Entry № 739
MTTD(平均检测时间)
MTTD(平均检测时间) 是什么?
MTTD(平均检测时间)从安全事件发生到防御方识别该事件之间的平均经过时间。
MTTD 衡量安全团队识别恶意活动的速度,通常以从初始入侵到 SIEM、SOAR 或工单系统中产生首条经过验证的告警为止的时间来计算。它是衡量 SOC 运营效率的核心指标之一,与遥测覆盖率、检测工程能力以及分析师的分诊流程密切相关。MTTD 越低,攻击者的驻留时间越短,影响范围越小,遏制效果也越好。该指标在不同行业和成熟度间差异较大,成熟团队通常根据 MITRE ATT&CK 的攻击技术分别跟踪 MTTD,而不是仅看单一总值。
● 示例
- 01
通过部署 EDR 与基于日志的检测,将 MTTD 从 200 天降到 4 小时。
- 02
在 SOC 指标中按周汇报针对勒索软件相关技术的 MTTD。
● 常见问题
MTTD(平均检测时间) 是什么?
从安全事件发生到防御方识别该事件之间的平均经过时间。 它属于网络安全的 防御与运营 分类。
MTTD(平均检测时间) 是什么意思?
从安全事件发生到防御方识别该事件之间的平均经过时间。
如何防御 MTTD(平均检测时间)?
针对 MTTD(平均检测时间) 的防御通常结合技术控制与运营实践,详见上方完整定义。
MTTD(平均检测时间) 还有哪些其他名称?
常见的别称包括: 检测耗时, 检测时间。