EDR/MDR 與 SOC、SIEM 整合:打造完整企業資安防護架構
- 資安架構基礎概念
- SOC 是什麼?
- SIEM 是什麼?
- EDR/MDR 在資安架構中的定位
- EDR 與 SOC 的協作模式
- EDR 為 SOC 提供什麼?
- SOC 如何運用 EDR?
- 整合架構圖
- EDR 與 SIEM 的整合方式
- 為什麼需要 EDR + SIEM?
- 整合技術方案
- 常見整合組合
- 整合注意事項
- 資安架構設計需要協助?
- MDR 與 SOC/SIEM 的關係
- MDR vs 自建 SOC
- MDR 如何與現有 SIEM 協作
- 混合模式:MDR + 內部 SOC
- XDR 如何改變整合架構
- XDR 的整合優勢
- XDR vs SIEM + EDR
- XDR 與 SOC 的協作
- 資安架構設計建議
- 小型企業建議架構
- 中型企業建議架構
- 大型企業建議架構
- 成熟度導向的演進路徑
- 想打造完整的資安防護架構?
- 延伸閱讀
EDR/MDR 與 SOC、SIEM 整合:打造完整企業資安防護架構
EDR、MDR、SOC、SIEM⋯⋯這些資安名詞經常一起出現,但它們之間的關係是什麼?如何整合這些方案,才能建立完整的企業資安防護架構?
這篇文章會解釋各個方案的定位,並提供具體的整合架構設計,幫助你理解如何把這些方案組合成有效的資安體系。
資安架構基礎概念
💡 重點摘要:在討論整合之前,先理解每個方案的角色定位。
SOC 是什麼?
SOC 是 Security Operations Center 的縮寫,中文稱為「資安維運中心」或「資安監控中心」。
SOC 的核心功能:
- 監控:24/7 監控企業的資安狀態
- 偵測:識別可疑活動和潛在威脅
- 分析:調查告警,判斷是否為真實威脅
- 回應:執行威脅處置和修復
- 報告:產出資安報告和改善建議
SOC 的組成:
SOC 通常包含三個要素:
- 人員:資安分析師團隊(L1、L2、L3)
- 流程:標準作業程序(SOP)、事件處理流程
- 技術:各種資安工具(SIEM、EDR、防火牆等)
簡單來說,SOC 是一個團隊和運作機制,而不是一套軟體。
SIEM 是什麼?
SIEM 是 Security Information and Event Management 的縮寫,中文稱為「資安資訊與事件管理」。
SIEM 的核心功能:
- 日誌收集:從各種來源收集日誌(防火牆、伺服器、應用程式等)
- 正規化:將不同格式的日誌統一處理
- 關聯分析:找出不同來源事件之間的關聯
- 告警產生:根據規則產生告警
- 合規報告:產出符合法規要求的報告
常見 SIEM 產品:
| 產品 | 特點 |
|---|---|
| Splunk | 功能強大,價格高,業界標準 |
| Microsoft Sentinel | 雲端原生,與 Azure 整合 |
| IBM QRadar | 企業級,分析能力強 |
| Elastic SIEM | 開源基礎,成本較低 |
| LogRhythm | 整合 SOAR 功能 |
SIEM 與 EDR 的差異:
| 面向 | SIEM | EDR |
|---|---|---|
| 資料來源 | 廣(各種日誌) | 窄(端點) |
| 分析深度 | 淺(日誌層級) | 深(行為層級) |
| 偵測重點 | 關聯分析 | 端點威脅 |
| 回應能力 | 有限 | 完整 |
| 主要價值 | 整體可視性 | 端點保護 |
EDR/MDR 在資安架構中的定位
理解了 SOC 和 SIEM 後,來看 EDR/MDR 的定位:
EDR 的定位:工具
EDR 是 SOC 使用的眾多工具之一,專門負責端點的偵測與回應。在資安架構中,EDR 負責:
- 提供端點層級的深度可視性
- 偵測傳統 SIEM 看不到的端點威脅
- 執行端點上的回應動作
MDR 的定位:服務
MDR 是外包的 SOC 功能。當企業無力自建 SOC 時,MDR 提供:
- 專業的資安監控團隊
- 24/7 監控與回應服務
- 通常包含 EDR 工具
整體關係圖:
┌─────────────────────────────────────────────────────┐
│ SOC │
│ ┌─────────────────────────────────────────────┐ │
│ │ 人員 │ │
│ │ 資安分析師 / 威脅獵捕 / 事件回應 │ │
│ └─────────────────────────────────────────────┘ │
│ ┌─────────────────────────────────────────────┐ │
