MDR (Managed Detection and Response) — это управляемая услуга кибербезопасности, при которой внешний провайдер круглосуточно обнаруживает, расследует и нейтрализует киберугрозы. MDR объединяет технологии EDR, XDR и SIEM с работой аналитиков SOC, обеспечивая не только оповещения, но и активное реагирование на инциденты от имени клиента.
Ключевое слово в аббревиатуре — Response, «реагирование». Именно оно отличает MDR от классических услуг мониторинг сайтов: провайдер не просто присылает уведомление «что-то произошло», а сам изолирует заражённый хост, блокирует учётную запись атакующего или откатывает вредоносные изменения. По определению Gartner, MDR-сервисы предоставляют заказчику удалённо оказываемые современные функции центра мониторинга безопасности (SOC), позволяющие быстро обнаруживать, анализировать, расследовать угрозы и активно реагировать на них через сдерживание и устранение.
Как работает MDR
MDR строится вокруг непрерывного цикла «сбор данных → обнаружение → расследование → реагирование → уроки». Провайдер разворачивает у клиента набор сенсоров — агенты EDR на конечных точках, сетевые датчики, коннекторы к облаку и журналам — и направляет телеметрию в собственную аналитическую платформу. Дальше в дело вступают три составляющие: технологии, процессы и люди.
Сбор и нормализация телеметрии
Первый слой — данные. MDR-платформа собирает события процессов, сетевых соединений, аутентификаций, изменений реестра и файловой системы. Чем шире охват сенсоров, тем меньше «слепых зон» у атакующего. Многие провайдеры используют модель EDR как основу и расширяют её до XDR, добавляя сетевой, почтовый и облачный контекст.
Обнаружение и корреляция
Собранные события сопоставляются с правилами детектирования, индикаторами компрометации и поведенческими моделями. Зрелые MDR-команды картируют свои детекты на матрицу MITRE ATT&CK — открытую базу знаний о тактиках и техниках противника — чтобы измерять покрытие и выявлять пробелы. Машинное обучение помогает отсекать шум и находить аномалии, но финальное решение почти всегда остаётся за человеком.
Расследование и триаж
Когда срабатывает детект, аналитик SOC проводит триаж: отделяет ложные срабатывания от реальных угроз, восстанавливает цепочку событий и оценивает масштаб. Здесь провайдер опирается на методологию реагирования на инциденты, описанную в NIST SP 800-61 (Computer Security Incident Handling Guide): подготовка, обнаружение и анализ, сдерживание, устранение и восстановление, а также извлечение уроков.
Реагирование
Если угроза подтверждена, MDR выполняет действия по сдерживанию. Объём полномочий фиксируется в договоре: от «полного управляемого реагирования» (провайдер сам изолирует хосты и блокирует аккаунты) до «реагирования с подтверждением» (действия выполняются только после согласования с клиентом). Хорошая практика — заранее описать сценарии (playbooks) для типовых инцидентов: программы-вымогатели, компрометация почты, кража учётных данных.
MDR vs MSSP
MDR и MSSP (Managed Security Service Provider) часто путают, но это разные модели. MSSP исторически управляет средствами защиты — межсетевыми экранами, антивирусами, VPN, SIEM — и рассылает оповещения о событиях. MSSP отвечает за доступность и настройку инструментов, но глубокое расследование и реагирование обычно остаются на стороне клиента. MDR же продаёт результат — обнаруженные и остановленные угрозы, а не управление коробками.
Проще говоря: MSSP отвечает на вопрос «работают ли наши средства защиты?», а MDR — на вопрос «атакуют ли нас прямо сейчас и что с этим делать?». Многие MSSP сегодня добавляют MDR-модуль, а MDR-провайдеры расширяются в сторону управляемых сервисов, поэтому граница размывается. Детальное сравнение трёх моделей мы разбираем в отдельном материале MDR vs MSSP vs SOC.
| Критерий | MDR | MSSP | Собственный SOC |
|---|---|---|---|
| Главная ценность | Обнаружение и реагирование как результат | Управление средствами защиты | Полный контроль внутри компании |
| Реагирование на инциденты | Активное, часто от имени клиента | Ограниченное, чаще оповещения | Полное, силами штата |
| Режим работы | 24/7 | 24/7 | Зависит от бюджета и штата |
| Технологии | EDR/XDR + SIEM провайдера | Инструменты клиента или провайдера | Собственный стек |
| Скорость запуска | Недели | Недели–месяцы | Месяцы–годы |
| Стоимость входа | Средняя, подписка | Средняя–высокая | Очень высокая (CapEx + люди) |
MDR vs EDR
Это сравнение технологии и услуги, а не двух конкурентов. EDR (Endpoint Detection and Response) — это программный продукт: агент на конечных точках, который собирает телеметрию, детектирует подозрительное поведение и даёт инструменты для реагирования. Но EDR сам по себе не работает: кто-то должен настраивать правила, разбирать оповещения и принимать решения в три часа ночи.
MDR — это услуга, которая часто использует EDR (или XDR) как один из источников данных и добавляет к нему главное, чего не хватает продукту: круглосуточную команду экспертов, процессы триажа и готовность реагировать. Компания может купить лучший EDR на рынке, но без людей он превратится в генератор непрочитанных алертов. MDR закрывает именно этот разрыв между инструментом и результатом. Подробнее о самой технологии — в статье про EDR.
Что входит в услугу MDR
Состав MDR-услуги различается у провайдеров, но зрелое предложение обычно включает следующие компоненты:
- Круглосуточный мониторинг (24/7/365) — непрерывное наблюдение за конечными точками, сетью, облаком и идентификациями.
- Управляемое обнаружение угроз — правила детектирования, поддерживаемые и обновляемые провайдером, с картированием на MITRE ATT&CK.
