Skip to content
EN
← Все статьи

MDR (Managed Detection and Response): что это и как работает

MDR (Managed Detection and Response) — это управляемая услуга кибербезопасности, при которой внешний провайдер круглосуточно обнаруживает, расследует и нейтрализует киберугрозы. MDR объединяет технологии EDR, XDR и SIEM с работой аналитиков SOC, обеспечивая не только оповещения, но и активное реагирование на инциденты от имени клиента.

Ключевое слово в аббревиатуре — Response, «реагирование». Именно оно отличает MDR от классических услуг мониторинг сайтов: провайдер не просто присылает уведомление «что-то произошло», а сам изолирует заражённый хост, блокирует учётную запись атакующего или откатывает вредоносные изменения. По определению Gartner, MDR-сервисы предоставляют заказчику удалённо оказываемые современные функции центра мониторинга безопасности (SOC), позволяющие быстро обнаруживать, анализировать, расследовать угрозы и активно реагировать на них через сдерживание и устранение.

Как работает MDR

MDR строится вокруг непрерывного цикла «сбор данных → обнаружение → расследование → реагирование → уроки». Провайдер разворачивает у клиента набор сенсоров — агенты EDR на конечных точках, сетевые датчики, коннекторы к облаку и журналам — и направляет телеметрию в собственную аналитическую платформу. Дальше в дело вступают три составляющие: технологии, процессы и люди.

Сбор и нормализация телеметрии

Первый слой — данные. MDR-платформа собирает события процессов, сетевых соединений, аутентификаций, изменений реестра и файловой системы. Чем шире охват сенсоров, тем меньше «слепых зон» у атакующего. Многие провайдеры используют модель EDR как основу и расширяют её до XDR, добавляя сетевой, почтовый и облачный контекст.

Обнаружение и корреляция

Собранные события сопоставляются с правилами детектирования, индикаторами компрометации и поведенческими моделями. Зрелые MDR-команды картируют свои детекты на матрицу MITRE ATT&CK — открытую базу знаний о тактиках и техниках противника — чтобы измерять покрытие и выявлять пробелы. Машинное обучение помогает отсекать шум и находить аномалии, но финальное решение почти всегда остаётся за человеком.

Расследование и триаж

Когда срабатывает детект, аналитик SOC проводит триаж: отделяет ложные срабатывания от реальных угроз, восстанавливает цепочку событий и оценивает масштаб. Здесь провайдер опирается на методологию реагирования на инциденты, описанную в NIST SP 800-61 (Computer Security Incident Handling Guide): подготовка, обнаружение и анализ, сдерживание, устранение и восстановление, а также извлечение уроков.

Реагирование

Если угроза подтверждена, MDR выполняет действия по сдерживанию. Объём полномочий фиксируется в договоре: от «полного управляемого реагирования» (провайдер сам изолирует хосты и блокирует аккаунты) до «реагирования с подтверждением» (действия выполняются только после согласования с клиентом). Хорошая практика — заранее описать сценарии (playbooks) для типовых инцидентов: программы-вымогатели, компрометация почты, кража учётных данных.

MDR vs MSSP

MDR и MSSP (Managed Security Service Provider) часто путают, но это разные модели. MSSP исторически управляет средствами защиты — межсетевыми экранами, антивирусами, VPN, SIEM — и рассылает оповещения о событиях. MSSP отвечает за доступность и настройку инструментов, но глубокое расследование и реагирование обычно остаются на стороне клиента. MDR же продаёт результат — обнаруженные и остановленные угрозы, а не управление коробками.

Проще говоря: MSSP отвечает на вопрос «работают ли наши средства защиты?», а MDR — на вопрос «атакуют ли нас прямо сейчас и что с этим делать?». Многие MSSP сегодня добавляют MDR-модуль, а MDR-провайдеры расширяются в сторону управляемых сервисов, поэтому граница размывается. Детальное сравнение трёх моделей мы разбираем в отдельном материале MDR vs MSSP vs SOC.

