MTTD (среднее время обнаружения)
Что такое MTTD (среднее время обнаружения)?
MTTD (среднее время обнаружения)Среднее время, прошедшее от начала инцидента безопасности до момента, когда защитники его распознают.
MTTD показывает, как быстро служба безопасности замечает вредоносную активность — обычно от первоначальной компрометации до первого подтверждённого оповещения в SIEM, SOAR или системе тикетов. Это один из ключевых KPI эффективности SOC, тесно связанный с покрытием телеметрии, инженерией обнаружения и процессами триажа аналитиков. Снижение MTTD сокращает время присутствия атакующего, уменьшает радиус поражения и повышает успешность сдерживания. Бенчмарки сильно различаются по отраслям и зрелости; зрелые команды отслеживают MTTD по техникам MITRE ATT&CK, а не единым значением.
● Примеры
- 01
Снижение MTTD с 200 дней до 4 часов после внедрения EDR и логовой детекции.
- 02
Еженедельный отчёт SOC по MTTD для техник, связанных с программами-вымогателями.
● Частые вопросы
Что такое MTTD (среднее время обнаружения)?
Среднее время, прошедшее от начала инцидента безопасности до момента, когда защитники его распознают. Относится к категории Защита и операции в кибербезопасности.
Что означает MTTD (среднее время обнаружения)?
Среднее время, прошедшее от начала инцидента безопасности до момента, когда защитники его распознают.
Как защититься от MTTD (среднее время обнаружения)?
Защита от MTTD (среднее время обнаружения) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия MTTD (среднее время обнаружения)?
Распространённые альтернативные названия: Время до обнаружения, Среднее время детекта.