什么是托管检测和响应?
托管检测和响应的优势
MDR 的主要优点是
- 接触经验丰富的安全运营中心 (SOC) 分析师,弥补内部技能差距
- 改进事件管理、事件响应和补救流程
- 主动式威胁检测和威胁猎取
- 更好的风险管理和脆弱性管理
- 更有效的警报和通知分流
- 改善员工和客户的安全和风险状况
- 与传统 EDR 相比,总体拥有成本更低
全球范围内持续存在的网络安全技能短缺问题看不到尽头。面对日益复杂、有组织、资金雄厚的网络犯罪分子所构成的威胁环境,SOC 团队仍在努力以更少的资源完成更多的工作。IT 人员疲惫不堪,工作过度,不堪重负。
MDR 旨在将企业与网络安全专家团队联系起来,大大减轻内部安全团队的负担。通过让企业弥补其安全基础设施和专业知识方面的差距,MDR 有助于解决网络安全人才缺口问题。有了 MDR,企业可以实施成熟、有效的安全计划,其中包括网络安全和网络复原力。
更多 MDR 福利:
- 将检测、修复和管理整合到一个仪表板中
- 大大缩短检测和应对威胁的时间
- 释放内部资源,专注于其他关键任务流程
- 简化合规性和报告
- 提供深入的安全和威胁防范专业知识
托管检测和响应功能
根据 Gartner 的《MDR 服务市场指南》,MDR 产品的核心功能包括
- 由服务提供商拥有和管理的技术堆栈,可实现实时威胁监控、检测和调查,以及主动缓解和响应
- 每天处理客户数据的专家级员工
- 安全程序、工作流程管理和分析的标准化手册
- 远程缓解、调查和遏制
- 集中检测、缓解和报告功能
- 安全服务提供商完全掌握检测、识别和验证威胁的方法
- 缩短检测与缓解之间的时间
- 在多个安全层生成和收集安全日志数据和警报
- 手动和自动缓解程序相结合,包括账户锁定、主机隔离和网络封锁
其他 MDR 功能包括
- 24x7x365 全天候威胁监控、检测和响应
- 人工智能驱动的端点保护
- 事件/活动管理和响应
- 曝光、通知和合规管理
- 预先授权并可定制的分析师互动和干预措施
- 高级协调
- 量身定制的分流和过滤方法
- 有组织、有背景的遥测
Gartner 还指出,MDR 服务正在扩展到传统 EDR 以外的技术和覆盖范围,如Managed XDR 所述。
托管检测和响应如何工作
鉴于 MDR 只是在 EDR 基础上分层的托管服务框架,因此 MDR 的作用与 EDR 基本相同。MDR 可防止和保护组织的网络免受网络威胁,提供 EDR 和 EPP 的基本功能,以及充分使用该功能所需的指导和专业知识。这种指导可以有多种形式,但通常包括以下一种或多种:
- 红队和攻击模拟
- 渗透测试
- 战略风险管理
- 事件报告、响应和取证
- 折衷方案评估
检测和响应托管服务用例
增强组织的 SOC
许多 SOC 难以满足网络安全需求:
- SIEM 配置是一场后勤噩梦。
- 他们被来自四面八方的通知淹没了。
- 能见度充其量是模糊的。
MDR 可为这些安全团队提供帮助,并提供服务提供商的专业知识和一套强大的安全工具。
担任远程 SOC
要描述 MDR 和托管 XDR 之间的关系,最好的办法是将其与扩展检测和响应 (XDR)和 EDR 之间的关系进行比较。XDR 是 EDR 的升级版,而托管 XDR 也是 MDR 的升级版。
XDR 扩展了企业的 EDR 功能,同时增加了高级威胁情报以及网络、服务器、云和应用程序层面的保护功能。同样,托管 XDR 通过添加 XDR 功能增强了 MDR 框架。
常见问题
什么是 MDR?
托管检测和响应(MDR)是一个框架,通过该框架,EDR 解决方案可作为托管服务交付,并提供全天候监控和专家指导。
MDR 和托管 XDR 有什么区别?
托管 XDR 也称为 MXDR,是 MDR 的升级版。托管 XDR 提供 MDR 的所有特性和功能,同时还引入了新的安全保护措施和增强的威胁情报。
MDR 与专业Cybersecurity Services 相同吗?
虽然 MDR 本身也是一种托管服务,但与典型的托管安全服务提供商 (MSSP) 相比,MDR 提供商采取了更深入的方法。通过 MDR,安全专业人员全天候直接与客户组织接触。因此,MDR 解决方案和 MSSP 产品经常互为补充。
为什么 MDR 很重要?
企业面临着不断扩大的攻击面和更加复杂的网络威胁,但其安全团队和预算却跟不上。MDR 提供了一种解决方案,即利用顶级网络安全专业知识和技术的经济高效的方法。
