NDR 是什麼?EDR、MDR、XDR、NDR 資安生態系完整介紹
- NDR(Network Detection and Response)完整介紹
- NDR 定義與核心功能
- NDR 的運作原理
- NDR 監控的範圍
- NDR 的優勢與限制
- EDR vs NDR:端點與網路的互補
- EDR 看到什麼?NDR 看到什麼?
- 為什麼需要 EDR + NDR?
- EDR + NDR 協作案例
- XDR 如何整合 EDR 與 NDR
- XDR 的整合架構
- XDR 整合的資料來源
- XDR 的整合效益
- 開放式 XDR vs 原生 XDR
- 不確定需要哪些資安方案?
- 完整資安生態系架構圖
- Detection & Response 家族總覽
- 生態系架構圖
- 未來趨勢:走向整合
- 各方案適用場景分析
- 只需要 EDR 的情境
- 需要 EDR + NDR 的情境
- 需要 XDR 的情境
- 需要 MDR 的情境
- 主流 NDR 產品介紹
- Darktrace
- ExtraHop Reveal(x)
- Vectra AI
- Cisco Secure Network Analytics
- 想建立完整的偵測與回應能力?
- 延伸閱讀
NDR 是什麼?EDR、MDR、XDR、NDR 資安生態系完整介紹
EDR、MDR、XDR、NDR⋯⋯這些縮寫讓人眼花撩亂。它們都是「Detection and Response」家族的成員,但各自負責不同的領域。理解這個生態系,才能選擇最適合企業的資安方案。
這篇文章會完整介紹 NDR 以及整個偵測與回應生態系,幫助你理解各方案的定位和選擇時機。
NDR(Network Detection and Response)完整介紹
NDR 定義與核心功能
NDR 是 Network Detection and Response 的縮寫,中文稱為「網路偵測與回應」。
如果說 EDR 是保護端點的眼睛,那麼 NDR 就是監控網路的眼睛。NDR 分析網路流量,偵測在網路層發生的威脅和異常行為。
NDR 的核心功能:
- 網路流量分析:持續監控和分析網路流量
- 異常偵測:識別偏離正常模式的網路行為
- 威脅偵測:發現惡意活動,如資料外洩、橫向移動
- 行為分析:建立網路行為基線,偵測異常
- 網路鑑識:保留網路活動紀錄,支援事後調查
NDR 的運作原理
NDR 的運作方式與 EDR 不同:
EDR 的方式:
安裝 Agent → 收集端點資料 → 分析端點行為 → 產生告警
NDR 的方式:
監聽網路流量 → 深度封包分析 → 流量行為分析 → 產生告警
NDR 的資料來源:
NDR 可以從多種來源取得網路流量資料:
| 來源 | 說明 | 優缺點 |
|---|---|---|
| 網路 TAP | 實體設備複製流量 | 最完整,但需要硬體 |
| Switch Mirror Port | 交換器鏡像埠 | 簡單,但可能影響效能 |
| Packet Broker | 封包代理器 | 彈性高,成本也高 |
| 流量日誌(NetFlow) | 網路設備產生的流量統計 | 輕量,但細節較少 |
| 雲端 VPC 流量日誌 | 雲端服務提供的流量日誌 | 適合雲端環境 |
NDR 的分析技術:
- 簽章比對:與已知惡意流量特徵比對
- 行為分析:建立正常流量基線,偵測異常
- 機器學習:自動學習和識別異常模式
- 深度封包檢測(DPI):分析封包內容
- 加密流量分析:分析加密流量的元資料和行為
NDR 監控的範圍
NDR 能看到端點之間、以及端點與外部的網路通訊:
East-West 流量(內部橫向)
端點 A ←──→ 端點 B ←──→ 伺服器
↑
NDR 監控
這是 NDR 的重要價值。許多攻擊者入侵後會在內網橫向移動,EDR 可能看不到這些跨主機的活動,但 NDR 能偵測到異常的內部流量。
North-South 流量(進出邊界)
內部網路 ←──→ 防火牆 ←──→ 網際網路
↑
NDR 監控
傳統防火牆也會檢查這些流量,但 NDR 的行為分析能發現防火牆規則無法偵測的威脅。
NDR 的優勢與限制
NDR 的優勢:
- 無 Agent:不需要在端點安裝軟體,適合無法安裝 Agent 的設備
- 看到橫向移動:偵測端點之間的異常通訊
- 偵測資料外洩:發現大量資料外傳的行為
- 覆蓋所有設備:包括 IoT、OT 等無法安裝 EDR 的設備
- 無法繞過:攻擊者難以在不產生網路流量的情況下活動
NDR 的限制:
- 看不到端點內部:端點上的本地活動(如檔案操作)看不到
- 加密流量挑戰:加密流量難以深度分析
- 部署複雜:需要網路架構配合
- 儲存需求大:網路流量資料量龐大
- 回應能力有限:只能阻斷網路,無法直接處理端點威脅
EDR vs NDR:端點與網路的互補
EDR 看到什麼?NDR 看到什麼?
