信息化觀察網(wǎng)

對于尋求加強其安全戰(zhàn)略的公司來說，管理檢測和響應(yīng)已成為一種越來越流行的工具。但是，MDR有許多不同的口味，部分取決于所需的適當(dāng)響應(yīng)級別。

MDR和4個堆棧

在選擇MDR服務(wù)時，首先要做出的一個重大決定是，你是希望供應(yīng)商提供產(chǎn)品堆棧，還是喜歡使用你自己的MDR堆棧。有四種主要方法需要考慮。

●自帶堆棧(BYOS)：在BYOS模式中，你知道你想要哪種產(chǎn)品，或者，在監(jiān)管要求的情況下，需要哪種產(chǎn)品，并且你正在尋找一個能夠完全在你自己的堆棧上工作的MDR供應(yīng)商。這是一種受已經(jīng)部署了他們喜歡的產(chǎn)品的公司歡迎的方法，也是為監(jiān)管或其他監(jiān)督目的必須使用特定工具的實體的方法;

●供應(yīng)商提供：MDR供應(yīng)商使用來自已知和值得信賴的供應(yīng)商的軟件，然后為你實施和管理。對于沒有一套工具的公司或希望改變其堆棧的公司，這是一個很好的選擇;

●供應(yīng)商自建：這是一個常見的模式，即供應(yīng)商在其自己的工具上分層提供MDR。這種方法通常對所使用的產(chǎn)品之間的整合有最好的回報，因為它們都是來自同一個供應(yīng)商。但是，如果您的組織想更換產(chǎn)品或服務(wù)提供商，這也可能導(dǎo)致嚴(yán)格的鎖定;

●混合式：這種選擇混合了兩個模式的優(yōu)點。許多公司選擇一個能夠支持內(nèi)置/提供的MDR軟件之間適當(dāng)平衡的供應(yīng)商。

MDR服務(wù)選擇標(biāo)準(zhǔn)

一旦你確定了最佳堆棧模式，就該考慮你想要的MDR服務(wù)了。要做到這一點，首先要重新審視你雇用MDR供應(yīng)商的目標(biāo)。下面是一些最常見原因的簡短清單。這是一個很好的起點，可以加入你自己的獨特要求。

●現(xiàn)有團隊擴大：對于小公司來說，擴容可能意味著成立安全團隊。但即使是較大的公司也會采用MDR，理由有很多，包括在雇用人員無法跟上步伐時提供保障，以及在評估警報和尋找入侵指標(biāo)(IOCs)時充當(dāng)?shù)诙p眼睛;

●主動威脅搜尋：大多數(shù)安全運營中心(SOC)的分析員都會追蹤警報和IOC，這兩者都是定義上的反應(yīng)性。如果你想更積極主動，但沒有專業(yè)知識，可以看看MDR供應(yīng)商的威脅獵取技能，以及其發(fā)現(xiàn)攻擊跡象的能力。

●集成威脅情報：有大量的威脅情報反饋，但沒有時間使用它們?MDR供應(yīng)商可以通過提供與您的組織和網(wǎng)絡(luò)相關(guān)的匯總和策劃的威脅情報源來提供幫助。許多供應(yīng)商在其產(chǎn)品中提供綜合威脅情報，以使端點保護代理對未知攻擊作出更多反應(yīng)。

●警報源的相關(guān)性：如果你的部分問題是SOC中的傳感器和警報反饋太多，而且沒有辦法將它們聯(lián)系在一起，那么能夠收集和關(guān)聯(lián)的供應(yīng)商可能適合你。只要確保供應(yīng)商熟悉你的組織正在使用的產(chǎn)品，并有連接器將適當(dāng)?shù)男盘枎肫鋬x表盤或控制臺上。

●隨時隨地工作端點可見性：如果掌握你的端點是你的首要任務(wù)，尋找一個專門從事端點的供應(yīng)商。不要忘記確保他們能夠覆蓋與你有關(guān)的端點，包括筆記本電腦、手機和服務(wù)器。大多數(shù)供應(yīng)商在筆記本電腦上覆蓋Windows系統(tǒng)，在移動設(shè)備上覆蓋iOS/Android系統(tǒng)，但如果你是一家Mac或Unix商店，不要忘記確認(rèn)它們也被覆蓋。

●修復(fù)和響應(yīng)：MDR中的"R"是采用MDR的主要動力之一。確定你希望補救行動有多大的侵入性，并確保你的供應(yīng)商能以你需要的水平提供服務(wù)。

做出正確判斷選擇MDR服務(wù)

掌握了堆棧、目標(biāo)和服務(wù)問題的答案，你就可以建立你的提案請求(RFP)并聯(lián)系供應(yīng)商。即使你不想進行正式的招標(biāo)，也一定要把你想要的東西寫下來，因為這將在兩個重要方面有所幫助。首先，它將幫助供應(yīng)商回應(yīng)你的具體要求，而不是聽從可能與你的情況不相關(guān)的模板式回應(yīng)。第二，一旦供應(yīng)商的推介開始，征求意見書將幫助你評估響應(yīng)，并確定最佳的供應(yīng)商。

無論你的公司是大是小，找到合適的MDR合作伙伴可以幫助提高組織的彈性，減少響應(yīng)時間，使你的公司更安全。