Security Service
Managed Detection & Response (MDR)
MDR kombiniert kontinuierliches Monitoring mit Analyse, Priorisierung und Reaktionsunterstuetzung. Ziel ist, relevante Vorfaelle frueh zu erkennen und strukturiert zu bearbeiten – auf Basis hochwertiger Signale aus EDR, SIEM, Cloud und Identity.
24/7 Triage
Bewertung und Priorisierung statt Roh-Alerts.
Klare Eskalation
Playbooks, Kontaktkette, Rollen und Reaktionsmodell.
Messbare Kennzahlen
MTTD/MTTR, False Positives, Volumen & Coverage.
MDR ersetzt keine Incident Response bei schweren Vorfaellen. Bei bestaetigten Kompromittierungen braucht es forensische Aufklaerung, Containment und ggf. Recovery als separates Vorgehen.
Kurzüberblick
- Kontinuierlicher Betrieb statt Einmalprojekt.
- Abdeckung haengt von Signalqualitaet und Log-Coverage ab.
- Reaktion nach Playbooks mit klarer Eskalation.
- bewertete Ereignisse statt Alert-Flut
- klare Eskalationswege (wer entscheidet was?)
- laufendes Tuning zur Reduktion von False Positives
- regelmaessige Kennzahlen und Verbesserungs-Backlog
Passt zu Ihnen, wenn …
- kein eigenes 24/7 SOC vorhanden ist.
- Alert-Last hoch ist und Priorisierung fehlt.
- Compliance kontinuierliches Monitoring verlangt.
- Cloud- und SaaS-Umgebungen unzureichend sichtbar sind.
- MTTD/MTTR messbar verbessert werden soll.
Passt nicht, wenn …
- Logs/EDR fehlen oder qualitativ schwach sind.
- keine klaren Eskalationswege oder Entscheider vorhanden sind.
- MDR als Garantie gegen Vorfaelle verstanden wird.
MDR vs. SOC vs. Incident Response
externer Betrieb mit 24/7 Triage und Eskalation.
internes Team mit Plattformbetrieb und hohen laufenden Kosten.
akuter Einsatz bei Vorfaellen, forensisch und zeitkritisch.
MDR fuer Betrieb, IR fuer den Ausnahmefall.
Typische Anwendungsfälle
- Mehrere Teams/Standorte ohne 24/7 Bereitschaft.
- Tool-Mix aus EDR, SIEM und Cloud ohne gemeinsame Priorisierung.
- Audit- oder Kundenanforderungen an Monitoring-Nachweise.
- Cloud- und SaaS-Workloads ohne durchgaengige Logs.
- Bedarf an messbarer Verbesserung von MTTD/MTTR.
Ablauf & Methodik
Umfang, Datenquellen, Rollen, Reaktionsmodell.
Triage, Korrelation, Kontext, Playbooks.
Reports, Kennzahlen, Verbesserungs-Backlog.
Scope & Vorbereitung
- Schutzumfang definieren (Assets, Identitaeten, Cloud-Konten, Regionen).
- Datenquellen und Integrationen festlegen (EDR, SIEM, M365, Cloud Logs).
- Rollen und Eskalationswege klaeren (RACI, Kontaktkette, On-Call).
- Reaktionsbefugnisse abstimmen (nur Empfehlung vs. aktive Eindämmung).
Durchfuehrung
- Signale sammeln, normalisieren und Use Cases aktivieren.
- 24/7 Triage, Korrelation und Kontextanreicherung.
- Bestaetigte Faelle werden nach Playbooks bearbeitet und eskaliert.
- Kontinuierliches Tuning zur Reduktion von False Positives.
Ergebnisdokumente
- Onboarding-Doku mit Datenquellen und Use-Case-Abdeckung.
- Incident Reports mit Timeline, Indikatoren und Handlungsempfehlungen.
- Regelmaessige Kennzahlen (Alert-Volumen, MTTD/MTTR, False Positives).
- Backlog fuer Detection-Verbesserungen.
Auswahlkriterien für Dienstleister
- 24/7 Abdeckung, SLAs und Eskalationsgeschwindigkeit.
- Transparenz: Zugriff auf Rohdaten, Regeln und Erkennungslogik.
- Reaktionsmodell (Advisory vs. aktive Isolation/Containment).
- Unterstuetzte Datenquellen und Integrationsaufwand.
- Datenstandort, Datenschutz und Logging-Retention.
- Preisstruktur (pro Asset, pro Event, pro GB) und Skalierung.
Nächste Schritte
- Datenquellen inventarisieren und Luecken priorisieren.
- Reaktionsmodell festlegen (nur Beratung vs. aktive Massnahmen).
- Pilotumfang definieren und Erfolgskriterien fuer 90 Tage setzen.
- Interne Stakeholder fuer Betrieb und Eskalation festlegen.