什麼是 EDR 端點防護？

EDR 代表 Endpoint Detection and Response（端點偵測與回應）。端點是指企業使用的任何裝置，例如桌上型電腦、筆記型電腦、伺服器或公司手機。EDR 會監看這些裝置是否出現異常行為，記錄發生了什麼，並協助 IT 團隊調查與回應。

基本防毒主要會找已知的惡意檔案。EDR 走得更遠。它能辨識看起來可疑的模式，例如某個程式試圖快速更改許多檔案、不尋常的登入，或是軟體連線到它通常不會連到的位置。

EDR 通常是「軟體＋人員流程」的組合。軟體會產生警示。接著由內部 IT 團隊，或由提供管理式 IT 服務的供應商（稱為 MSP）審查這些警示，並決定下一步要做什麼。

如果你是管理式 IT 的新手，這只是 MSP 可能建議的眾多資安工具之一。你可以在我們的 answers hub 讀到更多白話的解答。

小型企業仰賴各種裝置來處理電子郵件、檔案、薪資、客戶資料以及日常工作。如果某一台筆電感染，或是某位員工的帳號被誤用，問題可能擴散，打斷工作，並產生清查與修復的成本。

EDR 協助企業更早看見問題，並用更有組織的方式回應。這可能意味著隔離單一裝置、停止可疑程序、蒐集證據，並檢查是否已影響到其他系統。更早的偵測能減少混亂、限制損害，但沒有誠實的供應商會承諾零停機或「無法被駭」的網路。

這也很重要，因為許多攻擊已不再像過去那種「病毒」的舊概念。威脅可能涉及被竊取的密碼、不安全的下載、惡意的電子郵件連結，或是用合法工具以有害方式運作。EDR 的設計目的在於觀察行為，而不只是已知惡意程式的特徵碼。

對許多公司而言，EDR 最有用的情況是搭配其他基本措施一起使用。例子包括多因素驗證（Multi-Factor Authentication，簡稱 MFA）、定期修補（patching，意指套用軟體與資安更新）、強化備份，以及清楚的員工使用規範。

一個好的 EDR 工具會從端點蒐集活動資訊。它可能會追蹤程序、登入、檔案變更、網路連線，以及是否出現安全設定被關閉的跡象。這有助於建立在該裝置上「發生了什麼」的時間線。

當某些行為看起來可疑時，工具會建立警示。依照產品與設定，它也可能提供有限的回應動作，例如停止某個程序、封鎖某個檔案，或是將裝置與網路隔離，避免事件擴散，同時讓人員進行調查。

有些企業也會聽到 RMM，RMM 代表 Remote Monitoring and Management（遠端監控與管理）。這是不同的類別。RMM 常由 IT 團隊與 MSP 用來監看裝置的健康狀態、部署更新、並處理例行支援工作。EDR 著重在偵測與回應可疑的資安活動。

你也可能會聽到「端點防護平台（endpoint protection platform）」這個詞。用白話來說，這通常指的是裝置上更廣泛的資安軟體；而 EDR 則是偵測與回應層，用來協助調查正在發生的事。

好的 EDR 不只是買個授權然後祈禱一切順利。它應該依你的企業需求進行設定，由懂得如何審查警示的人員監看，並且要能對應到清楚的回應計畫。否則你可能會收到大量警示，但實質的防護卻不多。

完善的設定通常會涵蓋所有關鍵的企業端點，而不只是幾台筆電。這往往意味著涵蓋員工電腦、伺服器，有時也包含行動裝置，依企業的運作方式而定。它也應該能與你其他工具搭配，例如 MFA、電子郵件安全、備份，以及使用者存取規則。

好的供應商也會說清楚他們會做什麼、以及不會做什麼。他們應該告訴你如何審查警示、哪些內容會升級處理、包含哪些回應步驟，以及他們如何通報事件。如果他們提供 SLA（Service Level Agreement，服務等級協議），那份文件應用白話描述回應目標與支援條款。

如果你想找一家能清楚說明這些選擇的獨立供應商，NodeBridge IT 可以協助你 help you get matched 以取得與 MSP 的配對。我們是一個免費的配對服務。我們不會代你管理、監控、保護、修復，或存取你的系統。

EDR 通常只是更完整的管理式 IT 服務中的一部分。MSP 可能會把它與裝置支援、修補（patching）、備份檢查、帳號安全，以及規劃協助一起打包。有些也會提供 vCIO 指導，也就是虛擬首席資訊官（virtual Chief Information Officer）的建議，協助小型企業在不需要全職聘用該角色的情況下，規劃科技與資安優先事項。

這很重要，因為資安要能像一套系統那樣運作。例如，EDR 能協助偵測筆電上的可疑行為，但它不會取代備份、員工訓練、存取控制，或是事件發生時誰負責做決定的計畫。

備份是另一個主題，但值得在這裡提一下。你可能會聽到 3-2-1 備份策略。意思是保留 3 份資料副本，放在 2 種不同類型的儲存媒體上，並保留 1 份放在異地（offsite）。EDR 與備份解決的是不同問題，許多企業都需要兩者。

如果你正在比較供應商，我們的 services overview 可以幫助你理解管理式 IT 通常包含哪些內容，以及你應該問哪些問題。

對小型企業而言，EDR 通常是依每台裝置每月收費，或是包含在更廣泛的管理式 IT 套裝中。大致的範圍可能是：僅 EDR 元件本身，每台每月約 $8 到 $25；而包含多項資安工具的完整管理式 IT 套裝可能會高得多。實際金額取決於人數、裝置數量、資安需求、支援時數，以及你所在地區。這些範圍並不是報價。

最便宜的選項不一定是最好的價值。低價格可能意味著警示審查有限、設定較弱，或是回應責任不夠清楚。另一方面，高價格也不代表一定更好，若供應商無法用白話說清楚包含什麼。

問一些務實的問題：誰會審查警示？什麼時候審查？哪些回應步驟是自動化的？非上班時間會怎麼處理？哪些裝置包含在內？誤報如何處理？你會收到哪些報告？以及 EDR 要如何與備份、修補與帳號安全一起搭配。

如果你想用更簡單的方式開始，NodeBridge IT 可以 connect you with 一家符合你企業類型與所在地的獨立 MSP。我們的服務對企業主是免費的。我們只收集基本的商務與聯絡資訊，讓我們可以幫你找到合適的選擇。