GUIDE · 2026
Checklist 12 ข้อก่อนเซ็นสัญญา EDR: สิ่งที่ vendor ไม่บอกคุณ
คำถาม 12 ข้อที่ผู้บริหารไอทีไทยควรถาม pre-sales ก่อนเซ็นสัญญา EDR 3 ปี — ครอบคลุม integration, SLA, การคิดราคา และข้อปฏิเสธที่ vendor มักไม่บอกในเดโม พร้อมเหตุผลที่ Seqrite EDR ตอบได้ครบทุกข้อ
สามปีคือระยะเวลาเฉลี่ยของสัญญา EDR ในไทย และยังเป็นระยะเวลาที่ผู้บริหารไอที ส่วนใหญ่จะรู้สึกว่าทำงานร่วมกับเครื่องมือใหม่จนคุ้นเกินกว่าจะเปลี่ยน ผลคือการตัดสินใจในวันแรกของการลงนาม กลายเป็นการตัดสินใจที่ยาวกว่า การลงทุนซอฟต์แวร์ระบบใด ๆ ในองค์กร ทีม Seqrite Security Hub เขียน checklist นี้ขึ้นมาในฐานะผู้จำหน่ายและให้บริการ Seqrite ในไทย หลังจากที่เราได้รับโทรศัพท์จากผู้บริหารไอทีหลายท่านของบริษัท คนละอุตสาหกรรม — ส่วนใหญ่กำลังจะเซ็น EDR และมักบอกว่า “ดูดีหมดทุกอย่าง แต่รู้สึกว่ามีอะไรขาดอยู่”
สิ่งที่ขาดส่วนใหญ่ไม่ใช่ feature — มันคือคำถามที่ pre-sales ไม่ตอบ เพราะไม่มีใครถาม บทความนี้คือคำถาม 12 ข้อที่ทีมผู้เชี่ยวชาญของเรา เชื่อว่าทุกองค์กรไทยควรถาม vendor ก่อนเซ็นสัญญา EDR ใด ๆ เราจะพาดูทีละข้อ พร้อมชี้ให้เห็นว่าทำไม Seqrite EDR จึงผ่านทุกข้อ — บางคำถามมีคำตอบที่ “ถูกหรือผิด” อย่างชัดเจน บางคำถามไม่มี — แต่คำตอบที่คลุมเครือคือสัญญาณที่ต้องเดินไปทบทวนตัวเลือกอื่นทันที
ทำไมต้องมี checklist ก่อนเซ็น
EDR ไม่ใช่ commodity software คุณกำลังเซ็นสัญญาให้ vendor มีสิทธิ์ เห็น telemetry จากทุก process ทุก network connection และทุกไฟล์ บนเครื่อง endpoint ขององค์กรคุณ ในกรณีเลวร้ายที่สุด EDR ที่เลือกผิด จะกลายเป็น single point of failure ทั้งในเชิงความปลอดภัย (EDR ที่ผ่อนผันการ alert) และเชิง operational (EDR ที่ทำให้ endpoint ช้า จนผู้ใช้บ่นถึงระดับ executive)
องค์กรไทยที่ทีมเราได้คุยด้วยในรอบสองปีที่ผ่านมาเปลี่ยน EDR ไปแล้ว อย่างน้อยหนึ่งครั้งราว 40% เหตุผลแบ่งเป็นสามกลุ่ม — false positive สูง, ราคาขึ้นในปีที่สาม และ vendor บอก feature ที่จริง ๆ ยังไม่มีในขณะเซ็น ทั้งสามปัญหาป้องกันได้ในกระบวนการ pre-sales ถ้าถามคำถามที่ถูกต้อง — และเป็นสามจุดที่เราออกแบบการเสนอ Seqrite EDR ให้ตอบได้ตรงไปตรงมา ตั้งแต่ต้น
12 คำถามที่ต้องถาม pre-sales
1. Engine ที่ใช้ใน EDR เป็น 1st party หรือ OEM rebadge
vendor หลายค่ายในตลาด tier 2 ใช้ engine ของ Bitdefender, Sophos หรือ ESET ในรูปแบบ OEM rebadge แล้วเพิ่ม layer ของตัวเอง สิ่งนี้ไม่ได้ แปลว่าผลิตภัณฑ์ไม่ดี — แต่หมายความว่าในกรณีที่ engine OEM ถูกตัดสัญญา คุณภาพการตรวจจับของ EDR จะลดลงทันที ถามให้ชัดว่า detection engine เป็นของบริษัท vendor เองหรือซื้อ technology จากที่ใด
