托管检测和响应已成为寻求增强其安全策略的公司越来越流行的工具。然而,MDR有许多不同的类型,部分取决于所需的适当响应级别。MDR和4个堆栈选择MDR服务时首先要做出的重大决定之一是您是希望供应商提供产品堆栈还是更愿意使用您自己的MDR堆栈。有四种主要方法可供考虑。BringYourOwnStack(BYOS):在BYOS模型中,您知道自己想要什么产品,或者在监管要求的情况下,需要什么产品,并且您正在寻找可以完全在您自己的堆栈MDR提供商上运行的产品。这种方法受到已经部署了他们喜欢的产品的公司以及必须使用特定工具进行监管或其他监督目的的实体的欢迎;由供应商提供:MDR供应商使用来自知名且受信任的供应商供应商软件的资源,然后为您实施和管理它。对于没有一套工具或希望改变堆栈的公司来说,这是一个很好的选择;供应商构建:这是一种常见模式,供应商将MDR置于其自己的工具之上。这种方法通常会为所用产品之间的集成带来最佳回报,因为它们都来自同一供应商。但是,如果您的组织想要更改产品或服务提供商,这也可能导致严格锁定;混合:此选项混合了两种模型的优点。许多公司选择能够支持内置/提供的MDR软件的适当平衡的供应商。MDR服务选择标准一旦您确定了最佳堆栈模型,就该考虑您需要的MDR服务了。为此,首先要重新审视您聘用MDR提供商的目标。以下是一些最常见原因的简短列表。这是添加您自己的独特要求的一个很好的起点。现有团队扩展:对于较小的公司,扩展可能意味着建立一个安全团队。但即使是大公司也出于多种原因采用MDR,包括在雇用人员跟不上时的保证,以及在评估警报和寻找妥协指标(IOC)时充当第二双眼睛;主动威胁搜寻:大多数安全运营中心(SOC)分析师跟踪警报和IOC,根据定义,这两者都是被动的。如果您想更加主动,但又不具备专业知识,请查看MDR供应商的威胁搜寻技能,以及他们发现攻击迹象的能力。集成威胁情报:拥有丰富的威胁情报源,但没有时间使用它们?MDR供应商可以通过提供与您的组织和网络相关的汇总和策划的威胁情报源来提供帮助。许多供应商在其产品中提供全面的威胁情报,以使端点保护代理对未知攻击做出更快的响应。警报源的关联:如果您的部分问题是SOC中的传感器和警报源太多,并且无法将它们联系在一起,那么可以收集和关联的供应商可能适合您。只需确保供应商熟悉您的组织正在使用的产品,并具有连接器以将适当的信号引入其仪表板或控制台。随处工作端点可见性:如果掌握您的端点是您的首要任务,请寻找专门从事端点的供应商。不要忘记确保它们覆盖您的端点,包括笔记本电脑、电话和服务器。大多数供应商在笔记本电脑上覆盖Windows,在移动设备上覆盖iOS/Android,但如果您是Mac或Unix商店,请不要忘记确保它们也被覆盖。补救和响应:MDR中的“R”是采用MDR的主要驱动力之一。确定您希望补救措施的侵入程度,并确保您的提供商能够达到您需要的水平。对MDR服务作出正确的判断有了堆栈、目标和服务问题的答案后,您可以构建您的建议书(RFP)并联系供应商。即使您不想进行正式的征集,也请务必写下您想要的内容,因为这将在两个重要方面有所帮助。首先,它将帮助提供商响应您的特定请求,而不是遵循可能与您的情况无关的模板响应。其次,供应商推销开始后,征求建议书将帮助您评估响应并确定最佳供应商。无论您的公司规模大小,找到合适的MDR合作伙伴都有助于提高组织弹性、缩短响应时间并让您的公司更加安全。
