Что такое служба Managed Detection and Response (MDR)

MDR (Managed Detection and Response, «управляемое обнаружение и реагирование») — это аутсорсинговая услуга, которая помогает аналитикам SOC отслеживать киберугрозы и реагировать на них. Основными технологиями службы являются решение для расширенного обнаружения и реагирования (XDR) и решение для сбора и автоматического анализа информации о событиях безопасности (SIEM).

MDR — это необходимость

Чтобы противостоять все более изощренным кибератакам, требуются как превентивные меры, так и способность быстро выявлять угрозы и реагировать на них сразу же после появления. Центам SOC (Security Operation Centers) необходимо расширить возможности мониторинга сетей, анализа журналов событий, а также оперативного блокирования кибератак и устранения последствий инцидентов.

Поскольку обнаружение и реагирование на кибератаки требует специальных навыков и бдительности круглые сутки, многие компании предпочитают доверить эти сервисы сторонним экспертам по ИБ. Этот класс сервисов называется управляемое обнаружение и реагирование (MDR).

MDR охватывает ряд сфер. Одни провайдеры уделяют основное внимание мониторингу известных угроз, таких как вредоносное ПО или несанкционированный доступ; другие занимаются ATP-атаками, которые эксплуатируют легитимные инструменты. Передав на аутсорсинг обнаружение и первоначальное реагирование, сотрудники организации могут сосредоточиться на более приоритетных задачах, например пересмотре политик безопасности после инцидента.

MDR и MSS

MSS (Managed Security Services, «управляемые сервисы безопасности») часто сравнивают с MDR. Можно заметить, что в основном MDR специализируется на обнаружении угроз и оперативном реагировании на них. В свою очередь, MSS часто фокусируется на мониторинге продуктов безопасности и обслуживании аппаратного обеспечения.

MDR и MXDR

Хотя большинство сервисов MDR фокусируется на EDR, существует другой тип сервисов — Managed NDR (MNDR), предназначенных для обнаружения и реагирования на уровне сети (NDR). MNDR отличается тем, что обнаруживает угрозы и реагирует на инциденты на основе данных телеметрии и журналов событий в сети.

Недавно также появилась технология MXDR (Managed XDR), основным сервисом которой является XDR (Extend Detection and Response). С точки зрения обнаружения и реагирования, чем шире покрытие сенсорами, тем богаче данные телеметрии и тем успешнее идет обнаружение угроз.

Статьи по теме