NDR 是什麼?EDR、MDR、XDR、NDR 資安生態系完整介紹
NDR 是什麼?EDR、MDR、XDR、NDR 資安生態系完整介紹
重點摘要
NDR 定義:Network Detection and Response,透過網路流量偵測威脅與異常
NDR 不需 Agent,可覆蓋 IoT、OT 等無法裝端點軟體的設備
EDR 看端點內部、NDR 看網路流量,兩者互補才能完整偵測
XDR:跨層整合平台,結合端點、網路、郵件、雲端等多來源資料
MDR 是服務模式,由外部 SOC 協助監控與回應
橫向移動、資料外洩、IoT 攻擊須靠 EDR + NDR 同步偵測
EDR、MDR、XDR、NDR⋯⋯這些縮寫讓人眼花撩亂。它們都是「Detection and Response」家族的成員,但各自負責不同的領域。理解這個生態系,才能選擇最適合企業的資安方案。
這篇文章會完整介紹 NDR 以及整個偵測與回應生態系,幫助你理解各方案的定位和選擇時機。
NDR(Network Detection and Response)完整介紹
NDR 定義與核心功能
NDR 是 Network Detection and Response 的縮寫,中文稱為「網路偵測與回應」。
如果說 EDR 是保護端點的眼睛,那麼 NDR 就是監控網路的眼睛。NDR 分析網路流量,偵測在網路層發生的威脅和異常行為。
NDR 的核心功能:
網路流量分析:持續監控和分析網路流量
異常偵測:識別偏離正常模式的網路行為
威脅偵測:發現惡意活動,如資料外洩、橫向移動
行為分析:建立網路行為基線,偵測異常
網路鑑識:保留網路活動紀錄,支援事後調查
NDR 的運作原理
NDR 的運作方式與 EDR 不同:
EDR 的方式:
安裝 Agent → 收集端點資料 → 分析端點行為 → 產生告警
NDR 的方式:
監聽網路流量 → 深度封包分析 → 流量行為分析 → 產生告警
NDR 的資料來源:
NDR 可以從多種來源取得網路流量資料:
來源說明優缺點網路 TAP實體設備複製流量最完整,但需要硬體Switch Mirror Port交換器鏡像埠簡單,但可能影響效能Packet Broker封包代理器彈性高,成本也高流量日誌(NetFlow)網路設備產生的流量統計輕量,但細節較少雲端 VPC 流量日誌雲端服務提供的流量日誌適合雲端環境
NDR 的分析技術:
簽章比對:與已知惡意流量特徵比對
行為分析:建立正常流量基線,偵測異常
機器學習:自動學習和識別異常模式
深度封包檢測(DPI):分析封包內容
加密流量分析:分析加密流量的元資料和行為
NDR 監控的範圍
NDR 能看到端點之間、以及端點與外部的網路通訊:
East-West 流量(內部橫向)
端點 A ←──→ 端點 B ←──→ 伺服器
↑
NDR 監控
這是 NDR 的重要價值。許多攻擊者入侵後會在內網橫向移動,EDR 可能看不到這些跨主機的活動,但 NDR 能偵測到異常的內部流量。
North-South 流量(進出邊界)
內部網路 ←──→ 防火牆 ←──→ 網際網路
↑
NDR 監控
傳統防火牆也會檢查這些流量,但 NDR 的行為分析能發現防火牆規則無法偵測的威脅。
NDR 的優勢與限制
NDR 的優勢:
無 Agent:不需要在端點安裝軟體,適合無法安裝 Agent 的設備
看到橫向移動:偵測端點之間的異常通訊
偵測資料外洩:發現大量資料外傳的行為
覆蓋所有設備:包括 IoT、OT 等無法安裝 EDR 的設備
無法繞過:攻擊者難以在不產生網路流量的情況下活動
NDR 的限制:
看不到端點內部:端點上的本地活動(如檔案操作)看不到
加密流量挑戰:加密流量難以深度分析
部署複雜:需要網路架構配合
儲存需求大:網路流量資料量龐大
回應能力有限:只能阻斷網路,無法直接處理端點威脅
EDR vs NDR:端點與網路的互補
EDR 看到什麼?NDR 看到什麼?
