เจาะลึก EDR XDR MDR เข้าใจให้ชัด ก่อนเลือกใช้ในองค์กร – QuickServ

ในบทความ วิวัฒนาการโซลูชันความปลอดภัย: จาก Traditional Antivirus ถึง MDR เราได้ไล่เรียง “บันไดความปลอดภัย” ตั้งแต่ Traditional Antivirus ที่เน้นตรวจจับไวรัสจากฐานข้อมูล ไปจนถึง Next-Generation Antivirus (NGAV) ที่ใช้ AI วิเคราะห์พฤติกรรม และขั้นที่สูงขึ้นอย่าง EDR, XDR, MDR

ถ้าจะเปรียบง่ายๆ
• Antivirus / NGAV คือ “รั้วบ้าน” ป้องกันโจรเข้ามา
• EDR คือ “กล้องวงจรปิด+ยามเฝ้า” จับตาดูทุกความเคลื่อนไหว
• XDR คือ “ศูนย์ควบคุมกลาง” ที่รวมภาพจากทุกกล้อง ทั้งในบ้าน นอกรั้ว และในระบบออนไลน์
• MDR คือ “จ้างทีม รปภ. มืออาชีพ” มาดูแลให้ทั้งวันทั้งคืน

ดังนั้นเครื่องมือยุคใหม่จึงไม่เพียง “ป้องกัน” แต่ต้อง ตรวจจับและตอบสนอง (Detection & Response) ได้ด้วย ซึ่งนี่คือจุดเริ่มของ EDR, XDR, MDR

EDR (Endpoint Detection & Response) – ยามเฝ้าเครื่องปลายทาง
1.คืออะไร
EDR คือระบบที่ติดตั้ง Agent ลงบน Endpoint เช่น PC, Notebook, Server, VDI เพื่อเฝ้าตรวจสอบและบันทึกกิจกรรมต่างๆ ในเครื่องแบบละเอียด (Telemetry) แล้วใช้ AI + ฐานข้อมูลภัยคุกคามมาวิเคราะห์ หากพบพฤติกรรมผิดปกติ ก็สามารถสั่งกักกันหรือหยุดการโจมตีได้ทันที

2. ข้อมูลที่ EDR เก็บ (Telemetry)
• Process / Command Line / Parent–Child Process → รู้ว่าโปรแกรมใดเปิดโดยใคร และสั่งอะไรอยู่
• File / Registry / Driver & Kernel Events → ตรวจว่าไฟล์ถูกเปลี่ยนแปลงหรือ Registry ถูกแก้ไข
• Network Connection (DNS / IP / Port) → ตรวจการเชื่อมต่อไปยังเซิร์ฟเวอร์ต้องสงสัย
• User Logon / Privilege Escalation → รู้ว่ามีใครพยายามยกระดับสิทธิ์ผู้ใช้
• Script Engines & Macro → เช่น PowerShell, WMI, Office Macro
• Ransomware Canary Files → ไฟล์ล่อเพื่อทดสอบว่ามีการเข้ารหัสเกิดขึ้นหรือไม่

3. วิธีตรวจจับของ EDR
• Behavioral Rules + แผนที่ MITRE ATT&CK → จับตามเทคนิคการโจมตีที่รู้จัก
• Machine Learning / AI → หา Pattern ผิดปกติ
• Threat Intelligence (IoC/IoA) → เช็คกับฐานข้อมูลผู้โจมตีที่เคยบันทึกไว้
• Memory & Fileless Detection → ตรวจการโจมตีที่ไม่ทิ้งไฟล์ในดิสก์

4. การตอบสนองของ EDR
• Isolate เครื่องออกจากเครือข่ายทันที
• Kill Process หยุดโปรแกรมอันตราย
• Quarantine File แยกไฟล์ต้องสงสัย
• Rollback กู้ไฟล์กลับมาก่อนโดนเข้ารหัส (บางแบรนด์)
• IOC Sweeping & Live Response ค้นหาและแก้ปัญหาทันทีจากศูนย์ควบคุม

5. ตัวอย่างสถานการณ์จริง
พนักงานเผลอเปิดไฟล์แนบในอีเมลที่มีมาโครอันตราย → EDR ตรวจพบว่ามีการรัน PowerShell แปลกๆ → สั่ง Kill Process และ Isolate เครื่องทันที → ป้องกันการเข้ารหัสไฟล์ทั้งบริษัท

XDR (Extended Detection & Response) – ตาเหยี่ยวมองทั้งระบบ
1. คืออะไร
XDR ขยายการมองเห็นจาก EDR ให้ครอบคลุมทั้งระบบ IT และ Cloud ขององค์กร รวมข้อมูลจากหลายแหล่ง (Endpoint, Email, Identity, Network, Cloud) เข้าสู่ ศูนย์วิเคราะห์กลาง

