Manageddetectionandresponse是越来越受软件和服务提供商欢迎的产品。随着部署率的增加,此类产品的种类也在增加。除了MDR,现在还有MEDR、MNDR和MXDR。让我们看看这些托管选项之间的区别,并探索哪些公司更适合哪种类型的MDR安全服务。定义托管检测和响应在最高级别,MDR是MDR安全服务领域的总称。MDR吸引那些想要或需要外包部分网络安全计划的企业。虽然MDR产品可能包括软件自动化,但大多数都是人类专业知识和技术的结合。通常,MDR服务提供以下好处:威胁搜寻(检测)。安全专家在威胁成为真正的威胁之前积极寻找威胁。我们知道,与验证来自安全运营中心或SIEM的警报并调查警报根本原因的事件响应团队不同,威胁猎手会在警报发生之前寻找感染或攻击的迹象。威胁情报。收集、分析和传播有关威胁的信息,以帮助团队在攻击造成损害之前识别和响应攻击,或帮助尽快恢复正常。自动和手动响应。一旦检测到威胁,就必须采取措施消除它。与MDR服务本身一样,此响应可能基于人工干预或自动响应。通常,恶意软件清除或修补等任务是自动完成的,而更复杂的任务,例如端点攻击的取证评估,则需要人工干预。什么是MEDR、MNDR和MXDR?为了更好地理解MDR是什么,以下是3种最常见的相关服务:托管端点检测和响应(MEDR)。此服务的重点主要放在端点上。那些具有端点检测保护代理的供应商通常会扩展他们的产品以为其软件提供托管检测和响应。托管网络检测和响应(MNDR)。并非所有事件都发生在端点上。MNDR专注于网络基础设施,包括服务器、电子邮件、路由器和防火墙。产品包括本地、混合和全云MNDR。托管扩展检测和响应(MXDR)。想要为端点和网络部署检测和响应?或者将覆盖范围扩展到物联网设备或运营技术网络?这就是MXDR发挥作用的地方。威胁可以跨越端点和基础设施,服务通常包括对内部SOC活动的直接支持。哪种MDR服务适合您的公司?说到安全,几乎没有灵丹妙药。但是,在决定哪种服务最适合您的业务和需求时,您需要回答几个问题,包括以下内容:您的端点是否涵盖在内?远程工作和零信任架构突出了端点对整体安全态势的重要性。如果您没有强大的端点保护程序,MEDR是一个不错的选择。你的SOC怎么样?如果您已经拥有SOC但没有时间跟踪生成的所有警报,则可以选择MEDR、MNDR或MXDR进行增强。使用MDR增强您的SOC的好处之一是它可以扩展和增强您现有的团队。这些MDR服务非常重要,尤其是当安全团队看到警报但没有时间执行主动威胁搜寻时。你人手不足吗?如果您的企业无法支持全职安保人员,那么MXDR是最合适的选择。在这种情况下,MXDR团队将与您的内部或外包运营团队合作,不断寻找威胁、监控攻击并在必要时做出响应。