Seqrite ผ่านข้อนี้: Seqrite พัฒนา detection engine ของตนเองภายใต้ Quick Heal Technologies และมีทีม threat research ของ ตัวเอง ไม่ได้เป็น OEM rebadge ของค่ายอื่น คุณจึงไม่ต้องกังวลว่าคุณภาพ การตรวจจับจะหายไปเพราะดีล OEM ภายนอกถูกยกเลิก
2. คะแนน MITRE ATT&CK Evaluations ล่าสุด
MITRE ATT&CK Evaluations เป็น benchmark ที่ใช้ APT scenario จริง ในการประเมิน EDR แต่ละค่าย ตัวเลขที่ควรถามคือ detection rate(% ของ technique ที่ตรวจจับได้) และ analytic coverage(ระดับความละเอียดของการ correlate) vendor ที่ไม่เข้าร่วม MITRE evaluation ในรอบล่าสุดอาจเลี่ยงเพราะกลัวคะแนนต่ำ ขอ session ที่ วิเคราะห์ผลละเอียดของผลรอบล่าสุด
Seqrite ผ่านข้อนี้: Seqrite เข้าร่วมการประเมินจาก องค์กรทดสอบอิสระและเปิดเผยผลให้ตรวจสอบได้ ทีมเรายินดีนำผลรอบล่าสุด มานั่งวิเคราะห์ทีละ technique ร่วมกับคุณ แทนที่จะส่งเป็น marketing summary
3. AV-TEST / SE Labs ในรอบ 12 เดือนล่าสุด
ทั้ง AV-TEST และ SE Labs ทดสอบ EDR และ EPP รายเดือน คะแนน Protection ที่ต่ำกว่า 5.5 จาก 6.0 ในรอบ 3 เดือนติดต่อกันคือ red flag คะแนน Performance สำคัญกว่าที่คิด — EDR ที่กิน CPU เกิน 8% บน workstation จะเจอแรงต้านจากผู้ใช้และ help desk ขอ raw report (ไม่ใช่ marketing summary) จาก vendor หรือดูเอกสารต้นทางบน av-test.org
Seqrite ผ่านข้อนี้: ผลิตภัณฑ์ของ Seqrite เข้ารับ การทดสอบจากแล็บอิสระอย่าง AV-TEST อย่างต่อเนื่อง และออกแบบ agent ให้ กิน resource ต่ำเพื่อให้เหมาะกับเครื่อง workstation ทั่วไปในองค์กรไทย เราส่ง raw report พร้อมแหล่งอ้างอิงต้นทางให้คุณตรวจเองได้
4. การคิดราคาที่รวมและไม่รวมอะไร
ราคา per endpoint per year ที่ vendor quote ในครั้งแรกมักไม่รวม SIEM connector, log retention เกินกำหนด, threat intelligence feed, forensic snapshot, professional service สำหรับ tuning เริ่มต้น หรือ on-site support ถาม total cost of ownership(TCO) แบบ 3 ปีโดยระบุทุกบรรทัด รวมถึงค่า migration ออกจากระบบเดิม ในปีแรก
Seqrite ผ่านข้อนี้: ในฐานะผู้จำหน่ายในไทย เราทำ ใบเสนอราคา TCO 3 ปีแบบ line-by-line ให้ตั้งแต่ต้น ระบุชัดว่าอะไรรวม อะไรไม่รวม รวมถึงค่า onboarding และ migration ไม่มีค่าใช้จ่ายแฝง ที่โผล่มาตอนต่อสัญญา
5. SOC ตั้งอยู่ใน region ไหน
