在軟件和服務供應商中，托管檢測和響應是越來越受歡迎的產(chǎn)品。隨著部署率增加，這類產(chǎn)品的種類也隨之增加。除MDR外，現(xiàn)在還有MEDR、MNDR和MXDR等。

下面讓我們看看這些托管選項之間的區(qū)別，并探討哪些公司更適合哪種MDR安全服務類型。

[[398229]]

定義托管檢測和響應

在最高層面，MDR是MDR安全服務領域的總稱。MDR吸引著那些想要或需要將部分網(wǎng)絡安全計劃外包的企業(yè)。雖然MDR產(chǎn)品可能包括軟件自動化，但大多數(shù)都是人類專業(yè)知識和技術的混合。

通常情況下，MDR服務提供以下優(yōu)勢：

• 威脅搜尋(檢測)。安全專家會主動搜尋威脅，在其構成真正威脅前。我們知道，事件響應團隊負責驗證安全運營中心或SIEM的警報，調查警報的根本原因，而與事件響應團隊不同，威脅搜尋者會在警報出現(xiàn)前，尋找感染或攻擊的跡象。
• 威脅情報。收集、分析和傳播有關威脅的信息，以幫助團隊在造成破壞前識別并響應攻擊，或者幫助盡快恢復正常。
• 自動和手動響應。在檢測到威脅后，就必須采取措施消除它。與MDR服務本身相同，這種響應可能基于人為干預或自動響應。通常，刪除惡意軟件或補丁修復等任務會自動進行，而更復雜的任務(例如對端點的攻擊進行取證評估)則需要人類干預。

什么是MEDR、MNDR和MXDR?

為了更好地了解什么是MDR，下面是3個最常見的相關服務：

• 托管端點檢測和響應(MEDR)。此服務的重點主要在端點。那些具有端點檢測保護代理的供應商通常會擴展其產(chǎn)品，為其軟件提供托管檢測和響應。
• 托管網(wǎng)絡檢測和響應(MNDR)。并非所有事件都發(fā)生在端點。MNDR專注于網(wǎng)絡基礎架構，包括服務器、電子郵件、路由器和防火墻。產(chǎn)品包括本地、混合和全云端MNDR。
• 托管擴展檢測和響應(MXDR)。是否想要為端點和網(wǎng)絡部署檢測和響應?還是將覆蓋范圍擴展到物聯(lián)網(wǎng)設備或運營技術網(wǎng)絡?這正是MXDR發(fā)揮作用的地方。威脅可能會橫跨端點和基礎架構，并且服務通常包括對內部SOC活動的直接支持。

哪種MDR服務適合你的公司?

在安全性方面，幾乎沒有萬能的解決方案。但是，在決定哪種服務最適合你的企業(yè)和需求時，你需要回答幾個問題，包括以下：

• 是否涵蓋你的端點?遠程工作和零信任架構突顯端點對企業(yè)整體安全狀況的重要性。如果你沒有強大的端點保護程序，MEDR是不錯的選擇。
• 你的SOC如何?如果你已經(jīng)有SOC，但又沒有時間跟蹤所生成的所有警報，則可以選擇MEDR、MNDR或者MXDR進行增強。使用MDR來增強SOC的好處之一是，擴展和增強你現(xiàn)有的團隊。這些MDR服務非常重要，特別是安全團隊看到警報而又沒有時間來執(zhí)行主動威脅搜尋時。
• 你的人手不足嗎?如果你的企業(yè)無法支持全職安全人員，那么MXDR是最合適的選擇。在這種情況下，MXDR團隊將與你的內部或外包運營團隊合作，不斷地搜尋威脅、監(jiān)視攻擊并在必要時做出響應。