EGAT · VPN VISIBILITY PLATFORM
EGAT
มองเห็นทุกการใช้งาน
บน Remote-Access VPN
เปลี่ยน VPN จากช่องทางเชื่อมต่อให้เป็นแหล่งข้อมูลด้านความปลอดภัย รู้ว่าใครเข้าเว็บ/ใช้แอปอะไร ตรวจสอบย้อนหลังได้ และลดความเสี่ยงโดยไม่ติดตั้ง agent ที่เครื่องผู้ใช้
APPROACH
ใช้ของเดิมเป็นหลัก
MODEL
มองเห็น 5 ชั้น
ROLLOUT
เริ่มเป็นเฟส
ข้อเสนอเพื่อเริ่ม Phase 1 · 2026
Pain PointEGAT · VPN VISIBILITY
Remote VPN ที่มองไม่เห็น = ความเสี่ยงที่ควบคุมไม่ได้
วันนี้เรารู้ว่า ใครต่อ VPN ได้ — แต่ยังไม่รู้ว่าเขา ทำอะไรหลังเข้ามา
Insider threat
รู้ช้าเมื่อมีการนำข้อมูลออกจากองค์กร
ข้อมูลรั่ว
ไฟล์สำคัญถูกอัปโหลดขึ้น cloud/เว็บ โดยไม่มีสัญญาณเตือน
สอบสวนช้า
เกิดเหตุแล้วต้องไล่หา user, IP และ timeline จากหลายระบบ
Audit gap
ขาดหลักฐานการใช้งานต่อผู้ใช้สำหรับผู้ตรวจ
ความเสี่ยงไม่ได้อยู่ที่ต่อ VPN ไม่ได้ แต่อยู่ที่ต่อแล้วองค์กรยังมองไม่เห็น
Target OutcomeEGAT · VPN VISIBILITY
สิ่งที่ผู้บริหารและทีม Security ต้อง ตอบได้ทันที
01
ใครกำลังใช้งาน
user + เวลา + IP
L0
02
เข้าเว็บ/โดเมนอะไร
domain / website
L2
03
ใช้แอปอะไร
application
L2
04
ส่งข้อมูลไปไหน
IP · port · volume
L1
05
มีความเสี่ยงอะไร
threat / anomaly
L3+L4
ผลลัพธ์ต้องออกมาเป็น Dashboard, Alert และ Report ที่ใช้ได้จริง ไม่ใช่แค่ log ดิบ
Core IdeaEGAT · VPN VISIBILITY
ดักที่ VPN Concentrator จุดรวมเดียว
แล้วแปลง traffic ให้เป็นมุมมอง ต่อผู้ใช้
แล้วแปลง traffic ให้เป็นมุมมอง ต่อผู้ใช้
ทุก session ของ remote user ผ่านจุดนี้ก่อนเข้าระบบองค์กร จึงผูก IP กับ username จาก AAA/RADIUS ได้ ทำให้เห็นกิจกรรมแบบ per-user โดยไม่ต้องกระจายไปเก็บตาม switch ปลายทาง
ArchitectureEGAT · VPN VISIBILITY
จากการเชื่อมต่อ VPN สู่ข้อมูลที่ นำไปใช้ตัดสินใจ
Remote User
VPN client
Internet
transport
VPN Concentrator
จุดดักหลัก · NGFW
Internal / MPLS
โครงข่ายภายใน
DC · SCADA · Branch
ระบบงานสำคัญ
เก็บหลักฐานที่นี่ →
L0 · Identity ใคร / IP
L1 · Flow คุยกับใคร / ปริมาณ
L2 · Name/App เว็บ / แอป
↓ ส่งเข้า SIEM แบบ real-time เพื่อทำ alert และ report
SIEM / CollectorL4 · events analyzed 1,240 · per-user · alert · report
Visibility ModelEGAT · VPN VISIBILITY
Visibility 5 ชั้น: จากตัวตนถึง การแจ้งเตือน
| ชั้น | ข้อมูลที่ได้ | แหล่งข้อมูล | เริ่มเมื่อไร |
|---|---|---|---|
| L0 Identity | ตัวตนผู้ใช้ · เวลา · IP VPN | VPN AAA / RADIUS | เฟส 1 |
| L1 Flow | ปลายทาง · พอร์ต · ปริมาณ · เวลา | NetFlow / IPFIX | เฟส 1 |
| L2 Name/App | โดเมนเว็บ · แอปพลิเคชัน | DNS + TLS-SNI + App-ID | เฟส 1 |
