Защита и операции
MDR (управляемое обнаружение и реагирование)
Также известно как: Управляемый SOC
Определение
Управляемая услуга, при которой внешний поставщик обеспечивает обнаружение угроз, threat hunting и реагирование на инциденты от имени заказчика, обычно используя телеметрию EDR/XDR и SIEM.
Примеры
- MDR-провайдер изолирует скомпрометированный ноутбук и сбрасывает учётные данные в течение 20 минут после обнаружения маяка Cobalt Strike.
- Средний ритейлер передаёт 24x7-обнаружение EDR-оповещений Sophos MDR, а его ИТ-команда занимается восстановлением.
Связанные термины
Центр обеспечения безопасности (SOC)
Централизованная команда и площадка, осуществляющая непрерывный мониторинг, обнаружение, расследование и реагирование на инциденты кибербезопасности во всей ИТ-инфраструктуре организации.
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
XDR (расширенное обнаружение и реагирование)
Платформа безопасности, объединяющая телеметрию с конечных точек, сети, систем идентификации, почты и облака, чтобы давать коррелированные обнаружения и единые действия по реагированию.
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
Threat Hunting
Threat Hunting — definition coming soon.