EDR 和 NDR 各有盲區,看到的東西不同:
活動類型EDRNDR端點上執行的程式✅ 完整❌ 看不到端點上的檔案操作✅ 完整❌ 看不到端點上的登錄檔變更✅ 完整❌ 看不到端點對外網路連線✅ 有限✅ 完整端點之間的通訊⚠️ 有限✅ 完整無 Agent 設備的活動❌ 看不到✅ 完整異常流量模式❌ 看不到✅ 完整資料外洩行為⚠️ 有限✅ 完整
視覺化理解:
┌──────────────────────────────────────────────────────────┐
│ 企業網路環境 │
│ │
│ ┌─────┐ ┌─────┐ ┌─────┐ │
│ │PC-1 │◄──────►│PC-2 │◄──────►│伺服器│ │
│ │ EDR │ │ EDR │ │ EDR │ │
│ └──┬──┘ └──┬──┘ └──┬──┘ │
│ │ │ │ │
│ │ EDR 看到:端點內部 │ │
│ │ │ │
│ └──────────────┼──────────────┘ │
│ │ │
│ NDR 看到:網路流量 ◄────── NDR │
│ │ │
│ ▼ │
│ ┌───────────┐ │
│ │ 防火牆 │ │
│ └─────┬─────┘ │
│ │ │
└────────────────────┼────────────────────────────────────┘
│
▼
網際網路
為什麼需要 EDR + NDR?
單獨使用 EDR 或 NDR 都有盲區。以下是一些需要兩者配合才能偵測的攻擊情境:
情境 1:橫向移動攻擊
攻擊者入侵 PC-1 → 橫向移動到 PC-2 → 竊取 PC-2 的資料
EDR 在 PC-1 上看到:可疑程式執行
EDR 在 PC-2 上看到:正常程式存取檔案(可能誤判為合法)
NDR 看到:PC-1 到 PC-2 的異常 SMB 流量
只有 EDR:可能偵測到 PC-1 被入侵,但不一定發現橫向移動
EDR + NDR:同時偵測到入侵和橫向移動,完整掌握攻擊範圍
情境 2:資料外洩
惡意程式 → 壓縮敏感檔案 → 加密 → 慢速外傳到 C2 伺服器
EDR 看到:檔案被存取、壓縮程式執行
NDR 看到:持續的加密流量外傳到可疑 IP
只有 EDR:可能看到檔案存取,但難以確認是否外洩
EDR + NDR:結合檔案存取和網路外傳證據,確認資料外洩
情境 3:IoT/OT 設備攻擊
攻擊者 → 入侵 IoT 設備 → 作為跳板攻擊內網
EDR 看到:無法安裝 Agent,完全看不到
NDR 看到:IoT 設備的異常網路行為
只有 EDR:完全無法偵測
EDR + NDR:NDR 偵測到 IoT 設備的異常行為
EDR + NDR 協作案例
真實案例:偵測 Cobalt Strike C2 通訊
Cobalt Strike 是駭客常用的攻擊工具,會與外部 C2(Command and Control)伺服器通訊。
只有 EDR 的偵測:
可能偵測到 Cobalt Strike 的特徵行為
但如果使用客製化或混淆技術,可能繞過
加上 NDR 的偵測:
NDR 偵測到與已知 C2 特徵相符的網路流量
即使端點上的行為被混淆,網路通訊模式仍可被識別
關聯分析:
EDR 告警:端點執行可疑 PowerShell
+
NDR 告警:端點與可疑 IP 建立長時間 HTTPS 連線
=
高信心度告警:Cobalt Strike C2 活動
XDR 如何整合 EDR 與 NDR
XDR 的整合架構
XDR(Extended Detection and Response)的核心價值在於整合。它把 EDR、NDR 以及其他資安資料來源整合在一起。
┌─────────────────────────────────────────────────────────┐
│ XDR 平台 │
│ │