| L3 Deep/PCAP | หลักฐานเชิงลึก · metadata · PCAP | TAP → Zeek/Suricata/Arkime | เฟส 2 |
| L4 Correlate | user timeline · alert · report | SIEM (Elastic/Wazuh/Splunk) | เฟส 1 |
L3 เพิ่มความลึกด้าน forensic; เนื้อหา HTTPS ยังไม่ถูกถอดรหัสตาม scope นี้
Capture PointEGAT · VPN VISIBILITY
จุดดักที่คุ้มที่สุด: VPN Concentrator ก่อน แล้วค่อยเสริม Probe
✓
VPN Concentrator
เริ่มได้เร็ว ได้ L0–L2 พร้อม identity จากระบบเดิม
✓
Switch ฝั่งใน (หลัง concentrator)
เสริม L3 สำหรับ forensic ด้วย SPAN/TAP ในเฟส 2
✗
MPLS Core / Optical (DWDM)
ไม่ใช่จุดคุ้มค่า: label/optical มอง context ผู้ใช้ไม่ได้
✗
Access switch ปลายทางไกล
กระจายหลายจุด ต้นทุนเก็บสูง และพลาดภาพรวมที่จุดรวม
ImplementationEGAT · VPN VISIBILITY
ติดตั้งน้อย แต่ได้ Visibility ครบ
① ที่ NGFW / Concentrator
เปิด log จากอุปกรณ์เดิม
AAA · NetFlow · App/URL/DNS
✓ ใช้ของเดิม
เก็บ DNS Query
DNS log → โดเมนที่ผู้ใช้เปิด
② Switch Mirror (SPAN/TAP) → Probe
เพิ่ม Sensor server
Zeek / Suricata · PCAP
+ probe 1 ตัว เมื่อเข้าเฟส 2
③ ศูนย์รวมข้อมูล
Collector / SIEM
รับ log ทุกจุด → ผูก user
วิเคราะห์ · แจ้งเตือน · ทำรายงาน
วิเคราะห์ · แจ้งเตือน · ทำรายงาน
Dashboard & Report
Alerts · Reports
หลักฐานพร้อมใช้งาน
หลักฐานพร้อมใช้งาน
Phase 1 ใช้ log จากของเดิมเป็นหลัก — เพิ่ม Collector / Dashboard เพื่อทำให้ข้อมูลพร้อมใช้ทันที
Output ExampleEGAT · VPN VISIBILITY
ตัวอย่างคำตอบที่เห็นบน Dashboard
| โจทย์ | ชั้น | คำตอบที่ได้ |
|---|---|---|
| ใครใช้งานอยู่ / เมื่อไหร่ | L0 | somchai → 10.8.0.23 · 09:12 |
| เข้าเว็บหรือโดเมนอะไร | L2 | youtube.com · facebook.com |
| ใช้แอปพลิเคชันอะไร | L2 | Zoom · BitTorrent |
| ส่งข้อมูลไปปลายทางไหน / เท่าไร | L1 | → x.x.x.x:443 · 1.2 GB |
| มีสัญญาณเสี่ยงหรือไม่ | L3+L4 | Suricata alert: C2 beacon |
| ใครใช้ bandwidth สูง (add-on) | L1 | top-talker · bottleneck |
Key AdvantageEGAT · VPN VISIBILITY
เห็นเว็บและแอปได้ โดย ไม่ต้อง decrypt และ ไม่แตะเครื่องผู้ใช้
METHOD 01
DNS Log
ระบุโดเมนที่ผู้ใช้เรียกผ่าน resolver กลางขององค์กร
dns ▸ youtube.com
METHOD 02
TLS-SNI
เห็นชื่อเซิร์ฟเวอร์ปลายทางจาก TLS handshake โดยไม่อ่านเนื้อหา
sni ▸ api.line.me
METHOD 03
App-ID / DPI
จำแนกแอปจาก signature ของ traffic บน NGFW / nDPI
app ▸ Zoom · BitTorrent
ขอบเขตที่ตั้งใจไม่ทำ: ไม่อ่าน URL/path และ payload ภายใน HTTPS เว้นแต่อนาคตจะเลือกทำ SSL decryption พร้อมนโยบายและ cert management
USE CASE 1 / 3EGAT · VPN VISIBILITY
ลดความเสี่ยง ข้อมูลลับรั่วไหล
somchai
