MDR — Managed Detection and Response (Detecção e Resposta Gerenciada)

Resposta direta

MDR (Managed Detection and Response) é um serviço gerenciado que combina telemetria de endpoint, rede, identidade e nuvem com analistas humanos operando 24x7 e playbooks de resposta para detectar, investigar e conter ameaças que escapam das ferramentas automáticas. Diferente do EDR (que é a ferramenta de endpoint) e do XDR (que é a plataforma de correlação), o MDR entrega o resultado — detecção validada por humanos e resposta executada — como um serviço com SLAs de MTTD (tempo médio de detecção) e MTTR (tempo médio de resposta). O Gartner define MDR como funções de SOC entregues remotamente, conduzidas por humanos (human-led) e turnkey, culminando em interrupção e contenção da ameaça.

Principais conclusões

  • MDR é serviço, não software: você não compra uma ferramenta, contrata um conjunto de time 24x7 + tecnologia + processo que detecta e responde a incidentes por você, com SLAs mensuráveis (MTTD/MTTR).
  • EDR é a ferramenta (sensor de endpoint), XDR é a plataforma que correlaciona telemetrias de múltiplos domínios, e MDR é o serviço gerenciado que opera tudo isso com analistas humanos — os três são camadas complementares, não excludentes.
  • O diferencial do MDR é a resposta: não basta gerar alerta. Um bom MDR contém a ameaça (isola o host, mata o processo, revoga a sessão, bloqueia o IoC) seguindo um ciclo formal de resposta a incidentes e mapeando táticas no MITRE ATT&CK.
  • Segundo o Verizon DBIR 2024, a exploração de vulnerabilidades como ponto de entrada quase triplicou (cerca de 14% das brechas) e a janela entre publicação e exploração em massa de CVEs críticas se mede em poucos dias — sem cobertura 24x7 e MTTR baixo, ataques noturnos e de fim de semana avançam sem oposição.
  • MDR não é o mesmo que SOC interno: o MDR entrega o resultado pronto (detecção validada + contenção), enquanto montar um SOC próprio exige headcount, SIEM, plantão e maturidade que poucas empresas brasileiras conseguem sustentar.
  • O Gartner reconhece MDR como uma categoria de mercado madura justamente porque resolve a lacuna entre 'ter ferramentas' e 'ter operação' — o problema real da maioria das organizações.

O que é MDR (Managed Detection and Response) e por que ele existe

MDR, sigla para Managed Detection and Response (Detecção e Resposta Gerenciada), é um serviço de cibersegurança no qual um provedor externo assume a operação contínua de detectar, investigar e responder a ameaças no ambiente do cliente. A palavra-chave aqui é 'serviço': o cliente não recebe apenas um software para instalar e administrar sozinho — recebe um time de analistas, uma stack tecnológica de telemetria e um conjunto de playbooks de resposta, operando de forma integrada e contínua. O entregável do MDR não é um console com alertas, é um resultado: ameaças detectadas com confiança e contidas dentro de prazos acordados. O Gartner formaliza essa definição ao caracterizar MDR como funções de SOC entregues remotamente, conduzidas por humanos e em modelo turnkey, cuja finalidade última é a interrupção e a contenção da ameaça.

O MDR existe porque a indústria descobriu, ao longo da última década, que comprar boas ferramentas não é o mesmo que ter segurança operacional. Uma empresa pode investir em EDR de ponta, firewall de próxima geração e SIEM, e ainda assim ser comprometida — porque ninguém estava olhando os alertas às 3h da manhã de um domingo, porque o time não soube distinguir um falso positivo de um movimento lateral real, ou porque, ao detectar, não houve quem agisse para conter. O Gartner consolidou a categoria MDR exatamente para nomear o serviço que preenche essa lacuna entre tecnologia adquirida e operação efetiva, e hoje publica um Market Guide dedicado a ela, sinal de que se trata de um mercado maduro e com critérios de avaliação estabelecidos.