2. แหล่งข้อมูลของ XDR
• Endpoint → ข้อมูลจาก EDR
• Email Security → จับ Phishing, Spam, BEC (Business Email Compromise)
• Identity → ตรวจสอบการล็อกอินผิดปกติ, MFA Bypass, Risky Sign-in
• Network / Firewall / Proxy / DNS → ตรวจการสื่อสารไปยัง C2 Server
• Cloud / SaaS / IaaS → เช่น Microsoft 365, Google Workspace, AWS, Azure, GCP
• Threat Intel Feeds → ข้อมูลจากผู้ให้บริการทั่วโลก

3. ความสามารถหลักของ XDR
• Cross-Domain Correlation → ผูกเหตุการณ์จากหลายระบบเข้าด้วยกัน
• Attack Story Graph → เห็นเส้นทางการโจมตีตั้งแต่ต้นจนจบ (Kill Chain)
• Auto-Response (SOAR-lite) → ปิดบัญชี, Reset Token, Block Sender, เพิ่มกฎ Firewall
• Hunting ข้ามระบบ → ใช้ Query (เช่น KQL/SQL-like) เพื่อค้นหาภัย

4. ตัวอย่างสถานการณ์จริง
อีเมลฟิชชิงหลุดเข้ามา → ผู้ใช้คลิก → EDR แจ้งว่ามีไฟล์ต้องสงสัยรันบนเครื่อง → XDR พบว่ามีการใช้บัญชีนี้ล็อกอินเข้า Cloud จาก IP ต่างประเทศ → ระบบสั่งปิดบัญชีทันทีและบล็อกผู้ส่งอีเมลอัตโนมัติ

MDR (Managed Detection & Response) – ทีมมืออาชีพเฝ้าระวังให้ 24/7
1. คืออะไร
MDR คือการจ้างผู้ให้บริการ SOC (Security Operations Center) ที่ใช้ EDR/XDR เป็นเครื่องมือ เฝ้าระวัง วิเคราะห์ และตอบสนองแทนองค์กร

2. ขอบเขตบริการ MDR
• Monitoring & Triage → เฝ้าดูและจัดลำดับความรุนแรง
• Threat Hunting → ค้นหาภัยเชิงรุกก่อนสร้างความเสียหาย
• Incident Response → แยกเครื่อง, ปิดบัญชี, บล็อก IP ตาม Playbook
• Reporting & Compliance → รายงานสถานะและแม็ปกับมาตรฐาน PDPA, ISO27001
• Simulation & Testing → บางเจ้าให้บริการจำลองการโจมตีเพื่อทดสอบระบบ

3. รูปแบบการให้บริการ MDR
• Provider-Tools → ใช้ระบบของผู้ให้บริการ
• Bring-Your-Own-License → ใช้เครื่องมือที่ลูกค้ามีอยู่แล้ว
• Co-managed SOC → แบ่งหน้าที่ระหว่างทีมลูกค้าและผู้ให้บริการ

4. ตัวอย่างสถานการณ์จริง
วันเสาร์ตี 3 มีการโจมตี RDP Bruteforce จากต่างประเทศ → ทีม MDR ตรวจพบ, บล็อก IP, ปิดพอร์ต และส่งรายงานเช้าวันอาทิตย์ → องค์กรไม่ต้องมีคนเฝ้ากลางดึก แต่ก็ปลอดภัยทันที

สรุปเปรียบเทียบ

คุณสมบัติ	EDR	XDR	MDR
ขอบเขตมองเห็น	Endpoin	Endpoint+Email+Identity+Network+Cloud	ตามเครื่องมือที่ใช้ (ส่วนใหญ่จะเป็น XDR)
การวิเคราะห์	พฤติกรรมบนเครื่อง	วิเคราะห์ข้ามระบบ	ผู้เชี่ยวชาญทำให้
การตอบสนอง	แยกเครื่อง, ลบไฟล์, Rollback	ปิดบัญชี, บล็อกผู้ส่ง, Firewall Rule	Provider จัดการตาม Playbook
คนดูแล	ทีม IT/SecOps ภายใน	ทีม SecOps ที่มีทักษะสูง	ไม่ต้องมีทีมภายใน 24/7
เหมาะกับ	องค์กรกลาง–ใหญ่	องค์กรหลายระบบ/หลาย Cloud	ทุกขนาดที่ต้องการ 24/7

แนวทางเลือกให้เหมาะกับองค์กร
• ทีมเล็ก งบจำกัด แต่เสี่ยง Ransomware → NGAV + EDR
• ใช้ Cloud/Email เยอะ และมีพนักงาน WFH → XDR
• ไม่มีทีมเฝ้าระวังตลอดเวลา → MDR
• องค์กรใหญ่ ต้องการทั้งภาพรวมและทีม 24/7 → XDR + MDR (Co-managed)

QuickServ พร้อมให้คำปรึกษาและติดตั้งโซลูชัน EDR, XDR, MDR ให้เหมาะกับขนาดและความต้องการของธุรกิจคุณ