│ │ 技術 │ │
│ │ ┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐ │ │
│ │ │SIEM │ │ EDR │ │防火牆│ │其他 │ │ │
│ │ └─────┘ └─────┘ └─────┘ └─────┘ │ │
│ └─────────────────────────────────────────────┘ │
│ ┌─────────────────────────────────────────────┐ │
│ │ 流程 │ │
│ │ 事件處理 SOP / 升級流程 / 報告機制 │ │
│ └─────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────┘
想了解 EDR/MDR 基礎知識,請參考 EDR vs MDR 完整指南。
EDR 與 SOC 的協作模式
EDR 為 SOC 提供什麼?
EDR 是 SOC 團隊的重要工具,提供以下價值:
1. 端點可視性
SIEM 收集的日誌通常只能看到「發生了什麼事」,但 EDR 能看到「怎麼發生的」:
| SIEM 能看到 | EDR 能看到 |
|---|---|
| 使用者登入 | 登入後執行的每個程式 |
| 檔案被存取 | 哪個程式存取、做了什麼 |
| 網路連線建立 | 哪個程式發起、傳了什麼 |
| 程式執行 | 完整的程式行為鏈 |
2. 進階威脅偵測
許多進階攻擊不會在傳統日誌中留下明顯痕跡:
- 無檔案攻擊(在記憶體執行)
- Living off the Land(使用合法工具)
- 橫向移動(在內網擴散)
EDR 的行為分析能偵測這些威脅。
3. 快速回應能力
當 SOC 發現威脅時,EDR 提供:
- 即時隔離受感染端點
- 遠端終止惡意程式
- 收集鑑識證據
- 批次部署修復動作
4. 攻擊時間軸
EDR 提供完整的攻擊時間軸,幫助 SOC 理解:
- 攻擊從哪裡開始?
- 攻擊者做了什麼?
- 影響範圍多大?
- 如何防止再次發生?
SOC 如何運用 EDR?
一個成熟的 SOC 會這樣使用 EDR:
日常監控
EDR 告警產生 → L1 分析師初步分類 → 真實威脅升級 L2 → 複雜事件升級 L3
- L1 分析師處理 EDR 告警的初步分類
- 過濾誤判,確認真實威脅
- 執行標準回應動作
威脅獵捕
威脅情報 → 建立搜尋假說 → 在 EDR 中搜尋 → 發現潛在威脅 → 調查確認
- 使用 EDR 的搜尋功能主動找威脅
- 基於最新威脅情報建立搜尋條件
- 發現隱藏在環境中的攻擊者
事件調查
發現異常 → 使用 EDR 還原事件 → 確認攻擊範圍 → 執行處置 → 產出報告
- 使用 EDR 的時間軸功能還原攻擊過程
- 確認所有受影響的端點
- 收集鑑識證據
整合架構圖
EDR 與 SOC 的典型整合架構:
┌─────────────────────────────────────────────────────────────┐
│ 端點環境 │
│ ┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐ │
│ │PC-1 │ │PC-2 │ │PC-3 │ │Srv-1│ │Srv-2│ ... │
│ │Agent│ │Agent│ │Agent│ │Agent│ │Agent│ │
│ └──┬──┘ └──┬──┘ └──┬──┘ └──┬──┘ └──┬──┘ │
└─────┼────────┼────────┼────────┼────────┼───────────────────┘
│ │ │ │ │
└────────┴────────┼────────┴────────┘
│
▼
┌─────────────────┐
│ EDR 雲端平台 │
│ ・資料收集 │
│ ・威脅分析 │
│ ・告警產生 │
└────────┬────────┘
│
┌─────────────┼─────────────┐
│ │ │
▼ ▼ ▼
┌─────────┐ ┌─────────┐ ┌─────────┐
│EDR 控制台│ │ SIEM │ │ SOAR │
└────┬────┘ └────┬────┘ └────┬────┘
│ │ │
└─────────────┼─────────────┘
│
▼
┌─────────────────┐
│ SOC 團隊 │
│ 監控・分析・回應│
└─────────────────┘
EDR 與 SIEM 的整合方式
為什麼需要 EDR + SIEM?
