防御与运营
MDR(托管检测与响应)
定义
由外部供应商代为客户运营检测、威胁狩猎与事件响应的托管服务,通常基于 EDR/XDR 与 SIEM 遥测数据。
托管检测与响应(MDR)是一种 7x24 SOC 提供商交付的订阅式服务,将技术(EDR、XDR、SIEM、NDR)与人工分析师、威胁猎人和事件响应工程师相结合。客户将遥测数据传输至供应商,后者负责告警分流、事件确认、执行遏制动作(主机隔离、账号停用),并按既定 SLA 协调修复工作。MDR 特别适合缺乏自建 SOC 能力或需要全球轮班覆盖的组织;客户仍需承担治理、风险接受和恢复职责。常见供应商包括 CrowdStrike Falcon Complete、Sophos MDR、Arctic Wolf 和 Red Canary。
示例
- MDR 提供商在检测到 Cobalt Strike 心跳后 20 分钟内隔离受感染笔记本并重置凭据。
- 一家中型零售商将 EDR 告警的 7x24 检测外包给 Sophos MDR,自身 IT 团队负责系统恢复。
相关术语
安全运营中心(SOC)
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
XDR(扩展检测与响应)
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
Threat Hunting
Threat Hunting — definition coming soon.