GUIDE · 2026
Checklist 12 ข้อก่อนเซ็นสัญญา EDR: สิ่งที่ vendor ไม่บอกคุณ
คำถาม 12 ข้อที่ผู้บริหารไอทีไทยควรถาม pre-sales ก่อนเซ็นสัญญา EDR 3 ปี — ครอบคลุม integration, SLA, การคิดราคา และข้อปฏิเสธที่ vendor มักไม่บอกในเดโม
สามปีคือระยะเวลาเฉลี่ยของสัญญา EDR ในไทย และยังเป็นระยะเวลาที่ผู้บริหารไอที ส่วนใหญ่จะรู้สึกว่าทำงานร่วมกับเครื่องมือใหม่จนคุ้นเกินกว่าจะเปลี่ยน ผลคือการตัดสินใจในวันแรกของการลงนาม กลายเป็นการตัดสินใจที่ยาวกว่า การลงทุนซอฟต์แวร์ระบบใด ๆ ในองค์กร เราเขียน checklist นี้ขึ้นมา หลังจากที่ผู้เขียนได้รับโทรศัพท์ในเดือนเดียวกันจากผู้บริหารไอทีสองท่าน ของบริษัทคนละอุตสาหกรรม — ทั้งคู่กำลังจะเซ็น EDR และทั้งคู่บอกว่า “ดูดีหมดทุกอย่าง แต่รู้สึกว่ามีอะไรขาดอยู่”
สิ่งที่ขาดส่วนใหญ่ไม่ใช่ feature — มันคือคำถามที่ pre-sales ไม่ตอบ เพราะไม่มีใครถาม บทความนี้คือคำถาม 12 ข้อที่กอง Cyber Brief เชื่อว่า ทุกองค์กรไทยควรถาม sales ของ vendor ก่อนเซ็นสัญญา EDR ใด ๆ บางคำถามมีคำตอบที่ “ถูกหรือผิด” อย่างชัดเจน บางคำถามไม่มี — แต่คำตอบที่คลุมเครือคือสัญญาณที่ต้องเดินไปทบทวนตัวเลือกอื่นทันที
ทำไมต้องมี checklist ก่อนเซ็น
EDR ไม่ใช่ commodity software คุณกำลังเซ็นสัญญาให้ vendor มีสิทธิ์ เห็น telemetry จากทุก process ทุก network connection และทุกไฟล์ บนเครื่อง endpoint ขององค์กรคุณ ในกรณีเลวร้ายที่สุด EDR ที่เลือกผิด จะกลายเป็น single point of failure ทั้งในเชิงความปลอดภัย (EDR ที่ผ่อนผันการ alert) และเชิง operational (EDR ที่ทำให้ endpoint ช้า จนผู้ใช้บ่นถึงระดับ executive)
องค์กรไทยที่ผู้เขียนได้คุยด้วยในรอบสองปีที่ผ่านมาเปลี่ยน EDR ไปแล้ว อย่างน้อยหนึ่งครั้งราว 40% เหตุผลแบ่งเป็นสามกลุ่ม — false positive สูง, ราคาขึ้นในปีที่สาม และ vendor บอก feature ที่จริง ๆ ยังไม่มีในขณะเซ็น ทั้งสามปัญหาป้องกันได้ในกระบวนการ pre-sales ถ้าถามคำถามที่ถูกต้อง
12 คำถามที่ต้องถาม pre-sales
1. Engine ที่ใช้ใน EDR เป็น 1st party หรือ OEM rebadge
vendor หลายค่ายในตลาด tier 2 ใช้ engine ของ Bitdefender, Sophos หรือ ESET ในรูปแบบ OEM rebadge แล้วเพิ่ม layer ของตัวเอง สิ่งนี้ไม่ได้ แปลว่าผลิตภัณฑ์ไม่ดี — แต่หมายความว่าในกรณีที่ engine OEM ถูกตัดสัญญา คุณภาพการตรวจจับของ EDR จะลดลงทันที ถามให้ชัดว่า detection engine เป็นของบริษัท vendor เองหรือซื้อ technology จากที่ใด
2. คะแนน MITRE ATT&CK Evaluations ล่าสุด
MITRE ATT&CK Evaluations เป็น benchmark ที่ใช้ APT scenario จริง ในการประเมิน EDR แต่ละค่าย ตัวเลขที่ควรถามคือ detection rate(% ของ technique ที่ตรวจจับได้) และ analytic coverage(ระดับความละเอียดของการ correlate) vendor ที่ไม่เข้าร่วม MITRE evaluation ในรอบล่าสุดอาจเลี่ยงเพราะกลัวคะแนนต่ำ ขอ session ที่ วิเคราะห์ผลละเอียดของผลรอบล่าสุด
