MDR (управляемое обнаружение и реагирование)
Что такое MDR (управляемое обнаружение и реагирование)?
MDR (управляемое обнаружение и реагирование)Управляемая услуга, при которой внешний поставщик обеспечивает обнаружение угроз, threat hunting и реагирование на инциденты от имени заказчика, обычно используя телеметрию EDR/XDR и SIEM.
Managed Detection and Response (MDR) — это подписочная услуга, предоставляемая SOC-провайдером в режиме 24x7, которая объединяет технологии (EDR, XDR, SIEM, NDR) с людьми: аналитиками, охотниками за угрозами и инженерами реагирования. Заказчик передаёт телеметрию поставщику, который сортирует оповещения, подтверждает инциденты, выполняет действия по локализации (изоляция хостов, отключение учётных записей) и координирует устранение согласно SLA. MDR хорошо подходит организациям без собственного SOC и тем, кому нужна follow-the-sun-поддержка; ответственность за управление рисками и восстановление остаётся за заказчиком. Среди известных поставщиков: CrowdStrike Falcon Complete, Sophos MDR, Arctic Wolf и Red Canary.
● Примеры
- 01
MDR-провайдер изолирует скомпрометированный ноутбук и сбрасывает учётные данные в течение 20 минут после обнаружения маяка Cobalt Strike.
- 02
Средний ритейлер передаёт 24x7-обнаружение EDR-оповещений Sophos MDR, а его ИТ-команда занимается восстановлением.
● Частые вопросы
Что такое MDR (управляемое обнаружение и реагирование)?
Управляемая услуга, при которой внешний поставщик обеспечивает обнаружение угроз, threat hunting и реагирование на инциденты от имени заказчика, обычно используя телеметрию EDR/XDR и SIEM. Относится к категории Защита и операции в кибербезопасности.
Что означает MDR (управляемое обнаружение и реагирование)?
Управляемая услуга, при которой внешний поставщик обеспечивает обнаружение угроз, threat hunting и реагирование на инциденты от имени заказчика, обычно используя телеметрию EDR/XDR и SIEM.
Как защититься от MDR (управляемое обнаружение и реагирование)?
Защита от MDR (управляемое обнаружение и реагирование) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия MDR (управляемое обнаружение и реагирование)?
Распространённые альтернативные названия: Управляемый SOC.