EDR 和 SIEM 各有優勢,整合後能互補不足:
| 能力 | 只有 SIEM | 只有 EDR | SIEM + EDR |
|---|---|---|---|
| 整體可視性 | ✅ | ❌ | ✅ |
| 端點深度可視性 | ❌ | ✅ | ✅ |
| 進階威脅偵測 | ⚠️ 有限 | ✅ | ✅ |
| 合規報告 | ✅ | ⚠️ 有限 | ✅ |
| 自動化回應 | ⚠️ 有限 | ✅ 端點 | ✅ 完整 |
| 關聯分析 | ✅ | ⚠️ 有限 | ✅✅ |
整合的核心價值:
- 更完整的關聯分析:結合網路、應用程式、端點的資料
- 減少漏報:EDR 偵測 SIEM 規則無法發現的威脅
- 增強調查能力:SIEM 提供大局,EDR 提供細節
- 自動化流程:透過 SIEM/SOAR 觸發 EDR 回應動作
整合技術方案
EDR 與 SIEM 的整合方式主要有以下幾種:
1. API 整合
EDR 告警 → EDR API → SIEM 收集器 → SIEM 平台
優點:
- 即時性好
- 資料完整
- 可雙向通訊
缺點:
- 需要開發整合
- API 可能有速率限制
2. Syslog 轉發
EDR 告警 → Syslog 輸出 → SIEM Syslog 收集 → SIEM 平台
優點:
- 標準協定,相容性好
- 設定簡單
缺點:
- 資料格式需要解析
- 可能丟失部分欄位
3. 檔案匯出
EDR 告警 → 檔案匯出(JSON/CSV)→ SIEM 檔案收集 → SIEM 平台
優點:
- 實作簡單
- 不需要複雜整合
缺點:
- 即時性差
- 檔案管理複雜
4. 原生整合
某些 EDR 和 SIEM 產品有原生整合:
| EDR | 原生整合的 SIEM |
|---|---|
| Microsoft Defender | Microsoft Sentinel |
| CrowdStrike | Splunk、Microsoft Sentinel |
| SentinelOne | Splunk、Elastic |
| Trend Micro | Splunk、自家 Vision One |
常見整合組合
根據企業規模和需求,以下是常見的整合組合:
小型企業(預算有限)
Microsoft Defender for Endpoint + Microsoft Sentinel
優勢:
- 原生整合,不需要額外開發
- 成本效益高(可能已包含在 M365 授權)
- 單一廠商支援
中型企業(平衡需求)
SentinelOne/CrowdStrike + Splunk Cloud
優勢:
- 頂級 EDR 偵測能力
- Splunk 強大的分析和搜尋
- 成熟的整合方案
大型企業(完整需求)
CrowdStrike + Splunk Enterprise + SOAR
優勢:
- 最佳化的偵測和分析能力
- 完整的自動化回應
- 高度客製化
整合注意事項
整合 EDR 和 SIEM 時需要注意:
1. 資料量管理
EDR 產生的資料量很大。如果全部送進 SIEM,可能:
- 增加 SIEM 授權成本
- 影響 SIEM 效能
- 產生過多低價值資料
建議做法:
- 只送告警,不送原始遙測資料
- 使用過濾規則減少資料量
- 重要事件才詳細記錄
2. 告警關聯
EDR 告警送進 SIEM 後,需要與其他資料來源關聯:
- 建立統一的資產識別(主機名稱、IP、使用者)
- 設計關聯規則
- 避免重複告警
3. 回應動作
整合後可以實現自動化回應:
- SIEM 偵測到可疑活動
- 觸發 SOAR 劇本
- 透過 EDR API 隔離端點
注意:自動化回應要謹慎設計,避免誤判造成業務中斷。
資安架構設計需要協助?
