27. 【題組 3】情境如附圖所示。隨著企業逐步採用雲端服務與遠端工作模式，對端點偵測與回應(Endpoint Detection and Response, EDR)工具在資安監控中的作用日益凸顯。關於 EDR 能力對資安營運中心(Security Operations Center, SOC)在偵測與確認入侵方面的價值，下列描述何者最為正確？
(A) EDR 主要用於監控網路流量，以發現已知惡意程式碼的特徵碼，與傳統 IDS 無異
(B) EDR 提供的資訊與傳統網路流量資料相比，在確認入侵方面較不具參考價值，因為它可能被攻擊者規避
(C) EDR 系統提供來自端點的強大偵測和豐富的監控數據，使其資料在確認入侵方面通常比網路流量資料更具資訊性
(D) EDR 僅是一種傳統防毒解決方案的升級版，不具備進 階威脅偵測能力，無法應對 APT 級攻擊

這題是在考 EDR 在 SOC 中的價值。

選項解析

(A) EDR 主要用於監控網路流量，與 IDS 無異
❌ 錯誤。這描述的是 IDS/IPS，不是 EDR。EDR 著重在 端點行為與事件（檔案、程序、記憶體、登錄檔等），而不是純粹網路流量。

(B) EDR 資訊比網路流量資料價值低，因為可能被規避
❌ 錯誤。雖然攻擊者可能嘗試規避，但 EDR 提供的端點層級細節（進程、命令列、檔案變更等）在偵測與確認入侵方面，價值極高。

(C) EDR 提供端點層級的豐富數據，對入侵確認比網路流量更具資訊性
✅ 正確。這是 EDR 的核心價值，SOC 依靠這些細節能更快確定是否真的入侵（compromise）。

(D) EDR 僅是傳統防毒的升級版，無法應對 APT
❌ 錯誤。EDR 超越傳統防毒，可以偵測無檔案攻擊、橫向移動、APT 手法。

✅ 正確答案：(C)

? 小記憶法：

• AV → signature（病毒碼）

• IDS/IPS → network traffic（流量層）

• EDR → endpoint telemetry（端點行為，TTPs）
  
  

  EDR（Endpoint Detection and Response）到底是什麼？

  • 監控對象：不是只看網路流量，而是專注於 端點 (endpoint) ——像是 PC、伺服器、行動裝置。

  • 收集資料：持續蒐集端點上的行為資訊（檔案活動、進程啟動、登錄異常、PowerShell 指令、網路連線、記憶體異常等）。

  • 功能特色：

    1. 即時偵測：發現異常行為（如橫向移動、權限提升、Ransomware 加密）。

    2. 調查取證：能還原攻擊路徑，幫 SOC 分析「攻擊者怎麼進來、做了什麼」。

    3. 回應處置：能遠端隔離端點、停止惡意進程、清除檔案。

    4. 整合威脅情報 (Threat Intelligence)：不僅比對 signature，還能用行為分析、AI/ML 偵測未知攻擊。

  為什麼比傳統 IDS/防毒更強？

  • 防毒 (AV)：主要靠病毒碼，對未知/零時差攻擊效果有限。

  • IDS/IPS：看網路封包，但對加密流量（HTTPS、VPN）或端點內部行為常有盲區。

  • EDR：直接看端點內部，能看到「惡意程式落地之後的行為」，這是 SOC 調查APT、勒索軟體時最關鍵的資料。