Your browser seems not to support the JavaScript. But don't worry, it will not affect the content displays without the JavaScript. If you would like to change the font size, for IE6 you can use the keyboard to hold Alt + V → X → (G)largest (L)large (M)medium (S)small (A)smallest to choose the font size; for IE7 or Firefox you can use the keyboard to hold Ctrl + (+)enlarge (-)shrink the font size. If you want to go back to the previous page you can use the keyboard to hold Alt + (←)left arrow, for print you can use the keyboard to hold Ctrl + P. 跳到主要內容
:::

端點偵測及應變機制(EDR)專區-FAQ

1.機關應何時完成端點偵測及應變機制(EDR)導入作業?

依110年8月23日頒布之「資通安全責任等級分級辦法」修正條文明定如下:
資通安全責任等級A級與B級之公務機關:
■初次受核定或等級變更後之二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。

2.囿於經費問題,EDR導入範圍是否要求全機關導入?

為確保機關整體防護有效性,EDR導入應以全機關導入為目標,若有經費預算問題,可依系統重要性逐步完成導入作業。

3.現行因防護向上集中,是否可由主管機關協助轄下所屬機關一併進行EDR資料提交?

主管機關可協助所屬機關一併提交EDR事件資料,依格式載明事發機關OID即可。

4.機關是否可以導入一套以上的EDR?

機關視自身情況可以導入一套以上EDR機制,資料分開提交即可。

5.後續是否會制定EDR設備回傳給SOC的規範與格式以供EDR廠商參考?

依據法規規範,僅提到SOC提交偵測資料時須依照本中心規定之格式,並未限制EDR設備及SOC之間交換資料的格式,且聯防監控一直以來未曾針對資安產品(例如:防毒軟體、防火牆)與SOC之間傳送資料之格式進行規範,故後續也不會制定EDR設備回傳給SOC的規範與格式。

1.若因管理架構問題,內部單位是否可以各別傳送,非統一集中傳送?

就一般機關運作而言,還是會以業管資訊單位為主進行整體SOC建置與EDR導入,因此EDR資料應統一集中回傳始能助於掌握機關整體情況。

2.若內部主機施行實體隔離者該如何進行EDR導入?

可於內網架設伺服器進行派送與回收作業,若確認有異常活動者再另行匯出事件單回傳即可;建議有關內網管理維運可與EDR及SOC廠商做討論,找到適合機關之運作架構。

3.有進行EDR掃描就需要回傳相關資料嗎?

EDR資料回傳的原則為發生資安事件時才須回傳,因此若未發生資安事件則無需回傳EDR掃描資料。

4.若端點電腦遭惡意攻擊前已透過其他設備進行進行阻擋,是否需回傳EDR事件單?

EDR資料回傳的原則為發生資安事件時才須回傳,故駭客活動已被防護設備阻擋且未造成資安事件時無須回傳。

5.技服中心可以公告符合EDR格式的廠商嗎?

後續會與各SOC廠商以及其採用的EDR產品進行連通測試,通過測試的名單會陸續公布於官網。

1.EDR事件回傳格式與範本是否會變動?

因目前尚在連通測試階段,可能會依據試行的情形針對格式或內容進行細部的調整,現行的規範請以官網上的最新版本為主。

2.EDR會不會產出的資料不足,導致要求的部分欄位資料填不出來?

技服中心已審視過不少EDR產品,其產出的報告均可以滿足我們的需求,若有不能填的我們多已改成選填。

3.是否可以一次回傳多個惡意程式?此時應如何填寫STIX欄位?

可以,簡報範例為單個惡意程式的物件,多個惡意填寫方式為{type:"malware" ....(第一個惡意程式資訊)},{type:"malware" ....(第二個惡意程式資訊)},其相關惡意程式分析及中繼站資訊於STIX Relationship Objects(SRO)做關聯,詳見官網EDR專區提供之STIX情資分析單範例。

4.部分EDR產品為即時掃描而非定期掃描,此時掃描時間之欄位該如何定義?

若EDR未有確切掃描時間,可將資安事件發生時間視為掃描時間進行填寫。

5.部分EDR產品未針對各惡意程式分別定義威脅程度,若以整體事件之威脅程度代替之是否可行?

若EDR產品僅有整體事件之危脅程度,各惡意程式之威脅程度可等同整體事件之危脅程度。

6.各欄位之長度限制為何?

根據聯防監控回傳之規範,目前並未針對欄位長度進行限制。

7.若部分必填欄位無相關資訊,應如何填寫?

「中繼站資訊」、「惡意程式資訊」、「惡意程式分析資訊」此三個欄位雖列為必填,但須視情況填寫。例如惡意程式若為主動式後門類型,則必定會有中繼站,此時須填寫中繼站資訊;但若惡意程式為工具類型例如類似nmap等內網掃描軟體,則不會有中繼站資訊,此時中繼站的欄位可留白。