Tecnicamente, um serviço de MDR combina três camadas indissociáveis. A primeira é a telemetria: dados de endpoints (via EDR), de rede (NDR, logs de firewall e DNS), de identidade (autenticação, IdP) e de nuvem (CloudTrail, logs de SaaS, posture de IaaS). A segunda é a inteligência humana e automatizada: motores de detecção, regras de correlação, threat intelligence atualizada e — crucialmente — analistas de segurança que investigam, validam e enriquecem os sinais. A terceira é a resposta: ações concretas, manuais ou orquestradas, que interrompem a cadeia de ataque. Sem qualquer uma das três, não é MDR — é, na melhor das hipóteses, monitoramento ou revenda de ferramenta.

Para o decisor não técnico, vale a analogia: o EDR é o sistema de câmeras e sensores instalado na sua empresa; o MDR é a central de monitoramento com vigilantes treinados que assistem às câmeras 24 horas por dia, sabem reconhecer um arrombamento real entre mil falsos alarmes, e têm autorização e procedimento para acionar a contenção imediatamente. Comprar câmeras sem central de monitoramento dá uma falsa sensação de segurança — você só descobre que foi invadido depois, revendo as gravações. É exatamente esse erro que o MDR corrige.

Por trás de toda empresa há pessoas: o analista financeiro cuja máquina foi cifrada por ransomware, o cliente cujos dados pessoais vazaram, o gestor que precisa explicar à ANPD por que houve um incidente e demonstrar que havia controles razoáveis. O MDR, ao reduzir o tempo entre o início de um ataque e sua contenção, reduz diretamente esse impacto humano, financeiro e regulatório. Não se trata de comprar uma tecnologia abstrata — trata-se de garantir que alguém competente esteja de plantão quando algo der errado, porque algo, eventualmente, sempre dá.

Como o MDR funciona na prática: telemetria, analistas 24x7 e playbooks de resposta

O ciclo operacional de um MDR começa pela ingestão de telemetria. Sensores de EDR instalados nos endpoints capturam eventos de baixo nível — criação de processos, escritas no registro do Windows, conexões de rede, carregamento de DLLs, uso de utilitários como PowerShell e WMI. Em paralelo, fontes de rede e nuvem alimentam o serviço com fluxos de tráfego, consultas DNS, eventos de autenticação e ações em APIs de provedores como AWS, Azure e Google Cloud. Essa diversidade de fontes é deliberada: muitas técnicas de ataque só se revelam quando você correlaciona sinais de origens diferentes. Um login bem-sucedido isolado é normal; o mesmo login seguido de execução de ferramenta de descoberta de rede e acesso a um compartilhamento sensível conta uma história muito diferente.

Sobre essa telemetria operam motores de detecção que combinam abordagens. Detecção baseada em assinaturas e IoCs (Indicators of Compromise) pega ameaças conhecidas. Detecção comportamental e analítica — frequentemente alimentada por machine learning — sinaliza desvios do baseline: um servidor que nunca fez conexões de saída para a internet de repente exfiltrando dados, uma conta de serviço executando comandos interativos. E detecção baseada em TTPs (táticas, técnicas e procedimentos) mapeia o comportamento observado contra o framework MITRE ATT&CK, que organiza o comportamento adversário em 14 táticas para o domínio Enterprise — de Reconnaissance e Resource Development, passando por Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection e Command and Control, até Exfiltration e Impact — detalhadas em centenas de técnicas e sub-técnicas catalogadas a partir de ataques reais. Mapear ATT&CK permite ao analista entender em que estágio da intrusão o adversário está e antecipar o próximo passo.

Aqui entra o componente que define o MDR: o analista humano operando 24x7. Motores geram sinais; analistas decidem o que é real. Um analista de SOC experiente faz a triagem de um alerta investigando o contexto — quem é o usuário, qual o papel da máquina, o comportamento bate com a função, há outros sinais correlacionados — e classifica entre falso positivo, atividade benigna anômala e ameaça verdadeira. Para os casos verdadeiros, o analista escala, e em provedores mais maduros faz threat hunting proativo: busca hipóteses de comprometimento que nenhum alerta disparou, usando conhecimento de TTPs adversários. Essa cobertura ininterrupta importa porque adversários não respeitam horário comercial; ataques são frequentemente deflagrados em madrugadas, feriados e fins de semana exatamente para explorar a ausência de defensores.

