对于寻求加强其安全战略的公司来说,管理测试和响应已经成为一种越来越流行的工具。MDR根据所需的适当响应水平,有许多不同的口味。
MDR和4个堆栈
在选择MDR服务时,首先要做的一个重大决定是你是想让供应商提供产品堆栈,还是喜欢使用自己的产品堆栈MDR堆栈。有四种主要方法需要考虑。
- 自带堆栈(BYOS):在BYOS在模式中,你知道你想要什么样的产品,或者在监管要求下需要什么样的产品,你正在寻找一个可以在自己的堆栈里完全工作的产品MDR供应商。这是一种受公司欢迎的方法,已经部署了他们最喜欢的产品,也是必须使用特定工具进行监督或其他监督的实体;
- 供应商提供:MDR供应商使用已知和值得信赖的供应商软件,然后为您实施和管理。这是一个很好的选择,公司没有工具或想要改变它的堆栈;
- 供应商自建:这是一种常见的模式,即供应商在自己的工具上MDR。这种方法通常对所使用的产品之间的集成有最好的回报,因为它们都来自同一个供应商。然而,如果您的组织想要更换产品或服务提供商,这也可能导致严格的锁定;
- 混合:这种选择混合了两种模式的优点。许多公司选择一个可以支持内置/提供 的公司MDR 适当平衡软件之间的供应商。
MDR服务选择标准
一旦你确定了最好的堆栈模式,你应该考虑你想要的MDR服务。要做到这一点,首先要重新审视你的雇佣MDR供应商的目标。以下是最常见原因的简短列表。这是一个很好的起点,可以添加你自己独特的要求。
- 现有的团队扩张:对于小公司来说,扩张可能意味着建立一个安全的团队。但即使是大公司也会使用它MDR,原因有很多,包括在员工跟不上步伐时提供保障,以及评估报警和寻找入侵指标(IOCs)时充当第二双眼睛;
- 主动威胁搜索:大多数安全运营中心(SOC)分析师会跟踪报警和IOC,这两者都是定义上的反应。如果你想更积极,但没有专业知识,你可以看看MDR威胁猎取技能及其发现攻击迹象的能力。
- 集成威胁情报:有大量的威胁情报反馈,但没有时间使用它们?MDR供应商可以通过提供与您的组织和网络相关的总结和计划的威胁信息来提供帮助。许多供应商在其产品中提供全面的威胁信息,以便终端保护代理对未知攻击做出更多的反应。
- 报警源的相关性:如果你的一些问题是SOC传感器和报警反馈过多,无法将其连接起来,因此可以收集和关联的供应商可能适合您。只要供应商熟悉您组织中使用的产品,并且连接器将适当的信号带到仪表板或控制台上。
- 随时随地工作端点的可见性:如果你掌握了端点是你的首要任务,找到一个专门从事端点的供应商。别忘了确保他们能够覆盖与你相关的端点,包括笔记本电脑、手机和服务器。大多数供应商覆盖笔记本电脑Windows覆盖移动设备的系统iOS/Android但如果你是一个系统,Mac或Unix别忘了确认商店也被覆盖了。
- 修复及响应:MDR中的 "R "是采用MDR主要动力之一。确定你想要的补救措施有多侵入性,并确保你的供应商能够提供你需要的服务。
做出正确的判断选择MDR服务
如果你掌握了堆栈、目标和服务问题的答案,你可以建立你的提案请求(RFP)并联系供应商。即使你不想进行正式的投标,你也必须写下你想要的,因为这将有助于两个重要的方面。首先,它将帮助供应商响应您的具体要求,而不是遵循可能与您的情况无关的模板响应。第二,一旦供应商开始推广,征求意见将帮助您评估响应并确定最佳供应商。
无论你的公司是大是小,找到合适的MDR合作伙伴可以帮助提高组织的弹性,减少响应时间,使你的公司更安全。