整合 EDR、SOC、SIEM 是複雜的架構工程。設計不當可能浪費預算或留下防護缺口。
預約架構諮詢,我們的顧問會:
- 評估你現有的資安架構
- 設計最適合的整合方案
- 提供實作建議和成本估算
諮詢完全免費,讓專業顧問幫你規劃。
MDR 與 SOC/SIEM 的關係
MDR vs 自建 SOC
當企業考慮資安監控能力時,面臨選擇:自建 SOC 還是外包給 MDR?
自建 SOC 的條件
適合自建 SOC 的企業通常具備:
- 足夠的人力(至少 8-10 人才能 24/7)
- 足夠的預算(人員、工具、空間)
- 長期發展資安能力的策略
- 對資料控制有高度要求
自建 SOC 的成本估算
| 項目 | 年度成本 |
|---|---|
| 人員(8人) | NT$9,600,000-16,000,000 |
| SIEM 授權 | NT$1,500,000-5,000,000 |
| EDR 授權 | NT$1,000,000-4,000,000 |
| 其他工具 | NT$500,000-2,000,000 |
| 空間與設備 | NT$500,000-1,000,000 |
| 培訓與認證 | NT$300,000-600,000 |
| 總計 | NT$13,400,000-28,600,000 |
MDR 的成本
同樣規模的企業使用 MDR:
| 項目 | 年度成本 |
|---|---|
| MDR 服務費 | NT$1,800,000-6,000,000 |
| 內部協調人員(兼任) | NT$0 |
| 總計 | NT$1,800,000-6,000,000 |
結論:對多數企業而言,MDR 的成本效益更好。
MDR 如何與現有 SIEM 協作
如果企業已有 SIEM,仍可以使用 MDR:
情境一:MDR 作為主要監控
端點 → MDR 服務 → 告警通知企業
↓
SIEM ← 日誌匯入(選用)
- MDR 負責主要的威脅監控
- SIEM 用於日誌保存和合規報告
- 減少 SIEM 的告警處理負擔
情境二:SIEM 整合 MDR 告警
端點 → MDR 服務 → 告警 → SIEM
↓
內部團隊分析
- MDR 告警送進 SIEM
- 內部團隊在 SIEM 中統一檢視
- 利用 SIEM 的關聯分析強化 MDR 告警
情境三:MDR 補充 SIEM 能力
SIEM ← 各種日誌來源
↓
內部團隊監控 SIEM
↓
發現端點相關事件 → 請求 MDR 深入調查
- SIEM 負責整體監控
- MDR 負責端點專業調查
- 內部團隊協調兩者
混合模式:MDR + 內部 SOC
許多企業採用混合模式:
模式一:時段分工
工作時間(9:00-18:00):內部 SOC 監控
非工作時間:MDR 服務接手
優勢:
- 減少內部人力需求(不需要夜班)
- 維持工作時間的控制權
- 成本比全自建低
模式二:能力分工
內部 SOC:一般監控、合規、報告
MDR:進階威脅獵捕、複雜事件調查
優勢:
- 利用 MDR 的專業能力
- 內部團隊專注於熟悉的工作
- 提升整體偵測能力
模式三:成長路徑
初期:完全依賴 MDR
中期:MDR + 小型內部團隊(Co-managed)
長期:自建 SOC(MDR 退場或轉為備援)
優勢:
- 隨著企業成長逐步建立能力
- 不需要一開始就大量投資
- 有時間培養內部人才
XDR 如何改變整合架構
XDR 的整合優勢
XDR(Extended Detection and Response)改變了傳統的整合模式:
傳統架構:多工具整合
EDR ─┬→ SIEM ─→ SOC
NDR ─┤
郵件安全 ─┤
雲端安全 ─┘
問題:
- 多種工具各自產生告警
- 需要在 SIEM 中手動關聯
- 整合複雜度高
- 告警疲勞嚴重
XDR 架構:原生整合
端點 ─┬
網路 ─┼→ XDR 平台 ─→ SOC
郵件 ─┤ ↓
雲端 ─┘ 自動關聯
優勢:
- 原生資料整合
- 自動關聯分析
- 統一控制台
- 減少告警疲勞
XDR vs SIEM + EDR
XDR 和傳統的「SIEM + EDR」組合有什麼差異?
