Entry № 737
MDR(托管检测与响应)
MDR(托管检测与响应) 是什么?
MDR(托管检测与响应)由外部供应商代为客户运营检测、威胁狩猎与事件响应的托管服务,通常基于 EDR/XDR 与 SIEM 遥测数据。
托管检测与响应(MDR)是一种 7x24 SOC 提供商交付的订阅式服务,将技术(EDR、XDR、SIEM、NDR)与人工分析师、威胁猎人和事件响应工程师相结合。客户将遥测数据传输至供应商,后者负责告警分流、事件确认、执行遏制动作(主机隔离、账号停用),并按既定 SLA 协调修复工作。MDR 特别适合缺乏自建 SOC 能力或需要全球轮班覆盖的组织;客户仍需承担治理、风险接受和恢复职责。常见供应商包括 CrowdStrike Falcon Complete、Sophos MDR、Arctic Wolf 和 Red Canary。
● 示例
- 01
MDR 提供商在检测到 Cobalt Strike 心跳后 20 分钟内隔离受感染笔记本并重置凭据。
- 02
一家中型零售商将 EDR 告警的 7x24 检测外包给 Sophos MDR,自身 IT 团队负责系统恢复。
● 常见问题
MDR(托管检测与响应) 是什么?
由外部供应商代为客户运营检测、威胁狩猎与事件响应的托管服务,通常基于 EDR/XDR 与 SIEM 遥测数据。 它属于网络安全的 防御与运营 分类。
MDR(托管检测与响应) 是什么意思?
由外部供应商代为客户运营检测、威胁狩猎与事件响应的托管服务,通常基于 EDR/XDR 与 SIEM 遥测数据。
如何防御 MDR(托管检测与响应)?
针对 MDR(托管检测与响应) 的防御通常结合技术控制与运营实践,详见上方完整定义。