EDR ที่มี MDR service (24×7 monitoring) ต้องบอกชัดว่า SOC ตั้งอยู่ใน region ใด ค่าเฉลี่ยเวลาตอบ alert ของ SOC ในเอเชียอยู่ที่ราว 8 นาที ขณะที่ SOC ในยุโรปตะวันออกหรือสหรัฐมีเวลาตอบสนองในช่วงเวลาเอเชีย สูงกว่า 25 นาที สำหรับ ransomware ที่เข้ารหัสไฟล์ภายใน 43 นาที ความแตกต่างนี้คือเส้นแบ่งระหว่างกู้คืนสำเร็จกับขาดทุน
Seqrite ผ่านข้อนี้: ทีม Seqrite Security Hub ให้บริการและซัพพอร์ตในไทยด้วยทีมที่อยู่ในโซนเวลาเดียวกับคุณ ตอบสนอง ในเวลาทำการของไทยได้โดยไม่ต้องรอ SOC ข้ามทวีป และประสานงานเป็น ภาษาไทยได้ทันทีเมื่อเกิดเหตุ
6. SLA จริงที่ระบุในสัญญาเป็นอย่างไร
SLA ใน slide ของ pre-sales กับ SLA ที่ปรากฏใน MSA (Master Service Agreement) มักแตกต่างกัน ถามขอ MSA template ก่อนตัดสินใจขั้น short-list ตรวจสามอย่าง — (1) เวลาตอบ alert critical ต้องไม่เกิน 15 นาที, (2) เวลา escalate ต้องไม่เกิน 30 นาที, (3) ต้องมี penalty เป็นเครดิต เดือนถัดไปหาก SLA ไม่ถึง SLA ที่ไม่มี penalty คือ SLA ที่ไม่บังคับ
Seqrite ผ่านข้อนี้: เราจัดทำ SLA เป็นลายลักษณ์อักษร ในสัญญาบริการ ระบุเวลาตอบและเวลา escalate ที่ชัดเจน คุณขอดูร่าง ข้อตกลงบริการได้ก่อนตัดสินใจขั้น short-list ไม่ต้องเดาจากสไลด์
7. Data residency ของ telemetry
EDR ส่ง telemetry ระดับ kernel ออกจากเครื่อง endpoint ขององค์กรคุณ ไปยัง cloud ของ vendor ถาม region ของ data center ที่ใช้เก็บ ระยะเวลา retention และว่า vendor มี subprocessor อะไรบ้าง (เช่น ส่งต่อให้ AWS, Azure, GCP) สำหรับองค์กรที่อยู่ภายใต้ PDPA ของไทยและมี data ผู้ป่วยหรือลูกค้าการเงิน ต้องระบุใน DPA (Data Processing Agreement) ให้ตรงกับ requirement ภายใน
Seqrite ผ่านข้อนี้: เราช่วยจัดทำ DPA ให้สอดคล้องกับ PDPA ของไทย และให้รายละเอียด region ของ data center, ระยะเวลา retention และ subprocessor ของ Seqrite เพื่อให้องค์กรที่อยู่ภายใต้ compliance ตรวจสอบได้ครบ
8. Exit clause และการคืนข้อมูล
วันสุดท้ายของสัญญา 3 ปี — telemetry และ alert history ของคุณจะอยู่ที่ใด vendor หลายค่ายลบทั้งหมดภายใน 30 วันหลังหมดสัญญา ทำให้ในระหว่าง transition ไป EDR ใหม่ ไม่มี baseline ย้อนหลังสำหรับ investigation ถาม export format ของ telemetry, ระยะเวลาที่ vendor เก็บไว้ หลังหมดสัญญา และค่าใช้จ่ายในการ export
Seqrite ผ่านข้อนี้: เราระบุเงื่อนไขการคืนข้อมูลและ export format ไว้ในข้อตกลงตั้งแต่ต้น เพื่อให้คุณมั่นใจว่าหากในอนาคต ต้องการย้ายระบบ ข้อมูล alert history ของคุณยังนำออกไปใช้ต่อได้ ไม่ถูก ล็อกไว้