Detectada e validada a ameaça, o MDR executa a resposta seguindo playbooks — procedimentos pré-acordados que definem quem faz o quê, com qual autoridade e em qual sequência. A resposta pode ser totalmente gerenciada (o provedor isola o endpoint comprometido, mata o processo malicioso, revoga sessões e bloqueia o IoC na borda) ou co-gerenciada (o provedor recomenda e o cliente aprova ou executa). As ações de contenção mais comuns incluem o host isolation via EDR — o endpoint é desconectado da rede mas mantém conexão com o console para investigação —, o encerramento de processos maliciosos, a desativação de contas comprometidas, o bloqueio de indicadores em firewall/proxy/DNS e a revogação de tokens de sessão. O objetivo é cirúrgico: interromper o adversário sem derrubar a operação inteira do cliente.

Esses playbooks não são improvisados — derivam da disciplina de resposta a incidentes formalizada pelo NIST. O guia de referência, a publicação SP 800-61, foi atualizado para a Revisão 3 em abril de 2025, que reorganiza a resposta a incidentes em torno das seis funções do NIST Cybersecurity Framework 2.0: Govern, Identify, Protect, Detect, Respond e Recover, com ênfase em melhoria contínua ao longo de todo o ciclo (e não apenas em uma reunião de lições aprendidas ao final). As edições anteriores estruturavam o mesmo trabalho em quatro fases clássicas — Preparação; Detecção e Análise; Contenção, Erradicação e Recuperação; e Atividade Pós-Incidente — vocabulário ainda muito usado no mercado. Independentemente da nomenclatura, é essa disciplina de processo, e não apenas a tecnologia, que separa um MDR sério de um simples revendedor de EDR com suporte glorificado: preparar o ambiente e os playbooks, detectar e analisar continuamente 24x7, conter/erradicar/recuperar com ações de resposta, e fechar o loop com revisão e ajuste de regras para o próximo evento.

Gestão de Ameaças · Grátis

Você já tem (ou está comprando) ferramentas de detecção, mas não tem quem olhe os alertas às 3h de um domingo? É exatamente essa lacuna que o MDR fecha. Comece pela Segurança Preventiva (EDR/MDR gerenciado), adicione a camada de SOC 24x7 com threat hunting e mantenha a Resposta a Incidentes pronta para quando um alerta virar crise — combinados conforme o seu porte, do MEI ao enterprise. Faça um diagnóstico do seu ambiente com a Decripte e receba a recomendação certa para o seu risco.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

EDR vs MDR vs XDR: a diferença que decide a sua compra

A confusão entre EDR, MDR e XDR é a fonte número um de decisões erradas de compra em segurança. A maneira mais limpa de entender é não tratá-los como concorrentes, mas como camadas diferentes de uma mesma pilha. EDR (Endpoint Detection and Response) é uma ferramenta — um sensor de software instalado nos endpoints que coleta telemetria detalhada, detecta atividade maliciosa local e oferece capacidades de resposta no próprio endpoint, como isolar a máquina ou matar um processo. EDR é tecnologia que você compra, instala e precisa operar. O fabricante entrega o agente e o console, mas não o time que o opera no dia a dia.

XDR (Extended Detection and Response) é uma plataforma — uma evolução do EDR que estende a coleta e, principalmente, a correlação para além do endpoint: rede, e-mail, identidade, nuvem e cargas de trabalho. O valor do XDR é unificar telemetrias que historicamente viviam em silos, aplicando analítica e correlação cruzada para revelar ataques multi-domínio que cada ferramenta isolada não enxergaria. Mas o XDR, assim como o EDR, continua sendo tecnologia: ele entrega uma plataforma poderosa de detecção e investigação, e ainda exige que alguém — humano — opere a plataforma, investigue os alertas e execute as respostas. Comprar XDR sem operação é comprar um cockpit de avião sem piloto.