КритерийMDRMSSPСобственный SOC
Главная ценностьОбнаружение и реагирование как результатУправление средствами защитыПолный контроль внутри компании
Реагирование на инцидентыАктивное, часто от имени клиентаОграниченное, чаще оповещенияПолное, силами штата
Режим работы24/724/7Зависит от бюджета и штата
ТехнологииEDR/XDR + SIEM провайдераИнструменты клиента или провайдераСобственный стек
Скорость запускаНеделиНедели–месяцыМесяцы–годы
Стоимость входаСредняя, подпискаСредняя–высокаяОчень высокая (CapEx + люди)

MDR vs EDR

Это сравнение технологии и услуги, а не двух конкурентов. EDR (Endpoint Detection and Response) — это программный продукт: агент на конечных точках, который собирает телеметрию, детектирует подозрительное поведение и даёт инструменты для реагирования. Но EDR сам по себе не работает: кто-то должен настраивать правила, разбирать оповещения и принимать решения в три часа ночи.

MDR — это услуга, которая часто использует EDR (или XDR) как один из источников данных и добавляет к нему главное, чего не хватает продукту: круглосуточную команду экспертов, процессы триажа и готовность реагировать. Компания может купить лучший EDR на рынке, но без людей он превратится в генератор непрочитанных алертов. MDR закрывает именно этот разрыв между инструментом и результатом. Подробнее о самой технологии — в статье про EDR.

Что входит в услугу MDR

Состав MDR-услуги различается у провайдеров, но зрелое предложение обычно включает следующие компоненты:

  • Круглосуточный мониторинг (24/7/365) — непрерывное наблюдение за конечными точками, сетью, облаком и идентификациями.
  • Управляемое обнаружение угроз — правила детектирования, поддерживаемые и обновляемые провайдером, с картированием на MITRE ATT&CK.
  • Проактивный поиск угроз (threat hunting) — гипотезы и ручной поиск следов атак, которые не поймали автоматические правила.
  • Расследование и триаж инцидентов — отсев ложных срабатываний и восстановление полной картины атаки.
  • Активное реагирование — изоляция хостов, блокировка учётных записей, удаление артефактов по согласованным playbook.
  • Интеграция threat intelligence — обогащение детектов данными о киберугрозах. См. также нашу статью про threat intelligence.
  • Отчётность и постинцидентный разбор — регулярные отчёты, метрики MTTD/MTTR и рекомендации по укреплению защиты.

Важно уточнять границы ответственности: какие действия провайдер выполняет автоматически, какие требуют согласования, и какие остаются полностью на стороне клиента. Эти условия закрепляются в SLA — соглашении об уровне обслуживания.

Кому нужен MDR

MDR особенно ценен там, где угрозы серьёзны, а собственной экспертизы или людей не хватает. Типичные кандидаты:

  • Средний бизнес без собственного SOC — построить внутренний центр мониторинга 24/7 дорого и долго; MDR даёт зрелые возможности по подписке.
  • Быстрорастущие компании — когда инфраструктура и поверхность атаки растут быстрее, чем команда безопасности.
  • Организации с дефицитом кадров — на рынке хронически не хватает опытных аналитиков SOC, и удержать их сложно.
  • Компании в регулируемых отраслях — финансы, здравоохранение, ритейл, где требования к обнаружению и реагированию высоки.
  • Зрелые SOC, которым нужен режим 24/7 — MDR закрывает ночи, выходные и праздники или берёт на себя отдельные направления.

Чтобы понять устройство центра мониторинга и оценить, строить ли его самостоятельно или отдать на аутсорс, полезно прочитать статью о том, что такое SOC.

Сколько стоит MDR

Мы намеренно не приводим конкретные цифры: цены сильно зависят от рынка, объёма и модели, а любые «средние» значения быстро устаревают. Вместо этого важно понимать, из чего складывается стоимость MDR и на что смотреть при сравнении предложений.