อัปโหลดไฟล์ผิดปกติ 5 GB
VPN Concentrator
จับสัญญาณ
ระบบเห็นทันที
ปริมาณผิดปกติ + ระบุตัวตน
แจ้งเตือนก่อนเสียหาย
หลักฐานครบ
upload 5 GB ▸ file-share ต่างประเทศ
✓ ลดโอกาส ข้อมูลสำคัญหลุดออกนอกองค์กร
USE CASE 2 / 3EGAT · VPN VISIBILITY
จับบัญชี VPN ที่ถูกขโมย ก่อนลุกลาม
บัญชี somchai
login นอก pattern / นอกเวลา
VPN Concentrator
จับสัญญาณ
ระบบเทียบพฤติกรรม
ไม่เหมือนการใช้งานปกติ
แจ้งเตือน + ระงับบัญชี
กันบุกรุก
login 03:14 ▸ scan resource ภายใน
✓ ลดโอกาส ransomware / lateral movement จากช่องทาง VPN
USE CASE 3 / 3EGAT · VPN VISIBILITY
พร้อมตอบ Audit ด้วย หลักฐานครบต่อผู้ใช้
ผู้ใช้ Remote ทุกคน
การใช้งานประจำวัน
VPN Concentrator
เก็บกิจกรรม
User Timeline
เว็บ/แอป ต่อผู้ใช้ · เวลา
สร้างรายงานได้ทันที
ตอบผู้ตรวจ
report ▸ user · web/app · timeline · ย้อนหลังครบ
✓ เพิ่มความพร้อมด้าน Compliance ด้วยนโยบายและ retention ที่ชัดเจน
Product ViewEGAT · VPN VISIBILITY
แดชบอร์ดเดียวสำหรับ ผู้ใช้ · เว็บ · แอป · Alert
https://vpn-visibility.egat.local / dashboard
EGAT VPN Visibility
OverviewUsersAlertsReports
LIVE
ACTIVE VPN USERS
142
SESSIONS TODAY
1,284
DATA (24H)
2.4 TB
ALERTS
3
เว็บยอดนิยม
youtube.com18%
microsoft.com14%
facebook.com11%
drive.google.com8%
แอปยอดนิยม
Microsoft 36522%
Zoom17%
Chrome12%
BitTorrent5%
Alert ที่ต้องจัดการ
Large upload — somchai ส่งออก 5 GB
09:14 · L1 Flow
C2 beacon — pakorn → domain อันตราย
08:51 · L3 Suricata
Off-hours login — wichai 03:14
03:14 · L0 Identity
User Timeline ล่าสุด
| ผู้ใช้ | IP | เว็บ/แอปเด่น | ข้อมูล | สถานะ |
|---|---|---|---|---|
| somchai | 10.8.0.23 | file-share ต่างประเทศ | 5.1 GB | ALERT |
| nida | 10.8.0.41 | Microsoft 365 · Zoom | 820 MB | ปกติ |
| anan | 10.8.0.77 | YouTube · Chrome | 1.2 GB | ปกติ |
Business ValueEGAT · VPN VISIBILITY
คุ้มค่า: Security เห็นเร็ว, IT ทำงานไว, ผู้บริหารลดความเสี่ยง
Security
ตรวจพบ insider / threat เร็วขึ้น พร้อม alert อัตโนมัติ
Network / IT
เห็น top-talker, bottleneck และ capacity จากข้อมูลจริง
ผู้บริหาร
มีมุมมองความเสี่ยงและการใช้งาน VPN ที่ตัดสินใจได้
Audit / Compliance
มีหลักฐานย้อนหลังพร้อมตอบผู้ตรวจ
100%
remote session ที่ผ่าน VPN มี owner
~0
ฮาร์ดแวร์เพิ่มใน Phase 1 หาก NGFW/DNS/SIEM พร้อม
นาที
ค้น timeline ต่อ user แทนการไล่ log หลายวัน
* ตัวเลขเชิงเป้าหมาย / ตัวอย่าง — ปรับเป็นค่าจริงของ EGAT ได้
Vendor AgnosticEGAT · VPN VISIBILITY
ใช้ได้กับของที่มี: ไม่ล็อกยี่ห้อ ไม่เริ่มจากศูนย์
