對于尋求加強其安全戰(zhàn)略的公司來說，管理檢測和響應已成為一種越來越流行的工具。但是，MDR有許多不同的口味，部分取決于所需的適當響應級別。

[[408462]]

MDR和4個堆棧

在選擇MDR服務時，首先要做出的一個重大決定是，你是希望供應商提供產(chǎn)品堆棧，還是喜歡使用你自己的MDR堆棧。有四種主要方法需要考慮。

• 自帶堆棧(BYOS)：在BYOS模式中，你知道你想要哪種產(chǎn)品，或者，在監(jiān)管要求的情況下，需要哪種產(chǎn)品，并且你正在尋找一個能夠完全在你自己的堆棧上工作的MDR供應商。這是一種受已經(jīng)部署了他們喜歡的產(chǎn)品的公司歡迎的方法，也是為監(jiān)管或其他監(jiān)督目的必須使用特定工具的實體的方法;
• 供應商提供：MDR供應商使用來自已知和值得信賴的供應商的軟件，然后為你實施和管理。對于沒有一套工具的公司或希望改變其堆棧的公司，這是一個很好的選擇;
• 供應商自建：這是一個常見的模式，即供應商在其自己的工具上分層提供MDR。這種方法通常對所使用的產(chǎn)品之間的整合有最好的回報，因為它們都是來自同一個供應商。但是，如果您的組織想更換產(chǎn)品或服務提供商，這也可能導致嚴格的鎖定;
• 混合式：這種選擇混合了兩個模式的優(yōu)點。許多公司選擇一個能夠支持內(nèi)置/提供 的MDR 軟件之間適當平衡的供應商。

MDR服務選擇標準

一旦你確定了最佳堆棧模式，就該考慮你想要的MDR服務了。要做到這一點，首先要重新審視你雇用MDR供應商的目標。下面是一些最常見原因的簡短清單。這是一個很好的起點，可以加入你自己的獨特要求。

• 現(xiàn)有團隊擴大：對于小公司來說，擴容可能意味著成立安全團隊。但即使是較大的公司也會采用MDR，理由有很多，包括在雇用人員無法跟上步伐時提供保障，以及在評估警報和尋找入侵指標(IOCs)時充當?shù)诙p眼睛;
• 主動威脅搜尋：大多數(shù)安全運營中心(SOC)的分析員都會追蹤警報和IOC，這兩者都是定義上的反應性。如果你想更積極主動，但沒有專業(yè)知識，可以看看MDR供應商的威脅獵取技能，以及其發(fā)現(xiàn)攻擊跡象的能力。
• 集成威脅情報：有大量的威脅情報反饋，但沒有時間使用它們?MDR供應商可以通過提供與您的組織和網(wǎng)絡相關的匯總和策劃的威脅情報源來提供幫助。許多供應商在其產(chǎn)品中提供綜合威脅情報，以使端點保護代理對未知攻擊作出更多反應。
• 警報源的相關性：如果你的部分問題是SOC中的傳感器和警報反饋太多，而且沒有辦法將它們聯(lián)系在一起，那么能夠收集和關聯(lián)的供應商可能適合你。只要確保供應商熟悉你的組織正在使用的產(chǎn)品，并有連接器將適當?shù)男盘枎肫鋬x表盤或控制臺上。
• 隨時隨地工作端點可見性：如果掌握你的端點是你的首要任務，尋找一個專門從事端點的供應商。不要忘記確保他們能夠覆蓋與你有關的端點，包括筆記本電腦、手機和服務器。大多數(shù)供應商在筆記本電腦上覆蓋Windows系統(tǒng)，在移動設備上覆蓋iOS/Android系統(tǒng)，但如果你是一家Mac或Unix商店，不要忘記確認它們也被覆蓋。
• 修復和響應：MDR中的 "R "是采用MDR的主要動力之一。確定你希望補救行動有多大的侵入性，并確保你的供應商能以你需要的水平提供服務。

做出正確判斷選擇MDR服務

掌握了堆棧、目標和服務問題的答案，你就可以建立你的提案請求(RFP)并聯(lián)系供應商。即使你不想進行正式的招標，也一定要把你想要的東西寫下來，因為這將在兩個重要方面有所幫助。首先，它將幫助供應商回應你的具體要求，而不是聽從可能與你的情況不相關的模板式回應。第二，一旦供應商的推介開始，征求意見書將幫助你評估響應，并確定最佳的供應商。

無論你的公司是大是小，找到合適的MDR合作伙伴可以幫助提高組織的彈性，減少響應時間，使你的公司更安全。