3. AV-TEST / SE Labs ในรอบ 12 เดือนล่าสุด
ทั้ง AV-TEST และ SE Labs ทดสอบ EDR และ EPP รายเดือน คะแนน Protection ที่ต่ำกว่า 5.5 จาก 6.0 ในรอบ 3 เดือนติดต่อกันคือ red flag คะแนน Performance สำคัญกว่าที่คิด — EDR ที่กิน CPU เกิน 8% บน workstation จะเจอแรงต้านจากผู้ใช้และ help desk ขอ raw report (ไม่ใช่ marketing summary) จาก vendor หรือดูเอกสารต้นทางบน av-test.org
4. การคิดราคาที่รวมและไม่รวมอะไร
ราคา per endpoint per year ที่ vendor quote ในครั้งแรกมักไม่รวม SIEM connector, log retention เกินกำหนด, threat intelligence feed, forensic snapshot, professional service สำหรับ tuning เริ่มต้น หรือ on-site support ถาม total cost of ownership(TCO) แบบ 3 ปีโดยระบุทุกบรรทัด รวมถึงค่า migration ออกจากระบบเดิม ในปีแรก
5. SOC ตั้งอยู่ใน region ไหน
EDR ที่มี MDR service (24×7 monitoring) ต้องบอกชัดว่า SOC ตั้งอยู่ใน region ใด ค่าเฉลี่ยเวลาตอบ alert ของ SOC ในเอเชียอยู่ที่ราว 8 นาที ขณะที่ SOC ในยุโรปตะวันออกหรือสหรัฐมีเวลาตอบสนองในช่วงเวลาเอเชีย สูงกว่า 25 นาที สำหรับ ransomware ที่เข้ารหัสไฟล์ภายใน 43 นาที ความแตกต่างนี้คือเส้นแบ่งระหว่างกู้คืนสำเร็จกับขาดทุน
6. SLA จริงที่ระบุในสัญญาเป็นอย่างไร
SLA ใน slide ของ pre-sales กับ SLA ที่ปรากฏใน MSA (Master Service Agreement) มักแตกต่างกัน ถามขอ MSA template ก่อนตัดสินใจขั้น short-list ตรวจสามอย่าง — (1) เวลาตอบ alert critical ต้องไม่เกิน 15 นาที, (2) เวลา escalate ต้องไม่เกิน 30 นาที, (3) ต้องมี penalty เป็นเครดิต เดือนถัดไปหาก SLA ไม่ถึง SLA ที่ไม่มี penalty คือ SLA ที่ไม่บังคับ
7. Data residency ของ telemetry
EDR ส่ง telemetry ระดับ kernel ออกจากเครื่อง endpoint ขององค์กรคุณ ไปยัง cloud ของ vendor ถาม region ของ data center ที่ใช้เก็บ ระยะเวลา retention และว่า vendor มี subprocessor อะไรบ้าง (เช่น ส่งต่อให้ AWS, Azure, GCP) สำหรับองค์กรที่อยู่ภายใต้ PDPA ของไทยและมี data ผู้ป่วยหรือลูกค้าการเงิน ต้องระบุใน DPA (Data Processing Agreement) ให้ตรงกับ requirement ภายใน
8. Exit clause และการคืนข้อมูล
วันสุดท้ายของสัญญา 3 ปี — telemetry และ alert history ของคุณจะอยู่ที่ใด vendor หลายค่ายลบทั้งหมดภายใน 30 วันหลังหมดสัญญา ทำให้ในระหว่าง transition ไป EDR ใหม่ ไม่มี baseline ย้อนหลังสำหรับ investigation ถาม export format ของ telemetry, ระยะเวลาที่ vendor เก็บไว้ หลังหมดสัญญา และค่าใช้จ่ายในการ export
9. Integration กับ SIEM / SOAR / ITSM
