MDR 与 SIEM：区别何在？

MDR（托管检测和响应）和SIEM（安全信息和事件管理）是当今最流行的网络安全解决方案之一。因此，人们经常对它们各自的功能和优势进行比较和评估。

虽然二者都对确保组织的关键任务数据和敏感客户信息的安全至关重要，但它们的范围、功能和方法却各不相同。

什么是 SIEM？

SIEM 是一个集中式平台，旨在收集和分析企业网络内多个来源的安全相关数据。这些数据包括来自防火墙、服务器和其他网络设备（包括应用程序和数据库）的日志。SIEM 系统使用这些数据来识别安全事件和事故，然后根据事件的严重程度对其进行分类和优先级排序。

SIEM 解决方案可提供整个网络的可见性，并识别可能表明潜在漏洞的异常情况。企业还可以利用它们生成报告和警报，展示其安全态势，从而满足合规要求。

MDR 是一种全面的外包网络安全服务，旨在提供一种更加积极主动的安全方法。这些解决方案通常包括一个由安全分析师和专家组成的团队，他们实时监控组织的网络，寻找潜在威胁的迹象。MDR 提供商将技术与人力专业知识相结合，能够快速检测和应对威胁，通常在威胁造成重大损失之前就能采取应对措施。

MDR 服务和解决方案侧重于检测和应对未知威胁，包括零日攻击和其他传统安全解决方案可能无法检测到的高级威胁。这些服务和解决方案包括威胁检测、网络威胁情报、威胁响应、端点解决方案、技术堆栈和云监控工具。

MDR 提供商通常还提供事件响应服务，帮助企业快速控制和修复安全事件。

MDR 解决方案采用各种工具（可能包括 SIEM）来有效监控和识别威胁。将这些网络安全解决方案结合起来，可以实现强大而主动的安全方法；通过将收集和分析多种来源数据的 SIEM 系统集成到 MDR 解决方案中，可以增强其威胁检测能力。

虽然 SIEM 和 MDR 解决方案都旨在改善组织的安全态势，监控、检测和应对威胁，但两者之间存在一些关键区别。

重点： SIEM 解决方案通常监控已知威胁并识别异常情况，而 MDR 解决方案更侧重于检测和应对未知威胁

技术与人的专长： SIEM 解决方案主要依靠硬件和软件来检测和分析安全事件，而 MDR 是一种外包解决方案，它依靠技术、流程和人力专业知识的结合。

被动与主动：SIEM 依靠组织的事件响应能力收集数据并分析日志以生成警报，而 MDR 则提供主动的威胁捕猎和检测功能。

成本： IDG 的一份报告发现，企业每年大约要支付 60.7 万美元来管理内部 SIEM 解决方案，由于 SIEM 环境的规模和复杂性，其成本通常高于 MDR 解决方案。对于没有复杂环境或内部安全运营中心（SOC）的企业来说，MDR 是更实用、更经济的选择。

在 SIEM 和 MDR 解决方案之间做出选择，取决于企业的具体安全需求和预算。例如，主要关注满足合规性要求的组织可能会发现 SIEM 解决方案已经足够。但是，更关注检测和应对高级威胁的组织可能会发现 MDR 解决方案更适合自己。

最终，最好的方法可能是将两种解决方案结合起来，使用 SIEM 解决方案进行合规性和监控已知威胁，同时利用 MDR 解决方案进行更主动的威胁检测和事件响应。

CylanceMDR^™提供全天候检测和保护。我们的团队由世界一流的专家组成，我们的平台采用首创的Cylance^®AI 技术，通过专有的威胁情报增强威胁保护。提供 100 万美元的担保。