EDR 和 NDR 各有盲區,看到的東西不同:
| 活動類型 | EDR | NDR |
|---|---|---|
| 端點上執行的程式 | ✅ 完整 | ❌ 看不到 |
| 端點上的檔案操作 | ✅ 完整 | ❌ 看不到 |
| 端點上的登錄檔變更 | ✅ 完整 | ❌ 看不到 |
| 端點對外網路連線 | ✅ 有限 | ✅ 完整 |
| 端點之間的通訊 | ⚠️ 有限 | ✅ 完整 |
| 無 Agent 設備的活動 | ❌ 看不到 | ✅ 完整 |
| 異常流量模式 | ❌ 看不到 | ✅ 完整 |
| 資料外洩行為 | ⚠️ 有限 | ✅ 完整 |
視覺化理解:
┌──────────────────────────────────────────────────────────┐
│ 企業網路環境 │
│ │
│ ┌─────┐ ┌─────┐ ┌─────┐ │
│ │PC-1 │◄──────►│PC-2 │◄──────►│伺服器│ │
│ │ EDR │ │ EDR │ │ EDR │ │
│ └──┬──┘ └──┬──┘ └──┬──┘ │
│ │ │ │ │
│ │ EDR 看到:端點內部 │ │
│ │ │ │
│ └──────────────┼──────────────┘ │
│ │ │
│ NDR 看到:網路流量 ◄────── NDR │
│ │ │
│ ▼ │
│ ┌───────────┐ │
│ │ 防火牆 │ │
│ └─────┬─────┘ │
│ │ │
└────────────────────┼────────────────────────────────────┘
│
▼
網際網路
為什麼需要 EDR + NDR?
單獨使用 EDR 或 NDR 都有盲區。以下是一些需要兩者配合才能偵測的攻擊情境:
情境 1:橫向移動攻擊
攻擊者入侵 PC-1 → 橫向移動到 PC-2 → 竊取 PC-2 的資料
- EDR 在 PC-1 上看到:可疑程式執行
- EDR 在 PC-2 上看到:正常程式存取檔案(可能誤判為合法)
- NDR 看到:PC-1 到 PC-2 的異常 SMB 流量
只有 EDR:可能偵測到 PC-1 被入侵,但不一定發現橫向移動 EDR + NDR:同時偵測到入侵和橫向移動,完整掌握攻擊範圍
情境 2:資料外洩
惡意程式 → 壓縮敏感檔案 → 加密 → 慢速外傳到 C2 伺服器
- EDR 看到:檔案被存取、壓縮程式執行
- NDR 看到:持續的加密流量外傳到可疑 IP
只有 EDR:可能看到檔案存取,但難以確認是否外洩 EDR + NDR:結合檔案存取和網路外傳證據,確認資料外洩
情境 3:IoT/OT 設備攻擊
攻擊者 → 入侵 IoT 設備 → 作為跳板攻擊內網
- EDR 看到:無法安裝 Agent,完全看不到
- NDR 看到:IoT 設備的異常網路行為
只有 EDR:完全無法偵測 EDR + NDR:NDR 偵測到 IoT 設備的異常行為
EDR + NDR 協作案例
真實案例:偵測 Cobalt Strike C2 通訊
Cobalt Strike 是駭客常用的攻擊工具,會與外部 C2(Command and Control)伺服器通訊。
只有 EDR 的偵測:
- 可能偵測到 Cobalt Strike 的特徵行為
- 但如果使用客製化或混淆技術,可能繞過
加上 NDR 的偵測:
- NDR 偵測到與已知 C2 特徵相符的網路流量
- 即使端點上的行為被混淆,網路通訊模式仍可被識別
關聯分析:
EDR 告警:端點執行可疑 PowerShell
+
NDR 告警:端點與可疑 IP 建立長時間 HTTPS 連線
=
高信心度告警:Cobalt Strike C2 活動
XDR 如何整合 EDR 與 NDR
XDR 的整合架構
XDR(Extended Detection and Response)的核心價值在於整合。它把 EDR、NDR 以及其他資安資料來源整合在一起。
┌─────────────────────────────────────────────────────────┐
│ XDR 平台 │
│ │
│ ┌─────────────────────────────────────────────────┐ │