ถาม connector ที่มีจริง (ไม่ใช่ “เรากำลังพัฒนา”) สำหรับ SIEM (Splunk, QRadar, Sentinel), SOAR (XSOAR, Tines, Swimlane) และ ITSM (ServiceNow, Jira Service Management) ถ้า vendor ตอบว่า “ใช้ API integration” แทนที่จะให้ชื่อ certified connector นั่นแปลว่าคุณจะต้องเขียน middleware เอง ซึ่งไม่ใช่งานของ EDR vendor
10. Behavioral analytics, rollback และ quarantine workflow
ถามให้สาธิตจริง — เปิด terminal บนเครื่อง demo, รัน script ที่ encrypt ไฟล์ในโฟลเดอร์ทดสอบ และดูว่า EDR (1) บล็อกก่อนเริ่ม encrypt ได้หรือไม่, (2) rollback ไฟล์ที่ encrypt ไปแล้วได้กี่ %, (3) quarantine process อัตโนมัติหรือต้อง analyst กดยืนยัน สถิติที่ vendor บอกในสไลด์ไม่เทียบเท่ากับการเห็นด้วยตา
11. Update cadence และ zero-day response
ถาม signature update cadence (รายชั่วโมง รายวัน หรือ on-demand) และเวลาเฉลี่ยที่ vendor ปล่อย detection สำหรับ CVE ระดับ critical นับจากเวลาประกาศ vendor ระดับ tier 1 ปล่อย detection ภายใน 4 ชั่วโมงสำหรับ CVE ที่ใช้ใน in-the-wild exploitation vendor ที่ใช้เกิน 48 ชั่วโมงคือ vendor ที่ไม่มี threat research team ของตัวเอง
12. การเปลี่ยนแปลงราคาในปีที่ 2 และ 3
ราคาที่ vendor เสนอใน year 1 มัก discount หนัก สิ่งที่หลายองค์กร ไม่ทราบคือสัญญา 3 ปีมักมีข้อความ “ปรับราคาตามดัชนี” ที่ทำให้ year 2 และ year 3 ราคาขึ้นได้ 8–15% ถามขอ price lockทั้ง 3 ปีเป็นลายลักษณ์อักษร หรืออย่างน้อย ceiling cap ของอัตรา การปรับขึ้นต่อปี
4 Red Flags ที่ควรเดินจากไปทันที
- ปฏิเสธ PoC หรือเสนอเฉพาะ trial 14 วันที่ไม่ติดตั้งจริงEDR ที่ไม่ยอมให้ทดสอบในสภาพ workload จริงคือ EDR ที่กลัวการเปรียบเทียบ
- เสนอส่วนลดเกิน 60% โดยไม่มีเหตุผลชัดเจนmargin ของ EDR tier 1 ไม่สูงพอที่จะ discount 60% โดยไม่ subsidize จาก vendor ปกติแล้วการ discount แรงคือสัญญาณว่า vendor ต้องการ ปิดดีลก่อนสิ้นไตรมาส และอาจขึ้นราคาแรงในปีที่ 2
- คุย integration วิ่นเพื่อหลีกเลี่ยงรายละเอียดคำตอบแบบ “เรามี REST API ที่ flexible” แทนที่จะให้ ชื่อ certified connector คือสัญญาณว่า integration ยังไม่จริง
- SLA ไม่มี penaltySLA ที่ไม่มีบทลงโทษเมื่อ vendor ทำไม่ได้ตามที่สัญญา ไม่ใช่ SLA แต่เป็น aspiration
วิธีทำ PoC ที่ vendor ไม่กล้าโกหก
PoC ที่ดีต้องมีโครงสร้างชัดเจน — กอง Cyber Brief แนะนำรูปแบบ 6 สัปดาห์ สำหรับองค์กรขนาดกลางขึ้นไป
| สัปดาห์ | กิจกรรม | ผลที่วัด |
|---|---|---|
| 1 | Deploy บน 50–100 endpoint ทุก OS | เวลา deploy, ผลกระทบ performance |
| 2 | Baseline tuning + monitor | False positive rate ก่อน tune |
| 3 | Simulated attack (Atomic Red Team) | Detection coverage จริง |
| 4 | Ransomware simulation | Block + rollback rate |
| 5 | Integration test กับ SIEM/ticketing | Workflow time-to-resolve |
