對(duì)于尋求加強(qiáng)其安全戰(zhàn)略的公司來(lái)說(shuō)，管理檢測(cè)和響應(yīng)已成為一種越來(lái)越流行的工具。但是，MDR有許多不同的口味，部分取決于所需的適當(dāng)響應(yīng)級(jí)別。

[[408462]]

MDR和4個(gè)堆棧

在選擇MDR服務(wù)時(shí)，首先要做出的一個(gè)重大決定是，你是希望供應(yīng)商提供產(chǎn)品堆棧，還是喜歡使用你自己的MDR堆棧。有四種主要方法需要考慮。

• 自帶堆棧(BYOS)：在BYOS模式中，你知道你想要哪種產(chǎn)品，或者，在監(jiān)管要求的情況下，需要哪種產(chǎn)品，并且你正在尋找一個(gè)能夠完全在你自己的堆棧上工作的MDR供應(yīng)商。這是一種受已經(jīng)部署了他們喜歡的產(chǎn)品的公司歡迎的方法，也是為監(jiān)管或其他監(jiān)督目的必須使用特定工具的實(shí)體的方法;
• 供應(yīng)商提供：MDR供應(yīng)商使用來(lái)自已知和值得信賴的供應(yīng)商的軟件，然后為你實(shí)施和管理。對(duì)于沒(méi)有一套工具的公司或希望改變其堆棧的公司，這是一個(gè)很好的選擇;
• 供應(yīng)商自建：這是一個(gè)常見(jiàn)的模式，即供應(yīng)商在其自己的工具上分層提供MDR。這種方法通常對(duì)所使用的產(chǎn)品之間的整合有最好的回報(bào)，因?yàn)樗鼈兌际莵?lái)自同一個(gè)供應(yīng)商。但是，如果您的組織想更換產(chǎn)品或服務(wù)提供商，這也可能導(dǎo)致嚴(yán)格的鎖定;
• 混合式：這種選擇混合了兩個(gè)模式的優(yōu)點(diǎn)。許多公司選擇一個(gè)能夠支持內(nèi)置/提供 的MDR 軟件之間適當(dāng)平衡的供應(yīng)商。

MDR服務(wù)選擇標(biāo)準(zhǔn)

一旦你確定了最佳堆棧模式，就該考慮你想要的MDR服務(wù)了。要做到這一點(diǎn)，首先要重新審視你雇用MDR供應(yīng)商的目標(biāo)。下面是一些最常見(jiàn)原因的簡(jiǎn)短清單。這是一個(gè)很好的起點(diǎn)，可以加入你自己的獨(dú)特要求。

• 現(xiàn)有團(tuán)隊(duì)擴(kuò)大：對(duì)于小公司來(lái)說(shuō)，擴(kuò)容可能意味著成立安全團(tuán)隊(duì)。但即使是較大的公司也會(huì)采用MDR，理由有很多，包括在雇用人員無(wú)法跟上步伐時(shí)提供保障，以及在評(píng)估警報(bào)和尋找入侵指標(biāo)(IOCs)時(shí)充當(dāng)?shù)诙p眼睛;
• 主動(dòng)威脅搜尋：大多數(shù)安全運(yùn)營(yíng)中心(SOC)的分析員都會(huì)追蹤警報(bào)和IOC，這兩者都是定義上的反應(yīng)性。如果你想更積極主動(dòng)，但沒(méi)有專業(yè)知識(shí)，可以看看MDR供應(yīng)商的威脅獵取技能，以及其發(fā)現(xiàn)攻擊跡象的能力。
• 集成威脅情報(bào)：有大量的威脅情報(bào)反饋，但沒(méi)有時(shí)間使用它們?MDR供應(yīng)商可以通過(guò)提供與您的組織和網(wǎng)絡(luò)相關(guān)的匯總和策劃的威脅情報(bào)源來(lái)提供幫助。許多供應(yīng)商在其產(chǎn)品中提供綜合威脅情報(bào)，以使端點(diǎn)保護(hù)代理對(duì)未知攻擊作出更多反應(yīng)。
• 警報(bào)源的相關(guān)性：如果你的部分問(wèn)題是SOC中的傳感器和警報(bào)反饋太多，而且沒(méi)有辦法將它們聯(lián)系在一起，那么能夠收集和關(guān)聯(lián)的供應(yīng)商可能適合你。只要確保供應(yīng)商熟悉你的組織正在使用的產(chǎn)品，并有連接器將適當(dāng)?shù)男盘?hào)帶入其儀表盤或控制臺(tái)上。
• 隨時(shí)隨地工作端點(diǎn)可見(jiàn)性：如果掌握你的端點(diǎn)是你的首要任務(wù)，尋找一個(gè)專門從事端點(diǎn)的供應(yīng)商。不要忘記確保他們能夠覆蓋與你有關(guān)的端點(diǎn)，包括筆記本電腦、手機(jī)和服務(wù)器。大多數(shù)供應(yīng)商在筆記本電腦上覆蓋Windows系統(tǒng)，在移動(dòng)設(shè)備上覆蓋iOS/Android系統(tǒng)，但如果你是一家Mac或Unix商店，不要忘記確認(rèn)它們也被覆蓋。
• 修復(fù)和響應(yīng)：MDR中的 "R "是采用MDR的主要?jiǎng)恿χ?。確定你希望補(bǔ)救行動(dòng)有多大的侵入性，并確保你的供應(yīng)商能以你需要的水平提供服務(wù)。

做出正確判斷選擇MDR服務(wù)

掌握了堆棧、目標(biāo)和服務(wù)問(wèn)題的答案，你就可以建立你的提案請(qǐng)求(RFP)并聯(lián)系供應(yīng)商。即使你不想進(jìn)行正式的招標(biāo)，也一定要把你想要的東西寫(xiě)下來(lái)，因?yàn)檫@將在兩個(gè)重要方面有所幫助。首先，它將幫助供應(yīng)商回應(yīng)你的具體要求，而不是聽(tīng)從可能與你的情況不相關(guān)的模板式回應(yīng)。第二，一旦供應(yīng)商的推介開(kāi)始，征求意見(jiàn)書(shū)將幫助你評(píng)估響應(yīng)，并確定最佳的供應(yīng)商。

無(wú)論你的公司是大是小，找到合適的MDR合作伙伴可以幫助提高組織的彈性，減少響應(yīng)時(shí)間，使你的公司更安全。