│ │ 資料整合層 │ │
│ │ ┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐ │ │
│ │ │ EDR │ │ NDR │ │郵件 │ │雲端 │ │身分 │ ... │ │
│ │ └──┬──┘ └──┬──┘ └──┬──┘ └──┬──┘ └──┬──┘ │ │
│ │ └──────┴───────┼───────┴───────┘ │ │
│ └───────────────────┬─┴─────────────────────────────┘ │
│ │ │
│ ┌───────────────────▼───────────────────────────┐ │
│ │ 關聯分析引擎 │ │
│ │ ・跨來源關聯 │ │
│ │ ・自動攻擊鏈重建 │ │
│ │ ・威脅評分 │ │
│ └───────────────────┬───────────────────────────┘ │
│ │ │
│ ┌───────────────────▼───────────────────────────┐ │
│ │ 回應協調層 │ │
│ │ ・跨平台回應動作 │ │
│ │ ・自動化劇本 │ │
│ └───────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────┐ │
│ │ 統一控制台 │ │
│ └─────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────┘
XDR 整合的資料來源
典型的 XDR 平台整合以下資料來源:
| 資料來源 | 提供的可視性 | 對應工具 |
|---|---|---|
| 端點 | 端點行為、檔案、程式 | EDR |
| 網路 | 網路流量、通訊模式 | NDR |
| 郵件 | 郵件內容、附件、連結 | 郵件安全閘道 |
| 雲端 | 雲端服務活動 | CASB、CWPP |
| 身分 | 登入行為、權限變更 | IAM、PAM |
| Web | 網頁存取、下載 | 安全網頁閘道 |
XDR 的整合效益
效益 1:自動關聯分析
傳統方式需要資安人員手動關聯不同來源的告警。XDR 自動完成這個工作。
範例:
傳統方式:
EDR 告警(端點 A 執行可疑程式)
+ NDR 告警(端點 A 有異常外連)
+ 郵件告警(端點 A 使用者收到釣魚郵件)
→ 資安人員手動關聯(耗時 1-2 小時)
XDR 方式:
所有告警 → XDR 關聯引擎 → 自動產生整合事件(幾秒鐘)
效益 2:減少告警疲勞
| 指標 | 無 XDR | 有 XDR |
|---|---|---|
| 每日告警數量 | 1,000+ | 50-100 |
| 平均調查時間 | 2-4 小時 | 30-60 分鐘 |
| 漏看重要告警機率 | 高 | 低 |
效益 3:完整攻擊可視性
XDR 能自動重建完整的攻擊鏈:
釣魚郵件被開啟(郵件安全)
↓
惡意附件執行(EDR)
↓
Persistence 建立(EDR)
↓
C2 通訊建立(NDR)
↓
橫向移動到其他主機(NDR + EDR)
↓
敏感資料存取(EDR)
↓
資料外洩(NDR)
開放式 XDR vs 原生 XDR
XDR 有兩種主要類型:
原生 XDR(Native XDR)
由單一廠商提供所有組件(EDR、NDR、郵件安全等)。
優點:
- 整合最完善
- 單一供應商支援
- 部署較簡單
缺點:
- 被單一廠商綁定
- 可能無法選擇最佳產品
- 更換成本高
代表產品:Microsoft 365 Defender、Palo Alto Cortex XDR、Trend Micro Vision One
開放式 XDR(Open XDR)
整合不同廠商的產品,提供統一的關聯分析。
優點:
- 可以選擇各領域最佳產品
- 不被單一廠商綁定
- 可以利用現有投資
缺點:
- 整合可能不如原生完善
- 需要更多整合工作
- 多廠商支援複雜度
代表產品:Stellar Cyber、Hunters、ReliaQuest
不確定需要哪些資安方案?