│ ┌─────────────────────────────────────────────────┐ │
│ │ 資料整合層 │ │
│ │ ┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐ ┌─────┐ │ │
│ │ │ EDR │ │ NDR │ │郵件 │ │雲端 │ │身分 │ ... │ │
│ │ └──┬──┘ └──┬──┘ └──┬──┘ └──┬──┘ └──┬──┘ │ │
│ │ └──────┴───────┼───────┴───────┘ │ │
│ └───────────────────┬─┴─────────────────────────────┘ │
│ │ │
│ ┌───────────────────▼───────────────────────────┐ │
│ │ 關聯分析引擎 │ │
│ │ ・跨來源關聯 │ │
│ │ ・自動攻擊鏈重建 │ │
│ │ ・威脅評分 │ │
│ └───────────────────┬───────────────────────────┘ │
│ │ │
│ ┌───────────────────▼───────────────────────────┐ │
│ │ 回應協調層 │ │
│ │ ・跨平台回應動作 │ │
│ │ ・自動化劇本 │ │
│ └───────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────┐ │
│ │ 統一控制台 │ │
│ └─────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────┘
XDR 整合的資料來源
典型的 XDR 平台整合以下資料來源:
資料來源提供的可視性對應工具端點端點行為、檔案、程式EDR網路網路流量、通訊模式NDR郵件郵件內容、附件、連結郵件安全閘道雲端雲端服務活動CASB、CWPP身分登入行為、權限變更IAM、PAMWeb網頁存取、下載安全網頁閘道
XDR 的整合效益
效益 1:自動關聯分析
傳統方式需要資安人員手動關聯不同來源的告警。XDR 自動完成這個工作。
範例:
傳統方式:
EDR 告警(端點 A 執行可疑程式)
+ NDR 告警(端點 A 有異常外連)
+ 郵件告警(端點 A 使用者收到釣魚郵件)
→ 資安人員手動關聯(耗時 1-2 小時)
XDR 方式:
所有告警 → XDR 關聯引擎 → 自動產生整合事件(幾秒鐘)
效益 2:減少告警疲勞
指標無 XDR有 XDR每日告警數量1,000+50-100平均調查時間2-4 小時30-60 分鐘漏看重要告警機率高低
效益 3:完整攻擊可視性
XDR 能自動重建完整的攻擊鏈:
釣魚郵件被開啟(郵件安全)
↓
惡意附件執行(EDR)
↓
Persistence 建立(EDR)
↓
C2 通訊建立(NDR)
↓
橫向移動到其他主機(NDR + EDR)
↓
敏感資料存取(EDR)
↓
資料外洩(NDR)
開放式 XDR vs 原生 XDR
XDR 有兩種主要類型:
原生 XDR(Native XDR)
由單一廠商提供所有組件(EDR、NDR、郵件安全等)。
優點:
整合最完善
單一供應商支援
部署較簡單
缺點:
被單一廠商綁定
可能無法選擇最佳產品
更換成本高
代表產品:Microsoft 365 Defender、Palo Alto Cortex XDR、Trend Micro Vision One
開放式 XDR(Open XDR)
整合不同廠商的產品,提供統一的關聯分析。
優點:
可以選擇各領域最佳產品
不被單一廠商綁定
可以利用現有投資
缺點:
整合可能不如原生完善
需要更多整合工作
多廠商支援複雜度
代表產品:Stellar Cyber、Hunters、ReliaQuest
不確定需要哪些資安方案?
