MTTD (tiempo medio de detección)
¿Qué es MTTD (tiempo medio de detección)?
MTTD (tiempo medio de detección)Tiempo medio transcurrido entre el inicio de un incidente de seguridad y el momento en que los defensores lo identifican.
El MTTD mide la rapidez con la que un equipo de seguridad percibe una actividad maliciosa, normalmente desde el compromiso inicial hasta la primera alerta validada en el SIEM, SOAR o sistema de tickets. Es uno de los KPI principales de la eficacia del SOC y está muy ligado a la cobertura de telemetría, la ingeniería de detección y los flujos de triage. Un MTTD más bajo limita el tiempo de permanencia, reduce el radio de impacto y mejora la contención. Los puntos de referencia varían por sector y madurez; los equipos avanzados suelen medir el MTTD por técnica del MITRE ATT&CK en lugar de un único valor global.
● Ejemplos
- 01
Pasar de un MTTD de 200 días a 4 horas tras desplegar EDR y detecciones basadas en logs.
- 02
Reportar el MTTD semanal para técnicas de ransomware dentro de las métricas del SOC.
● Preguntas frecuentes
¿Qué es MTTD (tiempo medio de detección)?
Tiempo medio transcurrido entre el inicio de un incidente de seguridad y el momento en que los defensores lo identifican. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa MTTD (tiempo medio de detección)?
Tiempo medio transcurrido entre el inicio de un incidente de seguridad y el momento en que los defensores lo identifican.
¿Cómo defenderse de MTTD (tiempo medio de detección)?
Las defensas contra MTTD (tiempo medio de detección) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para MTTD (tiempo medio de detección)?
Nombres alternativos comunes: Tiempo de detección.