- Проактивный поиск угроз (threat hunting) — гипотезы и ручной поиск следов атак, которые не поймали автоматические правила.
- Расследование и триаж инцидентов — отсев ложных срабатываний и восстановление полной картины атаки.
- Активное реагирование — изоляция хостов, блокировка учётных записей, удаление артефактов по согласованным playbook.
- Интеграция threat intelligence — обогащение детектов данными о киберугрозах. См. также нашу статью про threat intelligence.
- Отчётность и постинцидентный разбор — регулярные отчёты, метрики MTTD/MTTR и рекомендации по укреплению защиты.
Важно уточнять границы ответственности: какие действия провайдер выполняет автоматически, какие требуют согласования, и какие остаются полностью на стороне клиента. Эти условия закрепляются в SLA — соглашении об уровне обслуживания.
Кому нужен MDR
MDR особенно ценен там, где угрозы серьёзны, а собственной экспертизы или людей не хватает. Типичные кандидаты:
- Средний бизнес без собственного SOC — построить внутренний центр мониторинга 24/7 дорого и долго; MDR даёт зрелые возможности по подписке.
- Быстрорастущие компании — когда инфраструктура и поверхность атаки растут быстрее, чем команда безопасности.
- Организации с дефицитом кадров — на рынке хронически не хватает опытных аналитиков SOC, и удержать их сложно.
- Компании в регулируемых отраслях — финансы, здравоохранение, ритейл, где требования к обнаружению и реагированию высоки.
- Зрелые SOC, которым нужен режим 24/7 — MDR закрывает ночи, выходные и праздники или берёт на себя отдельные направления.
Чтобы понять устройство центра мониторинга и оценить, строить ли его самостоятельно или отдать на аутсорс, полезно прочитать статью о том, что такое SOC.
Сколько стоит MDR
Мы намеренно не приводим конкретные цифры: цены сильно зависят от рынка, объёма и модели, а любые «средние» значения быстро устаревают. Вместо этого важно понимать, из чего складывается стоимость MDR и на что смотреть при сравнении предложений.
Ценообразование чаще всего привязано к масштабу защищаемой среды: числу конечных точек, пользователей или объёму обрабатываемых данных (событий, GB логов). Дополнительно на цену влияют глубина реагирования (только оповещения против полного управляемого response), охват (только конечные точки против полного XDR: сеть, облако, почта, идентификации), гарантированные SLA по времени обнаружения и реагирования, а также включённость threat hunting и threat intelligence.
При оценке TCO (совокупной стоимости владения) сравнивайте MDR не с ценой одного инструмента, а со стоимостью собственного SOC: зарплаты и удержание аналитиков, лицензии SIEM/EDR, режим 24/7 и время до выхода на рабочий уровень. Часто именно эта арифметика делает MDR экономически оправданным для среднего бизнеса.
Ключевые вопросы к провайдеру перед подписанием: какие именно действия по реагированию вы выполняете и от чьего имени? Каковы измеримые SLA по MTTD и MTTR? Как вы картируете покрытие на MITRE ATT&CK? Как происходит онбординг и кто владеет данными телеметрии после завершения контракта?
Отдельно оцените модель ценообразования на предсказуемость: фиксированная подписка за конечную точку прозрачнее, чем оплата по объёму логов, которая может резко вырасти при всплеске активности. Уточните, входят ли в цену реагирование на крупные инциденты и привлечение команды реагирования (IR retainer), или это оплачивается отдельно. Продуманный контракт защищает не только инфраструктуру, но и бюджет от неожиданных счетов в момент атаки.
FAQ
Чем MDR отличается от антивируса?
Антивирус (и даже современный EPP) — это превентивная технология, которая пытается заблокировать известное вредоносное ПО на устройстве. MDR — это управляемая услуга, которая предполагает, что часть атак прорвётся сквозь превентивные средства, и обеспечивает их обнаружение, расследование и реагирование силами команды экспертов 24/7.
Заменяет ли MDR внутреннюю команду безопасности?
Обычно нет. MDR усиливает и дополняет внутреннюю команду, снимая с неё круглосуточный мониторинг и первичный триаж. Стратегия, управление рисками, соответствие требованиям и взаимодействие с бизнесом остаются внутри компании. MDR — это модель совместной ответственности, а не полная передача безопасности наружу.
Что такое MTTD и MTTR в контексте MDR?
MTTD (Mean Time To Detect) — среднее время обнаружения угрозы, MTTR (Mean Time To Respond) — среднее время реагирования. Это ключевые метрики эффективности MDR: чем они ниже, тем меньше «окно возможностей» у атакующего. Требуйте, чтобы значения SLA по этим метрикам были зафиксированы в договоре.
Как MDR использует MITRE ATT&CK?
MITRE ATT&CK — открытая база тактик и техник противника. Зрелые MDR-провайдеры картируют свои правила детектирования на эту матрицу, чтобы объективно измерять покрытие, показывать клиенту, против каких техник он защищён, и системно закрывать пробелы в обнаружении.
Как быстро можно запустить MDR?
Развёртывание обычно занимает недели, а не месяцы: провайдер устанавливает или подключает сенсоры, настраивает интеграции и правила, согласует playbook реагирования. Это заметно быстрее, чем строить собственный SOC с нуля, где путь до зрелого режима 24/7 измеряется месяцами и годами.
Что важно проверить в SLA MDR-провайдера?
Проверьте измеримые гарантии по MTTD/MTTR, чёткое разграничение действий по реагированию (что выполняется автоматически, что по согласованию), режим работы 24/7/365, охват сред (конечные точки, сеть, облако, идентификации), а также условия владения данными и выхода из контракта.