Ressourcen · Vergleich · MDR · 1 Min. Lesezeit

MDR vs EDR vs XDR: Unterschiede und wann Sie sie brauchen

Kurz gesagt

EDR und XDR sind Technologien: EDR erkennt und reagiert auf dem Endpoint, XDR erweitert die Korrelation auf Identität, Cloud und Netzwerk. MDR ist keine Technologie, sondern ein Managed Service: Es betreibt EDR oder XDR 24·7 mit Analysten, die untersuchen und eindämmen. Kurz: EDR/XDR sind Werkzeuge, MDR sind Werkzeuge plus Menschen.

Das häufigste Missverständnis

„EDR”, „XDR” und „MDR” werden im Marketing als Synonyme verwendet, doch sie beantworten unterschiedliche Fragen. Zwei sind Technologien (EDR, XDR), eines ist ein Service (MDR). Sie zu verwechseln führt dazu, dass man ein Werkzeug kauft und glaubt, eine operative Fähigkeit gekauft zu haben.

EDR: die Endpoint-Basis

Endpoint Detection and Response erkennt bösartiges Verhalten auf dem Endpoint und ermöglicht Response-Aktionen (Host-Isolation, Prozess-Kill). Es ist leistungsstark, aber es ist ein Werkzeug: Jemand muss es beobachten und handeln.

XDR: Korrelation über Domänen hinweg

Extended Detection and Response erweitert die Sichtbarkeit über den Endpoint hinaus auf Identität, Cloud, Netzwerk und E-Mail und korreliert die Signale in einer einzigen Konsole. Es reduziert das Rauschen, bleibt aber eine zu betreibende Technologie.

MDR: der Service, der die Menschen hinzufügt

Managed Detection and Response ist der Managed Service, der EDR oder XDR mit Analysten 24·7 betreibt, die untersuchen und eindämmen. Es ist der Unterschied zwischen dem Besitz der Werkzeuge und dem, dass jemand sie einsetzt, wenn es darauf ankommt. Mehr dazu unter Was ist MDR.

Vergleich

EDR · XDR · MDR im Vergleich

EDRXDRMDR
NaturTechnologieTechnologieManaged Service
AbdeckungEndpointEndpoint, Identität, Cloud, NetzwerkAlles von XDR + Intelligence + Analysten
ResponseManuell (Ihr Team)Manuell (Ihr Team)Gesteuert 24·7
Wer es betreibtSieSieProvider-Analysten
OutputAlarmeKorrelierte AlarmeAbgeschlossene Vorfälle
Feldbeobachteter Nachweis

In Operation Storming Tide lieferte die Technologie die Signale, aber was den Vorfall schloss (Eindämmung, verhinderte Exfiltration und Ransomware), waren die Analysten: genau das, was MDR von EDR/XDR allein unterscheidet.

Zur Analyse →
FAQ

Häufige Fragen.

Ersetzt XDR MDR?

Nein: Es sind unterschiedliche Dinge. XDR ist die Plattform, die Signale über Domänen hinweg korreliert; MDR ist der Service, der sie mit Analysten 24·7 betreibt. Man kann ein XDR haben, das niemand beobachtet: genau hier kommt MDR ins Spiel.

Wenn ich bereits ein EDR habe, brauche ich MDR?

Oft ja. Ein EDR meldet Alarme, die jemand verifizieren und auf die er reagieren muss, zu jeder Stunde. Ohne ein 24·7-Team bleiben EDR-Alarme nachts und am Wochenende unbeantwortet, wenn die meisten Angriffe stattfinden.

Was bedeutet vendor-agnostisches MDR?

Es bedeutet, dass der MDR-Service sich auf der Technologie integriert, die Sie bereits haben (Defender, CrowdStrike, SentinelOne, Splunk und andere), ohne Sie zu zwingen, sie zu ersetzen. Fortgale betreibt MDR auf mehr als 10 führenden Plattformen.

Wie Fortgale es liefert

Von der Theorie zum realen Einsatz.

Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Fortgale MDR-Service.

Verwandte Ressourcen: Was ist MDR · Was ist ein SOC

Mit einem Analysten vertiefen?

Ein technisches Gespräch, kein Funnel.

Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.

Antwortzeit: < 1 Werktag.