EDR、NDR、XDR⋯⋯方案太多,選擇困難是正常的。每個企業的環境和需求不同,沒有標準答案。
預約免費資安評估,我們會:
評估你的 IT 環境和威脅風險
分析現有資安工具的缺口
推薦最適合的方案組合
諮詢完全免費,讓專業顧問幫你釐清需求。
完整資安生態系架構圖
Detection & Response 家族總覽
「Detection and Response」家族不只有 EDR、MDR、XDR、NDR,還有更多成員:
縮寫全名中文偵測範圍本質EDREndpoint Detection and Response端點偵測與回應端點設備工具NDRNetwork Detection and Response網路偵測與回應網路流量工具XDRExtended Detection and Response延伸偵測與回應跨平台整合平台MDRManaged Detection and Response託管式偵測與回應視服務範圍服務CDRCloud Detection and Response雲端偵測與回應雲端環境工具ITDRIdentity Threat Detection and Response身分威脅偵測與回應身分系統工具
較新的成員:
縮寫說明MXDRManaged XDR,託管式的 XDR 服務TDIRThreat Detection, Investigation, and ResponseADRApplication Detection and Response,應用程式層級
生態系架構圖
┌─────────────────────────────────────┐
│ XDR 平台整合 │
│ │
└─────────────────────────────────────┘
│
┌───────────────────────────┼───────────────────────────┐
│ │ │
▼ ▼ ▼
┌───────────┐ ┌───────────┐ ┌───────────┐
│ EDR │ │ NDR │ │ CDR │
│ 端點層 │ │ 網路層 │ │ 雲端層 │
│ │ │ │ │ │
│ ・桌機 │ │ ・流量分析│ │ ・IaaS │
│ ・筆電 │ │ ・封包檢測│ │ ・PaaS │
│ ・伺服器 │ │ ・行為分析│ │ ・SaaS │
└───────────┘ └───────────┘ └───────────┘
│ │ │
▼ ▼ ▼
┌───────────┐ ┌───────────┐ ┌───────────┐
│ ITDR │ │ 郵件安全 │ │ CASB │
│ 身分層 │ │ 郵件層 │ │ SaaS 層 │
│ │ │ │ │ │
│ ・AD │ │ ・反垃圾 │ │ ・存取控制│
│ ・IAM │ │ ・反釣魚 │ │ ・DLP │
│ ・PAM │ │ ・附件分析│ │ ・合規 │
└───────────┘ └───────────┘ └───────────┘
┌─────────────────────────────────────┐
│ MDR 服務 │
│ (可託管以上任何工具) │
└─────────────────────────────────────┘
未來趨勢:走向整合
資安工具的發展趨勢是整合:
過去(工具孤島):
EDR + NDR + SIEM + 郵件安全 + 雲端安全 + ... = 管理複雜、告警疲勞
現在(XDR 整合):
XDR 平台(整合多種資料來源)= 統一視圖、自動關聯
未來(AI 驅動):
AI 資安平台 = 自動偵測 + 自動調查 + 自動回應
Gartner 預測,到 2027 年,超過 50% 的企業將使用 XDR 或類似的整合平台,取代獨立的 EDR、NDR 等工具。
各方案適用場景分析
只需要 EDR 的情境
以下情況可能只需要 EDR:
環境特徵:
IT 環境以端點為主
網路架構簡單
沒有太多 IoT/OT 設備
雲端使用有限
具體案例:
小型辦公室,只有 PC 和少量伺服器
員工主要使用辦公軟體,沒有複雜應用
沒有工廠或 IoT 設備
建議方案:
EDR(或 MDR)→ 足以滿足需求
需要 EDR + NDR 的情境
以下情況建議同時使用 EDR 和 NDR:
環境特徵:
有大量內部網路流量
有無法安裝 Agent 的設備(IoT、OT、老舊系統)