| 6 | Tabletop exercise กับ SOC analyst | UX ของ analyst, alert quality |
ผลของ PoC ต้องเป็นเอกสาร (ไม่ใช่ slide deck) ที่ระบุค่าตัวเลขชัดเจน เปรียบเทียบกับ vendor อื่นใน short-list ได้ ถ้า PoC ของ vendor ใดให้ ค่าน้อยกว่าค่าเฉลี่ยใน MITRE Evaluations ของตัวเองเกิน 15% แปลว่า EDR ทำงานไม่ดีในสภาพ workload จริงของคุณ
แหล่งอ้างอิงและบทอ่านต่อ
- MITRE ATT&CK Evaluations — Adversary Emulation Plans
- AV-TEST — Business Product Reports
- SE Labs — Endpoint Security Reports
- Atomic Red Team — เครื่องมือทดสอบ detection ของ EDR
- อ่านต่อ — Endpoint Security คืออะไร: EPP, EDR, XDR ในภาษามนุษย์
- อ่านต่อ — แลนด์สเคป Ransomware ในไทย 2026
คำถามที่พบบ่อย
EDR ต่างจาก EPP / antivirus อย่างไร
EPP (Endpoint Protection Platform) คือกลุ่มที่รวม antivirus, anti-malware, firewall, device control เน้นการ "ป้องกัน" ไม่ให้ malware รัน EDR (Endpoint Detection and Response) เน้นการตรวจจับและตอบสนองหลังจากผู้โจมตีเข้ามาแล้ว ด้วย telemetry ระดับ kernel การ correlate behavior และความสามารถในการ rollback ปัจจุบัน vendor ระดับ tier 1 รวมสองอย่างนี้ในแพลตฟอร์มเดียว แต่การคิดราคาและสัญญายังแยกกัน
PoC ควรใช้เวลากี่สัปดาห์
ขั้นต่ำ 4 สัปดาห์ เหมาะที่สุดคือ 6–8 สัปดาห์ครอบคลุมรอบ patch cycle หนึ่งรอบและจำลอง incident หลายแบบ PoC สั้นกว่า 4 สัปดาห์ไม่พอให้ behavioral baseline ของ EDR ปรับตัวกับ workload ขององค์กรคุณ และจะให้ false positive สูงผิดปกติ
ราคา EDR ที่เหมาะสมสำหรับ SMB ไทยอยู่ที่เท่าไหร่
จากการสำรวจตลาดไทยช่วงไตรมาส 1 ปี 2026 ราคา EDR ระดับ tier 2 อยู่ในช่วง 450–900 บาทต่อ endpoint ต่อปี (รวม managed service พื้นฐาน) ระดับ tier 1 (CrowdStrike, SentinelOne) อยู่ที่ 1,500–3,500 บาท ขึ้นกับ tier ของ license SMB ที่มี endpoint น้อยกว่า 200 เครื่องควรพิจารณา MDR (Managed Detection and Response) แทนการซื้อ tool เพราะไม่มี SOC ใน house
EDR ใช้แทน antivirus ได้ไหม
ในทางเทคนิคใช้ได้ — EDR ระดับ tier 1 ทุกค่ายมี anti-malware engine ในตัว และในระดับ feature parity มักเทียบเคียงหรือดีกว่า antivirus เดิม แต่ในทางสัญญาและ compliance บางอย่างยังต้องการให้ระบุชื่อ AV ที่ผ่านการรับรองโดยเฉพาะ ตรวจ requirement ของ ISO 27001 audit, PCI-DSS หรือนโยบายภายในก่อนตัดสินใจปลด AV เดิม
ถ้า vendor ปฏิเสธให้ทำ PoC ควรทำอย่างไร
เดินจากไป EDR ที่ดีต้องการให้ลูกค้าพิสูจน์ผลก่อนเซ็นสัญญา 3 ปี vendor ที่ปฏิเสธ PoC หรือเสนอเพียง "trial license 14 วันที่ไม่ติดตั้งจริง" มีโอกาสสูงที่จะมีบางอย่างที่ไม่อยากให้คุณเห็น เช่น false positive สูง คอนโซลไม่เสถียร หรือ integration ไม่จริงตามที่โฆษณา