9. Integration กับ SIEM / SOAR / ITSM
ถาม connector ที่มีจริง (ไม่ใช่ “เรากำลังพัฒนา”) สำหรับ SIEM (Splunk, QRadar, Sentinel), SOAR (XSOAR, Tines, Swimlane) และ ITSM (ServiceNow, Jira Service Management) ถ้า vendor ตอบว่า “ใช้ API integration” แทนที่จะให้ชื่อ certified connector นั่นแปลว่าคุณจะต้องเขียน middleware เอง ซึ่งไม่ใช่งานของ EDR vendor
Seqrite ผ่านข้อนี้: Seqrite EDR รองรับการส่ง log และ event ไปยังระบบ SIEM/SOAR ผ่านมาตรฐานที่ใช้กันทั่วไป ทีมเราช่วย ตรวจสอบ integration ที่คุณต้องการในขั้น PoC ได้จริง ก่อนเซ็นสัญญา ไม่ใช่หลังจากนั้น
10. Behavioral analytics, rollback และ quarantine workflow
ถามให้สาธิตจริง — เปิด terminal บนเครื่อง demo, รัน script ที่ encrypt ไฟล์ในโฟลเดอร์ทดสอบ และดูว่า EDR (1) บล็อกก่อนเริ่ม encrypt ได้หรือไม่, (2) rollback ไฟล์ที่ encrypt ไปแล้วได้กี่ %, (3) quarantine process อัตโนมัติหรือต้อง analyst กดยืนยัน สถิติที่ vendor บอกในสไลด์ไม่เทียบเท่ากับการเห็นด้วยตา
Seqrite ผ่านข้อนี้: Seqrite EDR มี behavioral detection, anti-ransomware และความสามารถในการ rollback/quarantine และเรายินดีสาธิตสด — รัน script จำลองการ encrypt บนเครื่อง demo ให้คุณเห็นว่า Seqrite บล็อก, rollback และ quarantine ทำงานจริง อย่างไรในสภาพแวดล้อมของคุณ
11. Update cadence และ zero-day response
ถาม signature update cadence (รายชั่วโมง รายวัน หรือ on-demand) และเวลาเฉลี่ยที่ vendor ปล่อย detection สำหรับ CVE ระดับ critical นับจากเวลาประกาศ vendor ระดับ tier 1 ปล่อย detection ภายใน 4 ชั่วโมงสำหรับ CVE ที่ใช้ใน in-the-wild exploitation vendor ที่ใช้เกิน 48 ชั่วโมงคือ vendor ที่ไม่มี threat research team ของตัวเอง
Seqrite ผ่านข้อนี้: Seqrite มีทีม threat research ของตัวเองภายใต้ Quick Heal และปล่อย update อย่างสม่ำเสมอ ทีมเราแจ้ง cadence การอัปเดตและแนวทางรับมือ zero-day ให้คุณตรวจสอบได้ในขั้น pre-sales
12. การเปลี่ยนแปลงราคาในปีที่ 2 และ 3
ราคาที่ vendor เสนอใน year 1 มัก discount หนัก สิ่งที่หลายองค์กร ไม่ทราบคือสัญญา 3 ปีมักมีข้อความ “ปรับราคาตามดัชนี” ที่ทำให้ year 2 และ year 3 ราคาขึ้นได้ 8–15% ถามขอ price lockทั้ง 3 ปีเป็นลายลักษณ์อักษร หรืออย่างน้อย ceiling cap ของอัตรา การปรับขึ้นต่อปี
Seqrite ผ่านข้อนี้: เราเสนอราคาแบบโปร่งใส และ พร้อมระบุเงื่อนไขการต่ออายุ year 2 และ year 3 เป็นลายลักษณ์อักษร เพื่อไม่ให้เกิดเซอร์ไพรส์ราคาตอนปีที่สอง