擔心橫向移動攻擊
有資料外洩風險
具體案例:
製造業,有工廠 OT 環境
醫療業,有大量醫療設備
金融業,需要偵測資料外洩
任何有 IoT 設備的環境
建議方案:
EDR + NDR → 端點和網路的完整可視性
或
XDR → 整合 EDR 和 NDR 功能
需要 XDR 的情境
以下情況建議使用 XDR:
環境特徵:
IT 環境複雜(混合雲、多種系統)
已有多種資安工具
告警疲勞嚴重
需要跨平台關聯分析
有足夠資安人員操作
具體案例:
大型企業,有完整資安團隊
跨國企業,需要統一管理
金融業、電信業等高度監管產業
建議方案:
XDR 平台 → 整合現有工具,提供統一視圖
或
XDR + 額外專業工具 → 依需求補充特定能力
需要 MDR 的情境
以下情況建議使用 MDR:
環境特徵:
沒有專職資安人員
無法 24/7 監控
希望快速獲得資安能力
預算限制,無法自建團隊
具體案例:
中小企業,IT 人員有限
新創公司,快速成長中
任何缺乏資安人力的組織
建議方案:
MDR 服務 → 外包監控和回應
或
MDR + 基礎內部能力 → Co-managed 模式
主流 NDR 產品介紹
Darktrace
公司背景
Darktrace 是 NDR 領域的領導者之一,以「企業免疫系統」概念著稱。使用 AI 自學習技術,不依賴規則或簽章。
核心技術
無監督式機器學習
自動建立「生活模式」基線
偵測偏離正常模式的行為
Autonomous Response 自動回應
優勢
AI 技術領先
不需要規則更新
可偵測未知威脅
自動化程度高
限制
價格較高
需要學習期間(1-2 週)
可能產生誤判
適用場景
中大型企業
需要偵測內部威脅
希望減少規則維護工作
ExtraHop Reveal(x)
公司背景
ExtraHop 專注於網路流量分析,提供即時的網路可視性。強調「完全可視性」和對加密流量的分析能力。
核心技術
即時流量分析(不是基於日誌)
加密流量分析
超過 70 種協定解析
整合威脅情報
優勢
即時分析,延遲低
加密流量分析能力強
協定支援廣泛
部署相對簡單
限制
對網路架構有要求
大型環境需要較多硬體
價格中高
適用場景
需要即時偵測的環境
大量使用加密通訊
有複雜應用協定
Vectra AI
公司背景
Vectra AI 專注於使用 AI 偵測隱藏的攻擊者行為。強調偵測「攻擊者行為」而非「已知攻擊」。
核心技術
基於攻擊者行為的 AI 偵測
專注於偵測攻擊鏈的各個階段
與 MITRE ATT&CK 框架對應
整合雲端和地端
優勢
專注高價值偵測
告警品質高,誤判少
與 ATT&CK 框架整合好
雲端和 SaaS 覆蓋
限制
價格較高
需要網路架構配合
功能聚焦,不是全方位
適用場景
有資安團隊進行調查
關注進階威脅
需要雲端覆蓋
Cisco Secure Network Analytics
公司背景
原名 Stealthwatch,是 Cisco 的 NDR 解決方案。與 Cisco 網路設備深度整合。
核心技術
基於 NetFlow 的流量分析
與 Cisco 設備原生整合
加密流量分析(ETA)
雲端和地端整合
優勢
與 Cisco 環境整合最佳
不需要額外 TAP 設備(使用 NetFlow)
部署相對簡單
企業級支援
限制
主要價值在 Cisco 環境
分析深度可能不如專業 NDR
價格不低
適用場景
大量使用 Cisco 網路設備的企業
希望利用現有 NetFlow 資料
需要企業級支援
常見問題 FAQ
Q1: 已經有防火牆和 IDS/IPS 了,為什麼還需要 NDR?
防火牆看的是「連線是否被允許」,IDS/IPS 看的是「流量是否符合已知攻擊簽章」,NDR 看的是「整體流量行為是否異常」。差別具體是:一個員工帳號平常只在上班時間連 CRM,某天凌晨 3 點從東歐 IP 登入並下載 50GB 資料——防火牆看到的是「合法 VPN 連線」,IPS 看到的是「沒有攻擊 signature」,只有 NDR 透過行為分析會警覺。NDR 的獨特價值是偵測「內部橫向移動」和「加密隧道異常」,這些是傳統邊界防護的盲點。如果企業預算只夠一樣,優先順序通常是:防火牆 > EDR > NDR。但只要有 100+ 端點且有真實 APT 威脅,NDR 就會開始顯現價值。
Q2: NDR 看得到 HTTPS / TLS 加密流量裡的內容嗎?
