端點防護發展到現在
我們常聽到這三個詞EDR、MDR、與XDR
究竟和以前的端點有什麼差別？
又是在R什麼？

端點偵測與回應(EDR)是Gartner公司提出的專有名詞
指的是「可以偵測(Detection)、調查主機和端點(Endpoint)的可疑活動，運用高度自動化來通知資安團隊並快速回應(Response)」
為了達到這個目的，系統必須提供五大主要功能

1. 主動監控端點，並針對具有威脅跡象的活動收集資料
2. 對收集的資料執行分析，以識別是否有任何已知的威脅模式
3. 針對所有已識別威脅產生自動回應，以移除或遏止威脅
4. 自動向安全性人員通知已偵測到威脅
5. 利用分析和鑑識工具，針對可能導致其他可疑活動的已識別威脅執行研究

在《我是超級工具人》06-偵測未知威脅的謊言裡面講到
一個強大的端點防護，應該要把1~4項自動化處理
而安全人員只需花心力解決第5項
因此在設定上，發現威脅就刪除，是最輕鬆的方法
例如卡巴斯基EDR優選版就能看到威脅被清除的軌跡

如果發現有一台電腦病毒根深蒂固，我們可以選擇隔離主機後重灌

MDR則是由專家7×24代管EDR
對於沒有資安部門的企業來說不用額外培養人才
就能協助對抗進階持續滲透的未知威脅
XDR則是除了端點外，只要是和電腦有關的一舉一動
網路、雲端工作、email、端點全部收集並加以分析，是最全面的防護
但用在上萬人的企業，有自己的資安中心，才會顯現出效果
不然以中小企業的人員編制，資訊人員只有小貓兩三隻，看太多訊息也會疲勞，導致無法處理資安事件，造成防護下降

所以我們可以用一個句子來形容：

1. EDR：我為了控制端點的混亂而忙碌不堪
2. XDR：我為了控制每個地方的損害而疲於奔命
3. MDR：我翹著腳喝咖啡看資安委外氣噗噗處理公司同仁丟來的爛攤，還能擺出超欠打的姿態