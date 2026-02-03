面對網路威脅樣態持續演變，企業的防禦思維正站在一個重要轉折點上。過去資安領域長期依賴的「偵測與回應」模式，在攻擊者大量導入自動化工具與人工智慧後，雖然仍是防線中不可或缺的一環，但其侷限性也愈發明顯。

隨著攻擊潛伏時間持續縮短，橫向移動與權限濫用往往在短時間內完成，單純仰賴事件發生後的補救機制，已難以有效降低實質風險。資安業界開始把視角往前推移，重新檢視曝險管理與主動防禦的重要性，希望能在攻擊路徑尚未成形之前，先行降低風險累積的速度與範圍。

延伸偵測與回應（XDR）架構也逐步從過去以偵測與回應為核心的被動模式，朝向結合預判與治理的方向演進。微軟資安技術專家張士龍指出，近年實際觀察到的多起攻擊事件顯示，攻擊者完成橫向移動與滲透的時間已被壓縮到數分鐘等級，企業若仍停留在仰賴人工逐筆研判告警的作業方式，往往在事件被確認時，攻擊已進入後段階段。

他直言，若無法透過AI輔助提前辨識行為模式與潛在意圖，組織很容易受限於既有IT或SOC人員的判斷節奏，難以應對高度自動化的攻擊行為。「要能主動偵測、即時反制，首先得具備一個有能力整合異質訊號、啟動治理決策的XDR平台，這才是資安AI落地的基礎。」

張士龍進一步說明，微軟近年在XDR平台上所強化的重點，並非單一偵測技術，而是如何把不同防線的訊號放在同一治理脈絡中理解。目前XDR的核心訊號來源，涵蓋端點防護（Endpoint Defender）、身分防護（Entra ID Defender）、電子郵件安全（Defender for Email）、雲端應用防護（Defender for Cloud Apps）、AD（Active Directory）相關的異常偵測。當這些訊號能夠被整合後，平台才有條件同時從端點行為、登入模式、郵件內容、SaaS使用情境與橫向移動跡象等多個面向，交叉比對出可信度較高的風險事件，並進一步交由Security Copilot進行分析與處置建議的生成。

從協防分析邁向自動化阻斷

在架構設計上，張士龍將現行XDR的AI應用拆解為三個層次，分別對應不同成熟度的導入階段。第一層是以機器學習為核心的偵測能力，主要負責處理大量事件與訊號，例如從歷史樣本中辨識惡意程式特徵、可疑IP行為或異常登入模式，藉此提升整體偵測準確度與效率。這一層的角色，仍以輔助既有偵測機制為主。

第二層則是協防分析階段，也就是Security Copilot介入SOC作業流程的切入點。張士龍指出，在這個階段，AI的角色不是直接替企業下決策，而是協助分析事件背景、整理攻擊脈絡，並提出具體的處置建議，讓分析師能在更短時間內掌握事件全貌。這樣的設計，目的是降低人工調查的負擔，而非取代人的判斷。

第三層，才是真正與主動防禦相關的自主治理能力（Autonomous Protection）。張士龍強調，這一層的關鍵不在於「看到告警就自動封鎖」，而是平台必須先透過跨域關聯分析，確認攻擊行為已沿著特定攻擊鏈推進，並在高度確定的情況下，才會啟動阻斷或隔離動作。治理引擎會綜合郵件初始滲透、身分冒用、橫向掃描、中繼站通訊與資料存取行為等訊號，對照MITRE ATT&CK攻擊鏈推估後續可能行為，當判斷結果具備足夠把握時，才會執行封鎖。

平台整合重塑資安營運效率

在實際部署層面，張士龍指出，企業可依自身資安成熟度，逐步導入不同層級的自動化治理。例如透過Playbook與Sentinel整合，讓端點隔離、帳號停用、惡意IP封鎖等動作成為既定流程的一部分。當Security Copilot的分析結果符合預設條件時，這些動作可在無需人工介入的情況下執行，並同步留下事件記錄，供後續稽核與回溯使用。

這樣的設計，不僅有助於提升SOC處理效率，也讓資安治理更容易被量化與管理。張士龍提到，Security Score能依據多種常見框架，協助企業檢視在身分、資料、應用與裝置等面向的整體防護狀態，並作為內部溝通與管理層決策的參考依據，這也讓資安不再只是技術團隊的議題，而能被納入企業治理討論中。

在整合性方面，他也說明，Defender與Sentinel可透過標準格式或API，與第三方資安設備交換資訊，使事件感知與回應不侷限於單一平台。只要設備具備對應的整合條件，就能被納入同一治理流程，為後續更進階的Agentic AI治理架構奠定基礎。

此外，隨著安全資料量持續成長，微軟也在XDR架構中引入Data Lake作為集中儲存與分析的基礎，讓身分行為、端點偵測與應用使用情境能在同一資料層被管理，支援Security Copilot與Sentinel進行更長時間尺度的分析與回溯。

即便平台能力持續進化，張士龍仍提醒，主動治理並非單靠工具即可完成，而是建立在完整可觀測性與治理策略之上。若企業僅在單一防線部署，缺乏身分或雲端訊號支撐，平台判斷自然難以具備足夠依據。他認為，真正的主動防禦，需要多源訊號交叉比對，以及對組織行為模式的清楚理解。

欲達到AI驅動的治理階段，關鍵並不只在於採購先進技術，而是企業是否具備清楚的責任分工、穩定的資安營運流程與可被自動化的應變機制。工具只是放大器，只有治理策略與組織準備到位，AI才能在實務中發揮價值。