看不到內容,但看得到「流量的指紋」。現代 NDR 不依賴解密,而是分析加密流量的元資料和行為模式:TLS fingerprint(JA3/JA4)、流量大小模式、連線頻率、目標 IP 的信譽、通訊時間分布等。研究顯示即使不解密,AI 分析加密流量的元資料可以偵測出 90%+ 的惡意連線(例如 C&C 通訊、資料外洩)。Cisco ETA(Encrypted Traffic Analytics)、ExtraHop、Darktrace 都有成熟的加密流量分析能力。少數企業會額外部署 SSL Decryption Gateway 來解密流量供深度分析,但會遇到隱私法規、效能、憑證管理等挑戰,一般不建議中小企業走這條路。
Q3: NDR 部署時需要拉 TAP 設備嗎?雲端環境怎麼辦?
地端環境常見三種選項:(1) Network TAP(實體設備)——最完整,延遲最低,但需要採購硬體(每點 NT$30,000–200,000 不等);(2) SPAN / Mirror Port(交換器鏡像埠)——免費但可能漏封包,大流量時交換器效能會受影響;(3) NetFlow / IPFIX——輕量但只有流量 metadata 沒有封包內容,分析深度受限。雲端環境完全不同:AWS 用 VPC Flow Logs + Traffic Mirroring、Azure 用 NSG Flow Logs + Virtual Network TAP、GCP 用 Packet Mirroring。雲端原生方式無需硬體但有流量費(AWS Traffic Mirroring 每 GB 約 $0.015)。混合雲常見架構:地端用 TAP + 雲端用原生 flow logs,兩邊資料都送進同一 NDR 平台。
Q4: NDR 和 SIEM 的網路分析功能有什麼差別?重複嗎?
有重疊但不重複。SIEM 是日誌聚合與關聯——吃防火牆 log、Proxy log、DNS log 等「已處理過」的事件。NDR 是原始網路流量分析——直接看封包 metadata 甚至內容。具體差異:SIEM 看得到「防火牆阻擋了某次連線」但看不到「連線內的通訊模式」;NDR 看得到「一個端點和 C&C 服務器用 DNS tunneling 通訊」而 SIEM 只會看到「一堆 DNS 查詢紀錄」。實務上 NDR 的告警會送進 SIEM 做跨來源關聯,但 NDR 本身提供獨立的調查介面。500 人以上的企業通常兩者並存;100–500 人規模,如果預算只夠一個,先買 SIEM(合規價值較高)。
Q5: IoT/OT 環境(工控、製造業)適合用 NDR 嗎?有什麼坑?
非常適合——IoT/OT 設備通常無法安裝 EDR Agent(作業系統太舊、廠商不允許修改),NDR 是少數可行的監控方式。三個坑要避開:(1) OT 網路通訊協定特殊——Modbus、DNP3、IEC 61850、EtherCAT 等,一般 NDR 可能不懂。選產品時要確認支援 OT 協定解析,Claroty、Nozomi、Dragos 是 OT 專用 NDR 廠商。(2) 零延遲容忍度——有些即時控制流量不能被任何干擾,NDR 必須「被動監聽」而非「線上阻斷」。(3) 網路架構常被忽略——OT 網路可能是環狀、匯流排、或老舊的 RS-485 串列通訊,NDR 要找到合適的鏡像點。建議先做 2 週流量調查,再決定部署位置。台灣半導體廠、電力公司、化工廠近年 OT 資安需求快速上升,政府也有相關 CIP(關鍵基礎設施保護)補助。
想建立完整的偵測與回應能力?
選擇和整合 EDR、NDR、XDR 需要專業規劃。方案太多,組合方式也多,選錯方向可能浪費預算或留下防護缺口。
預約免費資安評估,我們的顧問會:
評估你的環境和威脅風險
分析需要哪些偵測能力
設計最適合的方案組合
提供預算和實作建議
諮詢完全免費,我們會在 24 小時內回覆。
延伸閱讀
EDR、MDR、XDR 差異比較請見 EDR vs MDR vs XDR 差異比較
選購 EDR 產品請參考 EDR 產品選購指南
想了解 SOC/SIEM 整合?請見 EDR/MDR 與 SOC、SIEM 整合指南
準備導入了嗎?請見 企業 EDR/MDR 導入實務指南
了解 EDR/MDR 基礎知識,請參考 EDR vs MDR 完整指南