| ชั้น | Cisco | Fortinet | Palo Alto | Huawei | Open-source |
|---|---|---|---|---|---|
| L0 | ASA/FTD + ISE | SSL-VPN + FortiAuth | GlobalProtect + User-ID | USG + RADIUS | FreeRADIUS |
| L1 | ASA NSEL | NetFlow/sFlow | NetFlow v9 | NetStream | softflowd→nfdump |
| L2 | FTD App+URL | App Control + Filter | App-ID + URL + DNS | USG SA + URL | nDPI + Zeek + Pi-hole |
| L3 | Secure Net Analytics | FortiNDR | Cortex | HiSec Insight | Zeek+Suricata+Arkime |
| L4 | FMC + SNA | FortiAnalyzer | Panorama + Strata | HiSec Insight | Elastic / Wazuh / Splunk |
ถ้ามี NGFW / DNS / VPN log อยู่แล้ว Phase 1 เน้นเปิด log, normalize และทำ dashboard ให้พร้อมใช้
Rollout PlanEGAT · VPN VISIBILITY
เริ่มเห็นผลเร็วใน Phase 1 แล้วเพิ่มความลึก ตามความเสี่ยง
PHASE 1 · NOW
Baseline Visibility
L0 · L1 · L2 · L4
- ยืนยัน data source ที่มี
- เปิด VPN AAA/RADIUS, DNS, App/URL, NetFlow
- ส่งเข้า SIEM / Collector
- ขึ้น Dashboard + Alert + Report ชุดแรก
PHASE 2 · NEXT
Security Depth
L3
- ติด TAP/SPAN หลัง concentrator
- เพิ่ม Zeek + Suricata + Arkime สำหรับ forensic
- ทำ NDR use case และ evidence workflow
- เชื่อม alert เข้า SIEM เดิม
FUTURE · OPTION
Cloud Zero-Trust
SASE
- ขยาย visibility นอก VPN ด้วย SASE / ZTNA
- บังคับ policy ต่อ user และ device
- rollout ผ่าน MDM สำหรับเครื่ององค์กร
Success ConditionsEGAT · VPN VISIBILITY
พูดตรง ๆ: มีเงื่อนไขที่ต้อง ล็อกให้ชัด
Split-tunnel
ถ้า web traffic ไม่ผ่าน VPN จุดดักจะไม่เห็น
ใช้ full-tunnel / บังคับเว็บผ่าน VPN / หรือ SASE
Encrypted DNS (DoH/DoT)
ถ้า client ใช้ DNS ภายนอก visibility ระดับโดเมนจะหาย
บล็อก DoH ภายนอก + บังคับ resolver กลาง
Privacy / กฎหมาย
การมองเห็นต่อผู้ใช้ต้องมีกรอบนโยบายชัดเจน
กำหนด acceptable-use + แจ้ง user + คุม retention
NTP + RADIUS accounting
เวลาและ accounting คือหัวใจของการผูก user↔IP
เปิด accounting + sync NTP ทุกอุปกรณ์
DecisionEGAT · VPN VISIBILITY
ข้อเสนอ: เริ่ม Phase 1 เพื่อปิด จุดบอด Remote VPN
- ✓ เห็น per-user domain/app/flow จาก dashboard เดียว
- ✓ ใช้ log และอุปกรณ์เดิมเป็นหลัก เริ่มเร็ว คุมงบ
- ✓ ไม่ decrypt และไม่ติด agent ที่เครื่องผู้ใช้ใน scope แรก
- ✓ รองรับหลาย vendor และขยายเป็น Phase 2 / SASE ได้
NEXT STEPS
- ยืนยันอุปกรณ์ VPN / NGFW และ tunnel mode
- เปิดหรือดึง log ตัวอย่าง 7 วัน
- ทำ Phase 1 dashboard + alert pilot
เริ่มเล็ก · เห็นผลเร็ว · ขยายได้ — พร้อมใช้เป็นฐานของ Security, Audit และ Network Operations
ขอบคุณครับพร้อมเริ่ม Phase 1 Pilot · 2026