MDR (Managed Detection and Response) é o serviço — e é aqui que muda a natureza da coisa. O MDR não é uma ferramenta nem uma plataforma; é a operação gerenciada que usa ferramentas (EDR) e/ou plataformas (XDR) para entregar um resultado. Quando você contrata MDR, você não está comprando software para administrar; está terceirizando o resultado: detecção validada por humanos 24x7 e resposta executada com SLA. Um provedor de MDR pode operar o EDR/XDR que você já tem, ou trazer o seu, mas o que você paga é o serviço de pessoas + processo + tecnologia operando juntos. É por isso que a pergunta 'EDR ou MDR?' está mal formulada: o MDR frequentemente inclui ou opera o EDR. A pergunta certa é 'eu tenho time para operar o EDR/XDR 24x7, ou preciso que alguém opere por mim?'.

A distinção tem consequências orçamentárias e de risco concretas. Empresas compram EDR/XDR de ponta, acendem o console, e descobrem meses depois que ninguém investigava os alertas — o famoso 'shelfware' de segurança, tecnologia paga e subutilizada. O risco não é teórico: o Verizon DBIR 2024 mostra que a exploração de vulnerabilidades como vetor inicial quase triplicou em relação ao ano anterior (cerca de 14% das brechas) e que a janela entre a publicação de uma CVE crítica e sua exploração em massa se mede em poucos dias. Quando a ferramenta detecta um sinal desse tipo na madrugada e não há ninguém para investigar e responder, a capacidade tecnológica permanece latente enquanto o adversário avança. O MDR existe para fechar exatamente esse gap, transformando capacidade tecnológica em defesa ativa.

Na prática, a arquitetura ideal combina os três: EDR como sensor nos endpoints, XDR como camada de correlação multi-telemetria, e MDR como o serviço humano que opera ambos com playbooks de resposta. Para a maioria das empresas brasileiras — especialmente fintechs, e-commerces, empresas cripto e startups que não têm um SOC próprio maduro — o caminho mais racional é contratar MDR e deixar que o provedor traga e gerencie a tecnologia subjacente, em vez de comprar ferramentas avulsas que ficarão sub-operadas. Veja a tabela comparativa abaixo para a síntese das diferenças que mais importam na decisão.

MDR vs SOC interno: terceirizar a operação ou construir a sua?

Quando uma empresa decide levar a sério a detecção e resposta, surge a bifurcação estratégica: contratar MDR ou montar um SOC (Security Operations Center) interno? São caminhos para o mesmo destino — operação de segurança contínua — mas com perfis de custo, prazo e risco radicalmente diferentes. Um SOC interno é a sua própria central de operações de segurança: você contrata analistas de níveis 1, 2 e 3, monta turnos para cobrir 24x7x365, adquire e opera um SIEM, mantém threat intelligence, escreve e versiona playbooks, e sustenta tudo isso indefinidamente. O MDR entrega esse mesmo resultado como serviço, sem que você precise construir nada disso do zero.

O obstáculo prático de um SOC interno é brutal e frequentemente subestimado. Cobertura 24x7 genuína exige, no mínimo, de cinco a oito analistas só para preencher os turnos com folgas, férias e redundância — e analistas de segurança qualificados estão entre os profissionais mais escassos e caros do mercado, com alta rotatividade. Some o custo de licenças de SIEM (que escalam com o volume de logs ingeridos), de feeds de threat intelligence, de engenharia de detecção contínua e da maturidade operacional que leva anos para se desenvolver. Para a maioria das organizações de médio porte, o cálculo simplesmente não fecha: o custo total de propriedade de um SOC interno funcional supera de longe o de contratar MDR, e o tempo até estar operacional se mede em trimestres ou anos, não em semanas.

