來介紹一下講端點防護的概念，重點放在「防毒/端點檢測與回應（AV / EDR）」的差別，以及 Windows Defender 在整個防護架構裡扮演的角色。

什麼是端點防護（Endpoint Protection）

端點防護就是保護每一台終端（筆電、桌機、伺服器、手機）不被惡意軟體、入侵或資料外洩攻擊。核心目的：偵測、預防、回應 三管齊下。

傳統防毒（AV）跟 EDR 的差別

• 傳統防毒（Antivirus）

  • 以特徵碼（signature）比對為主，對已知病毒、高命中率很有效。
  • 優點：效能輕、偵測已知威脅準確。
  • 缺點：對未知或變種（zero-day）效果有限。

• EDR（Endpoint Detection & Response）

  • 以行為分析、事件串聯與回溯調查為主，能偵測異常行為（如橫向移動、異常權限使用）。
  • 優點：能發現複雜攻擊、支援事件調查與回應（contain/quarantine）。
  • 缺點：需較多資源與調校，誤報需人工處理。

Windows Defender

• Windows Defender（現在稱為 Microsoft Defender for Endpoint）已從單純 AV 進化成具備 EDR 功能的端點防護平台。
• 功能涵蓋：即時防護、雲端偵測、行為分析、自動隔離與中央管理（企業版）。
• 對個人使用者來說，Defender 提供基礎即時掃描與雲端保護；對企業則能串接 SIEM / XDR 做整體回應。

偵測手法：簽名 vs 行為 vs 威脅情報

• 簽名 (Signature)：對付已知威脅最快，但需持續更新。
• 行為 (Behavioral)：偵測可疑操作（如自動執行、異常網路連線、檔案加密），能抓未知攻擊。
• 威脅情報 (Threat Intel)：把外部威脅情報融入偵測規則，提高效能並減少偽陽性。

部署與策略重點（企業觀點）

• 最小權限：端點只給必要權限，降低攻擊面。
• 補丁管理：保持 OS 與應用更新，減少已知漏洞被利用機會。
• 日誌與回應流程：建立事件告警與處理 SOP（Contain → Eradicate → Recover）。
• 調校與白名單：EDR 初期會有誤報，需調校規則與適當白名單策略。

常見誤解

• 「裝了防毒就安全」：錯。端點只是防線一部份，還需要網路、應用、防火牆、備份等配合。
• 「EDR 會自動解決一切」：EDR 提供線索與自動隔離，但仍需人員解讀與處理。

小結

端點防護是防守的基本單元，從傳統 AV 到 EDR 的演進反映出攻擊手法的複雜化。Windows Defender 現在已是整合式解決方案的一部分，但最關鍵的還是策略、更新與人員的應變能力。