MDR 是什么？与 EDR 的差异与使用好处

分享：

网络安全威胁日益增加，「端点检测及响应（EDR）」和「受管式检测及响应（MDR）」成为企业不可或缺的安全工具与服务。MDR 和 EDR 是什么呢？企业可以如何利用这两者，加强自身安全防护？本文将深入介绍 EDR 和 MDR 及各自功能，并说明实际应用中的差异与优势，帮助您选择最适合的安全防护方案。

了解 MDR 之前，首先要先了解 EDR 是什么

EDR 是 Endpoint Detection and Response 的缩写，中文称为「端点检测及响应」，是一种网络安全技术或工具。EDR 通过自动化工具实时监控并记录端点上的活动，在检测到异常或可疑活动与程序时即时通报。安全人员可以借助 EDR 提供的数据、分析与响应建议，判断安全事件的成因、严重性，以及应采取何种措施阻断网络攻击。即时监控和自动执行的特性，使 EDR 特别适合用来防范顽固的 APT 攻击。

什么是端点？端点为什么特别需要保护？所谓的「端点（Endpoints）」指的是任何连接到计算机网络的设备，通过其相互传输信息。端点可以是台式电脑、笔记本电脑、平板电脑、智能手机，以及各类物联网（IoT）设备。计算机网络（Computer Networks）指的是连接两个或以上设备的系统，不同设备可以共享通信路径，而我们平常使用的互联网（Internet）则是多个计算机网络相互连接而成的庞大网络系统。日常生活中，端点多用于存储和访问数据。在注重信息安全的现代，针对端点的防护措施至关重要。

一般 EDR 工具的安全防护功能包括：

侦测：

端点监控：持续监视各端点上的活动，例如运行中的程序、读写的文件、网络连接等。
事件记录：将监控的活动记录下来。
分析监控记录：将监控记录与安全数据库中已知的威胁比对。
侦测异常活动：分析数据后，抓出可疑活动。

应变：

报警与提供情报：向安全团队提出警告，并提供可以辅助深入分析威胁的信息，如时间、主机名、恶意程序位置、IP 地址等。
采取补救措施：停止可疑进程、驱逐入侵者、隔离恶意软件或感染的端点，或直接删除恶意软件/恶意代码等，第一时间防止恶意攻击扩散。

MDR 是什么？

MDR 中文为「受管式检测及响应（Managed Detection and Response）」，是由第三方供应商提供的 EDR 网络安全服务。简单来说，MDR 就是企业将包含 EDR 在内的检测与响应工作交给外部的专业安全专家或团队来执行。

随着网络威胁的增加，EDR 工具产生大量数据。即使经过自动化工具初步分析，这些数据仍需深入分析才能提供有用的信息，而进一步分析则需要企业投入更多资源，安全工作的难度也在不断攀升。

提供托管检测与响应服务的 MDR 协助企业管理 EDR 工具及安全数据，并快速响应，替企业节省时间与人力。例如，MDR 供应商可以即时判断系统警报是误报（False Positive），还是出现了具有威胁性的安全事件。企业可以免去这部分工作，专注于核心业务。

MDR 与 EDR 的差异

从定义上来看，EDR 是一种保障网络安全的技术/工具，而 MDR 是使用 EDR 技术/工具进行的安全服务。两者的实际差别在于：使用 EDR 的企业需自行部署和管理相关技术与工具，并根据 EDR 提供的信息，采取相应的安全措施；而使用 MDR 服务，部署、管理、监控和响应安全威胁的工作都由外部厂商负责。因此，EDR 的自主性较高，企业拥有更多控制权，也可以根据自身的网络架构与环境进行配置。而 MDR 除了端点外，还可能涵盖更大范围的检测和响应服务，例如整个信息系统或端点和计算机网络等。

不同的供应商提供的 MDR 服务内容可能会有所不同。通常，MDR 服务还包括：

由安全专家进行人工威胁搜捕（Threat Hunting），主动寻找潜在的威胁。相比被动检测异常活动，威胁搜捕属于主动防御手段。
定期提供网络安全报告。
深入调查安全事件，提供事件发生原因的分析报告，帮助企业防止类似攻击再次发生。
根据威胁或警报的严重性排序。
提供安全威胁响应指南。

下表整理了 EDR 和 MDR 的优缺点差异；EDR 适合拥有足够技术人力与资源来自行管理端点安全监控和威胁响应的组织，而 MDR 适合缺乏内部安全人力或专业知识之组织。

	EDR	MDR
优点	自主性高自訂配置	专业安全技术支持 24 小时监控实时响应防护范围可调
缺点	承担資安人力成本防护范围仅限端点	需支付服务费用資安相關控制权较低