| 面向 | SIEM + EDR | XDR |
|---|---|---|
| 整合方式 | 需要手動整合 | 原生整合 |
| 關聯分析 | 需要自訂規則 | 內建關聯引擎 |
| 告警數量 | 高 | 低(已整合) |
| 調查效率 | 需要切換工具 | 單一介面 |
| 客製化 | 高度彈性 | 較受限 |
| 成熟度 | 成熟 | 較新 |
選擇建議:
- 選 SIEM + EDR:需要高度客製化、已有 SIEM 投資、需要長期日誌保存
- 選 XDR:想簡化架構、告警疲勞嚴重、希望快速獲得整合能力
XDR 與 SOC 的協作
XDR 改變了 SOC 的工作方式:
傳統 SOC 工作流程
SIEM 告警 → 分析師判讀 → 調查(切換到 EDR)→ 確認威脅 → 回應
↑ ↓
└─── 關聯分析(手動)←───┘
問題:
- 分析師需要在多個工具間切換
- 手動關聯耗時
- 容易遺漏關聯事件
XDR SOC 工作流程
XDR 整合告警 → 分析師判讀 → 調查(同一介面)→ 確認威脅 → 回應
↑
自動關聯已完成
改善:
- 單一介面完成所有工作
- 自動關聯節省時間
- 調查效率大幅提升
資安架構設計建議
小型企業建議架構
適用對象:100 人以下、無專職資安人員
建議架構:MDR
┌─────────────────────────────────────┐
│ 你的企業環境 │
│ ┌─────┐ ┌─────┐ ┌─────┐ │
│ │端點 │ │端點 │ │端點 │ ... │
│ └──┬──┘ └──┬──┘ └──┬──┘ │
└─────┼────────┼────────┼────────────┘
│ │ │
└────────┼────────┘
│
▼
┌─────────────────┐
│ MDR 服務商 │
│ 24/7 監控回應 │
└────────┬────────┘
│
▼
┌─────────────────┐
│ 你的 IT 人員 │
│ 接收報告、協調 │
└─────────────────┘
預算估算:NT$1,200,000-3,000,000/年
關鍵要點:
- 使用 MDR 服務,不需要自己操作
- IT 人員只需要接收報告和執行建議
- 合規報告由 MDR 提供
中型企業建議架構
適用對象:100-500 人、有小型 IT/資安團隊
建議架構:EDR + SIEM(基礎)+ Co-managed MDR
┌─────────────────────────────────────────────────┐
│ 你的企業環境 │
│ 端點(EDR Agent)、伺服器、網路設備 │
└───────────────────────┬─────────────────────────┘
│
┌─────────────┴─────────────┐
│ │
▼ ▼
┌───────────┐ ┌───────────┐
│ EDR │ │ SIEM │
│ 端點偵測 │──告警送入──→│ 日誌分析 │
└─────┬─────┘ └─────┬─────┘
│ │
▼ ▼
┌───────────────────────────────────────┐
│ 內部資安團隊 │
│ 工作時間監控、處理一般事件 │
└───────────────────┬───────────────────┘
│
│ 非工作時間/複雜事件
▼
┌───────────────────────────────────────┐
│ MDR 服務 │
│ 夜間/假日監控、專家支援 │
└───────────────────────────────────────┘
預算估算:NT$4,000,000-8,000,000/年
關鍵要點:
- EDR 提供端點保護
- SIEM 收集日誌做合規和整體可視性
