何謂託管式偵測及回應?

託管式偵測及回應 (MDR) 是一種委外服務,能協助 SOC 監控及回應資安威脅。其核心技術是延伸式偵測及回應 (XDR ) 與資安事件管理 (SIEM)。

為何需要 MDR

要回應日益精密的網路攻擊,需同時具備防範措施以及快速發掘和回應威脅的能力。SOC (資安營運中心) 必須提升其監控網路、分析記錄檔,以及迅速解決網路攻擊和資安事件的能力。

由於偵測及回應網路攻擊需要特殊的技能以及全年 365 天 7 天 24 小時的警戒,許多企業都選擇將這項工作委託給資安專家來處理,這就是所謂的託管式偵測及回應 (MDR) 服務。

MDR 涵蓋了各種領域,有些供應商專注在監控已知威脅 (如惡意程式或未經授權的存取),有些供應商則專精於解決使用合法工具的進階針對性攻擊。藉由將偵測及第一時間的回應工作委外,企業自己的人員就能專注於更重要的工作,例如:事件發生後的政策檢討。

MDR 與 MSS

託管式資安服務 (MSS) 經常被拿來跟 MDR 相提並論,若仔細研究供應商近年來提供的服務走向,MDR 通常是以威脅偵測及回應為服務核心,MSS 則通常專注於資安產品的監控與硬體維護。

MDR 與 MXDR

雖然大部分的 MDR 服務都專注在 EDR,但還有另外一種類型的服務叫「託管式 NDR」(MNDR),其核心是網路偵測及回應 (NDR)。相較於 MDR 通常專注於 EDR,MNDR 不同之處在於它是根據網路監測資料與記錄檔來偵測及回應威脅。

近年來,MXDR (託管式 XDR) 也開始浮上檯面,其服務的核心就是 XDR (延伸式偵測及回應)。在偵測及回應的原理中,感測器涵蓋的範圍越大,其監測資料就越豐富,威脅偵測能力就越強。

相關文章