本日重點：

1.它們各自看得到什麼、能做什麼。
2.放在哪裡、會帶來哪些副作用。
3.什麼場景先上哪一個。

1.同一個案例，三種角度

情境： 半夜 02:13，有不尋常的境外登入嘗試，隨後出現大量壓縮檔上傳到不明雲端儲存（疑似外洩）。

IDS（入侵偵測系統）看見什麼？做什麼？

部署在旁路（鏡像埠/SPAN），只偵測不阻擋：

• 看得見：可疑連線型態、已知惡意簽章、協定異常；出站往特定網域/ASN 的異常流量。
• 會做：發出告警、記錄證據（PCAP/EVE log），給 SOC/管理員處置。

IPS（入侵防禦系統）看見什麼？做什麼？

放在串聯路徑上（inline），在 IDS 的基礎上可即時封鎖：

• 看得見：同 IDS；
• 會做：封包丟棄/重設連線/阻擋指令碼，把可疑連線「卡下來」。代價是需小心延遲與誤殺。

XDR（延伸偵測與回應）看見什麼？做什麼？

聚合 端點（EDR）＋身分＋信箱＋雲端 App 的遙測，跨域關聯：

• 看得見：誰在登入、哪台機器執行了壓縮與上傳程式、寄件箱是否同時被滲透等「事件串」。
• 會做：自動封鎖帳戶/隔離端點/關閉持續化機制等跨域回應流程。

濃縮：IDS 通知、IPS 阻擋、XDR 串故事＋跨域收尾

2.放在哪？副作用是什麼？

3.簽章、異常、行為：偵測腦袋差在哪？

• 簽章/特徵（Snort/Suricata 等）：用已知攻擊樣式比對；命中快、抗繞需持續更新。
• 協定/異常：找 HTTP/SSL/DNS 等協定的不合理行為（長度、頻率、欄位結構）。
• 行為/關聯（XDR）：把「可疑登入＋壓縮＋上傳」串起來視為一個事件，降低單點假陽性。

4.同一情境，三者怎麼分工處理？

• IDS 先發現：半夜到不尋常雲端網域的大量出站；出示樣本封包與時間線。
• IPS 就地阻擋：對該目標網域/特徵 inline drop，把漏水先止住。
• XDR 追到根：關聯到帳號異常登入＋壓縮程式啟動＋上傳行為，自動停用帳戶/隔離端點，並生成調查時間線。

簡易名詞：

• IDS：入侵偵測，旁路監看、告警為主。
• IPS：入侵防禦，串聯阻擋、會丟包/重設連線。
• XDR：延伸偵測與回應，彙整端點/身分/信箱/雲端遙測，串事件＋自動回應。
• 簽章（Signature）：已知攻擊樣式的比對規則（如 Snort/Suricata）。
• 旁路/鏡像（SPAN）：複製一份流量給 IDS，不影響原路徑。
• inline：設備放在正路上，能即時擋住流量。

小結 ＋ 下集預告

分工想清楚、阻擋有層次，IDS 給你眼睛、IPS 給你煞車、XDR 幫你把故事講完並自動收尾。
下集（D11） 我們把VPN是什麼，有哪三大協議都講透透！