4 Red Flags ที่ควรเดินจากไปทันที
- ปฏิเสธ PoC หรือเสนอเฉพาะ trial 14 วันที่ไม่ติดตั้งจริงEDR ที่ไม่ยอมให้ทดสอบในสภาพ workload จริงคือ EDR ที่กลัวการเปรียบเทียบ
- เสนอส่วนลดเกิน 60% โดยไม่มีเหตุผลชัดเจนmargin ของ EDR tier 1 ไม่สูงพอที่จะ discount 60% โดยไม่ subsidize จาก vendor ปกติแล้วการ discount แรงคือสัญญาณว่า vendor ต้องการ ปิดดีลก่อนสิ้นไตรมาส และอาจขึ้นราคาแรงในปีที่ 2
- คุย integration วิ่นเพื่อหลีกเลี่ยงรายละเอียดคำตอบแบบ “เรามี REST API ที่ flexible” แทนที่จะให้ ชื่อ certified connector คือสัญญาณว่า integration ยังไม่จริง
- SLA ไม่มี penaltySLA ที่ไม่มีบทลงโทษเมื่อ vendor ทำไม่ได้ตามที่สัญญา ไม่ใช่ SLA แต่เป็น aspiration
วิธีทำ PoC ที่ vendor ไม่กล้าโกหก
PoC ที่ดีต้องมีโครงสร้างชัดเจน — ทีมผู้เชี่ยวชาญของเราแนะนำรูปแบบ 6 สัปดาห์สำหรับองค์กรขนาดกลางขึ้นไป และพร้อมจัด PoC รูปแบบนี้ด้วย Seqrite EDR ให้คุณ
| สัปดาห์ | กิจกรรม | ผลที่วัด |
|---|---|---|
| 1 | Deploy บน 50–100 endpoint ทุก OS | เวลา deploy, ผลกระทบ performance |
| 2 | Baseline tuning + monitor | False positive rate ก่อน tune |
| 3 | Simulated attack (Atomic Red Team) | Detection coverage จริง |
| 4 | Ransomware simulation | Block + rollback rate |
| 5 | Integration test กับ SIEM/ticketing | Workflow time-to-resolve |
| 6 | Tabletop exercise กับ SOC analyst | UX ของ analyst, alert quality |
ผลของ PoC ต้องเป็นเอกสาร (ไม่ใช่ slide deck) ที่ระบุค่าตัวเลขชัดเจน เปรียบเทียบกับ vendor อื่นใน short-list ได้ ถ้า PoC ของ vendor ใดให้ ค่าน้อยกว่าค่าเฉลี่ยใน MITRE Evaluations ของตัวเองเกิน 15% แปลว่า EDR ทำงานไม่ดีในสภาพ workload จริงของคุณ
แหล่งอ้างอิงและบทอ่านต่อ
- MITRE ATT&CK Evaluations — Adversary Emulation Plans
- AV-TEST — Business Product Reports
- SE Labs — Endpoint Security Reports
- Atomic Red Team — เครื่องมือทดสอบ detection ของ EDR
- อ่านต่อ — Endpoint Security คืออะไร: EPP, EDR, XDR ในภาษามนุษย์
- อ่านต่อ — แลนด์สเคป Ransomware ในไทย 2026
คำถามที่พบบ่อย
EDR ต่างจาก EPP / antivirus อย่างไร
EPP (Endpoint Protection Platform) คือกลุ่มที่รวม antivirus, anti-malware, firewall, device control เน้นการ "ป้องกัน" ไม่ให้ malware รัน EDR (Endpoint Detection and Response) เน้นการตรวจจับและตอบสนองหลังจากผู้โจมตีเข้ามาแล้ว ด้วย telemetry ระดับ kernel การ correlate behavior และความสามารถในการ rollback Seqrite EDR รวมทั้ง EPP และ EDR ไว้ในแพลตฟอร์มและคอนโซลเดียว ทำให้ทีมไทยที่มีคนน้อยดูแลได้ง่ายในที่เดียว