EDR、NDR、XDR⋯⋯方案太多,選擇困難是正常的。每個企業的環境和需求不同,沒有標準答案。
預約免費資安評估,我們會:
- 評估你的 IT 環境和威脅風險
- 分析現有資安工具的缺口
- 推薦最適合的方案組合
諮詢完全免費,讓專業顧問幫你釐清需求。
完整資安生態系架構圖
Detection & Response 家族總覽
「Detection and Response」家族不只有 EDR、MDR、XDR、NDR,還有更多成員:
| 縮寫 | 全名 | 中文 | 偵測範圍 | 本質 |
|---|---|---|---|---|
| EDR | Endpoint Detection and Response | 端點偵測與回應 | 端點設備 | 工具 |
| NDR | Network Detection and Response | 網路偵測與回應 | 網路流量 | 工具 |
| XDR | Extended Detection and Response | 延伸偵測與回應 | 跨平台整合 | 平台 |
| MDR | Managed Detection and Response | 託管式偵測與回應 | 視服務範圍 | 服務 |
| CDR | Cloud Detection and Response | 雲端偵測與回應 | 雲端環境 | 工具 |
| ITDR | Identity Threat Detection and Response | 身分威脅偵測與回應 | 身分系統 | 工具 |
較新的成員:
| 縮寫 | 說明 |
|---|---|
| MXDR | Managed XDR,託管式的 XDR 服務 |
| TDIR | Threat Detection, Investigation, and Response |
| ADR | Application Detection and Response,應用程式層級 |
生態系架構圖
┌─────────────────────────────────────┐
│ XDR 平台整合 │
│ │
└─────────────────────────────────────┘
│
┌───────────────────────────┼───────────────────────────┐
│ │ │
▼ ▼ ▼
┌───────────┐ ┌───────────┐ ┌───────────┐
│ EDR │ │ NDR │ │ CDR │
│ 端點層 │ │ 網路層 │ │ 雲端層 │
│ │ │ │ │ │
│ ・桌機 │ │ ・流量分析│ │ ・IaaS │
│ ・筆電 │ │ ・封包檢測│ │ ・PaaS │
│ ・伺服器 │ │ ・行為分析│ │ ・SaaS │
└───────────┘ └───────────┘ └───────────┘
│ │ │
▼ ▼ ▼
┌───────────┐ ┌───────────┐ ┌───────────┐
│ ITDR │ │ 郵件安全 │ │ CASB │
│ 身分層 │ │ 郵件層 │ │ SaaS 層 │
│ │ │ │ │ │
│ ・AD │ │ ・反垃圾 │ │ ・存取控制│
│ ・IAM │ │ ・反釣魚 │ │ ・DLP │
│ ・PAM │ │ ・附件分析│ │ ・合規 │
└───────────┘ └───────────┘ └───────────┘
┌─────────────────────────────────────┐
│ MDR 服務 │
│ (可託管以上任何工具) │
└─────────────────────────────────────┘
未來趨勢:走向整合
資安工具的發展趨勢是整合:
過去(工具孤島):
EDR + NDR + SIEM + 郵件安全 + 雲端安全 + ... = 管理複雜、告警疲勞
現在(XDR 整合):
XDR 平台(整合多種資料來源)= 統一視圖、自動關聯
未來(AI 驅動):
AI 資安平台 = 自動偵測 + 自動調查 + 自動回應
Gartner 預測,到 2027 年,超過 50% 的企業將使用 XDR 或類似的整合平台,取代獨立的 EDR、NDR 等工具。
各方案適用場景分析
只需要 EDR 的情境
以下情況可能只需要 EDR:
環境特徵:
- IT 環境以端點為主
- 網路架構簡單
- 沒有太多 IoT/OT 設備
- 雲端使用有限
具體案例:
- 小型辦公室,只有 PC 和少量伺服器
- 員工主要使用辦公軟體,沒有複雜應用
- 沒有工廠或 IoT 設備
建議方案:
EDR(或 MDR)→ 足以滿足需求
需要 EDR + NDR 的情境
以下情況建議同時使用 EDR 和 NDR:
