概览
托管检测与响应(MDR)是一项全托管的网络安全服务,旨在持续检测、调查并响应终端、身份、云环境和网络上的威胁。与仅生成通知、将分诊工作留给您团队的传统监控或纯告警服务不同,MDR 将先进的检测技术与经验丰富的分析师相结合,由分析师验证威胁、调查可疑活动,并代表您采取行动遏制攻击。
方法论与标准
我们的服务以 NIST Cybersecurity Framework 2.0(Detect 和 Respond)为基础,以 MITRE ATT&CK 用于检测覆盖和威胁狩猎假设,并以 NIST SP 800-61 Rev 3 用于事件响应生命周期。检测内容依据检测工程最佳实践和持续威胁狩猎方法开发,而分析师的调查则由结构化的威胁情报生命周期予以增强。
包含内容
7x24 SOC 监控,由分析师驱动的告警分诊和验证
在您环境中的主动威胁狩猎和行为分析
终端检测与响应(EDR/XDR)的管理和调优
对工作负载和身份的云及 SaaS 安全监控
针对账户失陷和权限滥用的身份威胁检测
检测工程和持续规则调优,以减少误报
您将获得
了解您环境的专属 MDR 分析师
针对您业务定制的事件响应剧本
明确的升级流程和通知链
面向不同受众的管理层报告和技术报告
定期的威胁狩猎总结和结果
映射到 MITRE ATT&CK 的检测覆盖审查
行业标准高管报告整改指导包含复测鉴证函杜绝扫描器堆砌7×24 小时 SOC 覆盖威胁狩猎托管遏制事件调查SLA 保障响应检测工程
常见问题
需要。MDR 是运用检测工具的专家服务。我们可以部署并管理 EDR/XDR 传感器,或在您已有的 EDR 之上运行 MDR,这样您就不必重复付费。
我们会进行遏制。在商定的授权范围内,我们的分析师会实时隔离主机、禁用账户并封禁指标,随后向您提交清晰的修复报告。仅发告警属于 MSSP 模式,而非 MDR。
响应时间由商定的服务等级决定。关键威胁会立即升级给分析师进行调查和遏制行动。
可以。MDR 可提供对云工作负载、身份、终端和混合基础设施环境的可见性。