- Co-managed MDR 補充非工作時間和專業能力
大型企業建議架構
適用對象:500 人以上、有完整資安團隊
建議架構:自建 SOC + XDR/EDR + SIEM + SOAR
┌─────────────────────────────────────────────────────────────┐
│ 企業環境 │
│ 端點、伺服器、網路、雲端、郵件、應用程式 │
└──────────────────────────────┬──────────────────────────────┘
│
┌────────────┬────────────┼────────────┬────────────┐
│ │ │ │ │
▼ ▼ ▼ ▼ ▼
┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐
│ EDR │ │ NDR │ │ 郵件安全 │ │ 雲端安全 │ │ IAM │
└────┬────┘ └────┬────┘ └────┬────┘ └────┬────┘ └────┬────┘
│ │ │ │ │
└────────────┴────────────┼────────────┴────────────┘
│
▼
┌─────────────────────┐
│ XDR 平台 │
│ 或 SIEM │
│ 關聯分析中心 │
└──────────┬──────────┘
│
┌──────────┴──────────┐
│ │
▼ ▼
┌─────────────┐ ┌─────────────┐
│ SOAR │ │ 威脅情報 │
│ 自動化回應 │ │ 平台 │
└──────┬──────┘ └─────────────┘
│
▼
┌─────────────────────────────────────┐
│ 自建 SOC │
│ ┌─────┐ ┌─────┐ ┌─────┐ │
│ │ L1 │ │ L2 │ │ L3 │ │
│ │監控 │ │調查 │ │專家 │ │
│ └─────┘ └─────┘ └─────┘ │
│ 24/7 輪班 │
└─────────────────────────────────────┘
預算估算:NT$15,000,000-30,000,000/年
關鍵要點:
- 自建 SOC 提供完整控制
- XDR 或 SIEM 整合各種資料來源
- SOAR 實現自動化回應
- 威脅情報增強偵測能力
成熟度導向的演進路徑
資安架構應該隨著企業成熟度逐步演進:
Level 1:基礎防護
防毒軟體 → 企業級防毒 → EDR
目標:建立端點基礎防護
Level 2:監控能力
無監控 → MDR 服務 → 部分自建 SOC
目標:獲得持續監控能力
Level 3:整合分析
單點工具 → SIEM 整合 → XDR 平台
目標:建立整體可視性和關聯分析
Level 4:自動化回應
手動回應 → 腳本自動化 → SOAR 平台
目標:加速回應、減少人工介入
Level 5:主動防禦
被動防禦 → 威脅獵捕 → 主動情報
目標:從被動轉為主動,預測威脅
想打造完整的資安防護架構?
從零開始建立資安架構,或升級現有架構,都需要專業規劃。選錯方向可能浪費數百萬預算。
預約免費資安評估,我們可以協助:
- 評估你目前的資安成熟度
- 設計適合的演進路徑
- 推薦最佳的工具組合
- 提供預算和時程估算
我們會在 24 小時內回覆,所有諮詢內容完全保密。
延伸閱讀
- EDR、MDR、XDR 差異比較請見 EDR vs MDR vs XDR 差異比較
- 想了解 NDR 與 XDR 生態系?請見 NDR 與 XDR 資安生態系介紹
- 準備導入了嗎?請見 企業 EDR/MDR 導入實務指南
- 了解 EDR/MDR 基礎知識,請參考 EDR vs MDR 完整指南