環境特徵:
- 有大量內部網路流量
- 有無法安裝 Agent 的設備(IoT、OT、老舊系統)
- 擔心橫向移動攻擊
- 有資料外洩風險
具體案例:
- 製造業,有工廠 OT 環境
- 醫療業,有大量醫療設備
- 金融業,需要偵測資料外洩
- 任何有 IoT 設備的環境
建議方案:
EDR + NDR → 端點和網路的完整可視性
或
XDR → 整合 EDR 和 NDR 功能
需要 XDR 的情境
以下情況建議使用 XDR:
環境特徵:
- IT 環境複雜(混合雲、多種系統)
- 已有多種資安工具
- 告警疲勞嚴重
- 需要跨平台關聯分析
- 有足夠資安人員操作
具體案例:
- 大型企業,有完整資安團隊
- 跨國企業,需要統一管理
- 金融業、電信業等高度監管產業
建議方案:
XDR 平台 → 整合現有工具,提供統一視圖
或
XDR + 額外專業工具 → 依需求補充特定能力
需要 MDR 的情境
以下情況建議使用 MDR:
環境特徵:
- 沒有專職資安人員
- 無法 24/7 監控
- 希望快速獲得資安能力
- 預算限制,無法自建團隊
具體案例:
- 中小企業,IT 人員有限
- 新創公司,快速成長中
- 任何缺乏資安人力的組織
建議方案:
MDR 服務 → 外包監控和回應
或
MDR + 基礎內部能力 → Co-managed 模式
主流 NDR 產品介紹
Darktrace
公司背景
Darktrace 是 NDR 領域的領導者之一,以「企業免疫系統」概念著稱。使用 AI 自學習技術,不依賴規則或簽章。
核心技術
- 無監督式機器學習
- 自動建立「生活模式」基線
- 偵測偏離正常模式的行為
- Autonomous Response 自動回應
優勢
- AI 技術領先
- 不需要規則更新
- 可偵測未知威脅
- 自動化程度高
限制
- 價格較高
- 需要學習期間(1-2 週)
- 可能產生誤判
適用場景
- 中大型企業
- 需要偵測內部威脅
- 希望減少規則維護工作
ExtraHop Reveal(x)
公司背景
ExtraHop 專注於網路流量分析,提供即時的網路可視性。強調「完全可視性」和對加密流量的分析能力。
核心技術
- 即時流量分析(不是基於日誌)
- 加密流量分析
- 超過 70 種協定解析
- 整合威脅情報
優勢
- 即時分析,延遲低
- 加密流量分析能力強
- 協定支援廣泛
- 部署相對簡單
限制
- 對網路架構有要求
- 大型環境需要較多硬體
- 價格中高
適用場景
- 需要即時偵測的環境
- 大量使用加密通訊
- 有複雜應用協定
Vectra AI
公司背景
Vectra AI 專注於使用 AI 偵測隱藏的攻擊者行為。強調偵測「攻擊者行為」而非「已知攻擊」。
核心技術
- 基於攻擊者行為的 AI 偵測
- 專注於偵測攻擊鏈的各個階段
- 與 MITRE ATT&CK 框架對應
- 整合雲端和地端
優勢
- 專注高價值偵測
- 告警品質高,誤判少
- 與 ATT&CK 框架整合好
- 雲端和 SaaS 覆蓋
限制
- 價格較高
- 需要網路架構配合
- 功能聚焦,不是全方位
適用場景
- 有資安團隊進行調查
- 關注進階威脅
- 需要雲端覆蓋
Cisco Secure Network Analytics
公司背景
原名 Stealthwatch,是 Cisco 的 NDR 解決方案。與 Cisco 網路設備深度整合。
核心技術
- 基於 NetFlow 的流量分析
- 與 Cisco 設備原生整合
- 加密流量分析(ETA)
- 雲端和地端整合
優勢
- 與 Cisco 環境整合最佳
- 不需要額外 TAP 設備(使用 NetFlow)
- 部署相對簡單
- 企業級支援
限制
- 主要價值在 Cisco 環境
- 分析深度可能不如專業 NDR
- 價格不低
適用場景
- 大量使用 Cisco 網路設備的企業
- 希望利用現有 NetFlow 資料
- 需要企業級支援
想建立完整的偵測與回應能力?
選擇和整合 EDR、NDR、XDR 需要專業規劃。方案太多,組合方式也多,選錯方向可能浪費預算或留下防護缺口。
預約免費資安評估,我們的顧問會:
- 評估你的環境和威脅風險
- 分析需要哪些偵測能力
- 設計最適合的方案組合
- 提供預算和實作建議
諮詢完全免費,我們會在 24 小時內回覆。
延伸閱讀
- EDR、MDR、XDR 差異比較請見 EDR vs MDR vs XDR 差異比較
- 選購 EDR 產品請參考 EDR 產品選購指南
- 想了解 SOC/SIEM 整合?請見 EDR/MDR 與 SOC、SIEM 整合指南
- 準備導入了嗎?請見 企業 EDR/MDR 導入實務指南
- 了解 EDR/MDR 基礎知識,請參考 EDR vs MDR 完整指南