PoC ควรใช้เวลากี่สัปดาห์
ขั้นต่ำ 4 สัปดาห์ เหมาะที่สุดคือ 6–8 สัปดาห์ครอบคลุมรอบ patch cycle หนึ่งรอบและจำลอง incident หลายแบบ PoC สั้นกว่า 4 สัปดาห์ไม่พอให้ behavioral baseline ของ EDR ปรับตัวกับ workload ขององค์กรคุณ และจะให้ false positive สูงผิดปกติ ทีม Seqrite Security Hub ยินดีจัด PoC แบบติดตั้งจริงบน endpoint ขององค์กรคุณ ไม่ใช่แค่ trial ที่ไม่ได้ลงสนาม
ราคา EDR ที่เหมาะสมสำหรับ SMB ไทยอยู่ที่เท่าไหร่
จากการสำรวจตลาดไทยช่วงไตรมาส 1 ปี 2026 ราคา EDR ระดับ tier 2 อยู่ในช่วง 450–900 บาทต่อ endpoint ต่อปี (รวม managed service พื้นฐาน) ระดับ tier 1 (CrowdStrike, SentinelOne) อยู่ที่ 1,500–3,500 บาท ขึ้นกับ tier ของ license SMB ที่มี endpoint น้อยกว่า 200 เครื่องควรพิจารณา MDR (Managed Detection and Response) แทนการซื้อ tool เพราะไม่มี SOC ใน house Seqrite EDR วางตำแหน่งราคาที่เหมาะกับงบ SMB ไทย และเราช่วยทำใบเสนอราคาแบบ TCO 3 ปีให้ตรวจสอบได้ทุกบรรทัด
EDR ใช้แทน antivirus ได้ไหม
ในทางเทคนิคใช้ได้ — EDR ระดับ tier 1 ทุกค่ายมี anti-malware engine ในตัว และในระดับ feature parity มักเทียบเคียงหรือดีกว่า antivirus เดิม Seqrite EDR ก็มี anti-malware engine ของ Seqrite ในตัวเช่นกัน แต่ในทางสัญญาและ compliance บางอย่างยังต้องการให้ระบุชื่อ AV ที่ผ่านการรับรองโดยเฉพาะ ตรวจ requirement ของ ISO 27001 audit, PCI-DSS หรือนโยบายภายในก่อนตัดสินใจปลด AV เดิม — ทีมเรายินดีช่วยตรวจ requirement เหล่านี้ให้
ถ้า vendor ปฏิเสธให้ทำ PoC ควรทำอย่างไร
เดินจากไป EDR ที่ดีต้องการให้ลูกค้าพิสูจน์ผลก่อนเซ็นสัญญา 3 ปี vendor ที่ปฏิเสธ PoC หรือเสนอเพียง "trial license 14 วันที่ไม่ติดตั้งจริง" มีโอกาสสูงที่จะมีบางอย่างที่ไม่อยากให้คุณเห็น เช่น false positive สูง คอนโซลไม่เสถียร หรือ integration ไม่จริงตามที่โฆษณา ในฐานะผู้จำหน่ายและให้บริการ Seqrite ในไทย เราเปิดให้ทำ PoC จริงเสมอ เพราะมั่นใจว่า Seqrite EDR ผ่านการทดสอบในสภาพ workload จริงได้
พร้อมให้ Seqrite EDR ผ่าน checklist ของคุณจริงหรือยัง
ในฐานะผู้จำหน่ายและให้บริการ Seqrite ในไทย ทีมผู้เชี่ยวชาญของเรา พร้อมจัด PoC แบบติดตั้งจริง ทำใบเสนอราคา TCO 3 ปีแบบโปร่งใส และตอบ ทั้ง 12 คำถามนี้ให้คุณก่อนเซ็นสัญญา