产品概述

MDR（Managed Detection and Response）威胁检测与响应服务结合先进技术分析与安全专家研判，为客户提供全天候的威胁检测、调查和响应服务。通过端点遥据收集、行为分析、威胁情报关联和自动化响应，快速发现和处置安全威胁。

行业背景与需求

传统的安全防御手段主要依赖已知威胁特征匹配，面对高级持续性威胁（APT）、零日攻击和隐蔽渗透等新型攻击往往力不从心。据Verizon DBIR报告，82%的数据泄露涉及人为因素，74%涉及外部攻击者。MDR服务通过多维度数据分析和专业安全团队深度调查，有效提升威胁发现和响应能力。

技术架构与方法论

采用EDR端点检测与响应+网络流量分析+威胁情报+安全专家研判四位一体的技术架构。通过部署EDR终端代理收集端点遥据数据，结合NDR网络检测分析网络流量异常，利用威胁情报进行IOC匹配和TTP识别，最终由安全专家进行深度调查和研判。

服务流程

第1步：端点遥据数据采集。在客户终端部署EDR代理，持续收集进程创建、网络连接、文件操作、注册表变更等端点遥据数据，为威胁检测提供全面的数据基础。

第2步：威胁检测与行为分析。结合规则引擎、机器学习和行为分析技术，对端点遥据数据进行实时分析，检测可疑进程、异常网络连接、横向移动等威胁行为。

第3步：安全事件调查研判。安全专家对检测到的可疑事件进行深度调查，结合威胁情报和时间线分析，确认威胁的真实性和影响范围。

第4步：威胁遏制与应急响应。确认威胁后立即启动遏制措施，包括隔离受感染终端、封禁恶意IP和域名、清除恶意文件等，防止威胁进一步扩散。

第5步：溯源分析与修复建议。对攻击事件进行完整的溯源分析，还原攻击路径和技术手段，提供针对性的修复建议和安全加固方案。

核心技术亮点

◆ 多维度数据融合：融合端点遥据、网络流量、威胁情报和日志数据，构建全面的威胁检测数据体系。

◆ AI辅助研判：利用机器学习算法自动关联告警、识别攻击模式，辅助安全专家快速完成事件研判。

◆ 快速遏制能力：提供一键式威胁遏制功能，在确认威胁后数分钟内完成隔离和封禁操作。

◆ 专家级研判团队：安全团队拥有平均10年以上的安全运营经验，持有CISP、CISSP等专业资质。

适用场景

1. 高级威胁检测需求：适用于需要检测和响应APT攻击、零日漏洞利用、隐蔽渗透等高级威胁的企业。

2. 安全团队能力补充：企业已有基础安全能力但缺乏深度威胁调查和响应能力，通过MDR服务补充专业研判能力。

3. 应急响应能力提升：企业需要提升安全事件的响应速度和处置效果，通过MDR的SLA保障实现快速响应。

部署与交付

标准服务周期1年。需要部署EDR终端代理和网络流量探针。交付物包括《MDR服务方案》《月度威胁检测报告》《事件处置报告》《年度安全总结》等。

常见问题

问：MDR与MSS有什么区别
答：MDR专注于威胁检测和响应，强调深度调查和快速处置；MSS更侧重全面的安全监控托管，涵盖设备管理和策略优化。

问：使用什么技术手段检测威胁
答：结合EDR端点检测、NDR网络流量分析、威胁情报和沙箱动态分析等多维度技术。

问：能否与现有安全设备配合
答：可以与客户现有的SIEM、防火墙、IDS等设备无缝集成，充分利用已有安全投资。

问：发现威胁后的处理流程
答：立即通知客户安全团队，提供详细的威胁分析报告和处置建议，必要时直接进行遏制和清除。

相关服务：天穹MSS安全运营服务 | 应急响应智能服务 | 敏感数据泄露检测服务

深圳市华南腾飞科技有限公司是深信服铂金级代理商，拥有14年IT服务经验，已为超过1000家政企客户提供云桌面、网络安全、数据中心等一站式解决方案。咨询热线：13510444731