腦、手機、伺服器)
- 功能:紀錄檔案活動、程序行為、記憶體異常、勒索加密行為
- 偵測像:勒索軟體、惡意程式、PowerShell 攻擊
- 常見產品:CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne
NDR:Network Detection and Response
- 重點:監控整個網路流量與裝置間的互動
- 功能:封包分析、行為建模、C2通訊偵測、內網橫向移動
- 偵測像:未知惡意流量、滲透攻擊、資料外洩
- 常見產品:Darktrace、Vectra AI、ExtraHop
XDR:Extended Detection and Response
- 重點:跨平台整合(EDR + NDR + Email + Cloud + Identity)
- 功能:集中分析、威脅狩獵、SOAR 整合、跨域自動化
- 偵測像:複合式攻擊鏈、攻擊者在不同領域間移動
- 常見產品:Palo Alto Cortex XDR、Microsoft Sentinel + Defender、Trend Micro Vision One
MDR:Managed Detection and Response
- 重點:專業團隊「幫你」使用 EDR/NDR/XDR 系統
- 功能:24/7 監控、報告產出、事件通報、協助阻斷
- 偵測像:任何異常事件,有團隊幫你處理
- 常見廠商:Rapid7 MDR、CrowdStrike Falcon Complete、IBM Security Services
- Title: CDM_NDR
- Author: Mike
- Created at : 2025-04-21 10:17:57
- Updated at : 2025-04-30 12:26:52
- Link: https://happymike0103.github.io/2025/04/21/CDM-NDR/
- License: This work is licensed under CC BY-NC-SA 4.0.