Ценообразование чаще всего привязано к масштабу защищаемой среды: числу конечных точек, пользователей или объёму обрабатываемых данных (событий, GB логов). Дополнительно на цену влияют глубина реагирования (только оповещения против полного управляемого response), охват (только конечные точки против полного XDR: сеть, облако, почта, идентификации), гарантированные SLA по времени обнаружения и реагирования, а также включённость threat hunting и threat intelligence.

При оценке TCO (совокупной стоимости владения) сравнивайте MDR не с ценой одного инструмента, а со стоимостью собственного SOC: зарплаты и удержание аналитиков, лицензии SIEM/EDR, режим 24/7 и время до выхода на рабочий уровень. Часто именно эта арифметика делает MDR экономически оправданным для среднего бизнеса.

Ключевые вопросы к провайдеру перед подписанием: какие именно действия по реагированию вы выполняете и от чьего имени? Каковы измеримые SLA по MTTD и MTTR? Как вы картируете покрытие на MITRE ATT&CK? Как происходит онбординг и кто владеет данными телеметрии после завершения контракта?

Отдельно оцените модель ценообразования на предсказуемость: фиксированная подписка за конечную точку прозрачнее, чем оплата по объёму логов, которая может резко вырасти при всплеске активности. Уточните, входят ли в цену реагирование на крупные инциденты и привлечение команды реагирования (IR retainer), или это оплачивается отдельно. Продуманный контракт защищает не только инфраструктуру, но и бюджет от неожиданных счетов в момент атаки.

FAQ

Чем MDR отличается от антивируса?

Антивирус (и даже современный EPP) — это превентивная технология, которая пытается заблокировать известное вредоносное ПО на устройстве. MDR — это управляемая услуга, которая предполагает, что часть атак прорвётся сквозь превентивные средства, и обеспечивает их обнаружение, расследование и реагирование силами команды экспертов 24/7.

Заменяет ли MDR внутреннюю команду безопасности?

Обычно нет. MDR усиливает и дополняет внутреннюю команду, снимая с неё круглосуточный мониторинг и первичный триаж. Стратегия, управление рисками, соответствие требованиям и взаимодействие с бизнесом остаются внутри компании. MDR — это модель совместной ответственности, а не полная передача безопасности наружу.

Что такое MTTD и MTTR в контексте MDR?

MTTD (Mean Time To Detect) — среднее время обнаружения угрозы, MTTR (Mean Time To Respond) — среднее время реагирования. Это ключевые метрики эффективности MDR: чем они ниже, тем меньше «окно возможностей» у атакующего. Требуйте, чтобы значения SLA по этим метрикам были зафиксированы в договоре.

Как MDR использует MITRE ATT&CK?

MITRE ATT&CK — открытая база тактик и техник противника. Зрелые MDR-провайдеры картируют свои правила детектирования на эту матрицу, чтобы объективно измерять покрытие, показывать клиенту, против каких техник он защищён, и системно закрывать пробелы в обнаружении.

Как быстро можно запустить MDR?

Развёртывание обычно занимает недели, а не месяцы: провайдер устанавливает или подключает сенсоры, настраивает интеграции и правила, согласует playbook реагирования. Это заметно быстрее, чем строить собственный SOC с нуля, где путь до зрелого режима 24/7 измеряется месяцами и годами.

Что важно проверить в SLA MDR-провайдера?

Проверьте измеримые гарантии по MTTD/MTTR, чёткое разграничение действий по реагированию (что выполняется автоматически, что по согласованию), режим работы 24/7/365, охват сред (конечные точки, сеть, облако, идентификации), а также условия владения данными и выхода из контракта.

Проверьте ваш сайт прямо сейчас

Проверить безопасность сайта →
Другие статьи: Безопасность
Безопасность
HSTS и список предзагрузки: полное руководство по внедрению
16.03.2026 · 175 просм.
Безопасность
EDR vs антивирус: в чём разница и что выбрать
17.07.2026 · 3 просм.
Безопасность
Threat Intelligence (TI): что такое киберразведка
17.07.2026 · 8 просм.
Безопасность
Письма уходят в спам: причины и как исправить
23.06.2026 · 73 просм.