Há também a diferença de profundidade e abrangência de visão. Um provedor de MDR atende dezenas ou centenas de clientes e, com isso, enxerga padrões de ataque que um SOC interno de empresa única jamais veria. Quando uma nova campanha de ransomware ou uma técnica de evasão emerge contra um cliente, o conhecimento e os indicadores se propagam para a defesa de todos os demais. Esse efeito de inteligência coletiva — combinado com analistas que fazem triagem e hunting o dia inteiro, todos os dias, acumulando repertório — é difícil de replicar internamente, onde o time vê apenas o próprio ambiente e enfrenta menos volume e variedade de ameaças reais.

Isso não significa que SOC interno nunca faça sentido. Para organizações muito grandes, altamente reguladas ou com requisitos rígidos de soberania de dados e segredo estratégico, manter um SOC próprio — ou um modelo híbrido — pode ser justificável. O modelo híbrido, aliás, é cada vez mais comum: a empresa mantém um núcleo interno para conhecimento de negócio e governança, e usa MDR para a cobertura 24x7, o threat hunting especializado e a resposta. Nesse arranjo, o MDR não substitui o time interno; o potencializa, cobrindo as madrugadas, os picos e as competências raras.

A pergunta de decisão, portanto, não é 'MDR é melhor que SOC?' — são coisas diferentes. A pergunta é: 'minha empresa tem escala, orçamento recorrente e capacidade de retenção de talento para construir e sustentar uma operação 24x7 de detecção e resposta, ou faz mais sentido contratar esse resultado pronto e direcionar meu investimento ao que é core do meu negócio?'. Para a esmagadora maioria das empresas — e particularmente as que estão crescendo e ainda não têm maturidade de segurança consolidada — a resposta racional é começar por MDR, evoluindo para um modelo híbrido conforme a operação e o orçamento amadurecem.

Gestão de Ameaças · Grátis

Comece pelo diagnóstico gratuito e entenda o seu risco real antes de investir.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Quando contratar MDR, o que exigir no contrato e como medir o resultado (MTTD/MTTR)

O sinal mais claro de que está na hora de contratar MDR é simples: você já tem (ou está comprando) ferramentas de detecção, mas não tem um time humano olhando os alertas 24 horas por dia, todos os dias. Outros gatilhos comuns são exigências de clientes ou parceiros por capacidade de monitoramento contínuo, requisitos regulatórios e setoriais (Bacen e Resolução Conjunta nº 1 para o sistema financeiro, PCI DSS para quem processa cartão, obrigações de tratamento e notificação da LGPD), um incidente recente que expôs a ausência de plantão, ou a constatação de que o time de TI não consegue acumular a função de SOC sem deixar buracos. Para fintechs, exchanges de cripto, e-commerces e SaaS que crescem rápido, esse ponto costuma chegar antes da maturidade para montar um SOC próprio — e é exatamente onde o MDR entrega mais valor.

Ao avaliar um provedor, o contrato e o SLA importam tanto quanto a tecnologia. Os indicadores que governam o serviço são o MTTD (Mean Time to Detect, tempo médio entre o início da atividade maliciosa e sua detecção) e o MTTR (Mean Time to Respond, tempo médio entre a detecção e a ação de contenção). Exija que esses prazos estejam escritos, segmentados por severidade, e acompanhados de relatórios periódicos que comprovem o cumprimento. Pergunte também o que está incluído na resposta: o provedor apenas notifica e recomenda, ou tem autoridade pré-acordada para conter ativamente (isolar host, matar processo, revogar sessão)? Resposta gerenciada de verdade é o que diferencia MDR de mero monitoramento com alertas.

Há uma lista curta de perguntas que separa fornecedores sérios de revendedores. O provedor traz a tecnologia ou opera a que eu já tenho (modelo BYO-EDR)? A cobertura 24x7 é com analistas reais a qualquer hora, ou só automação fora do horário comercial? Faz threat hunting proativo ou apenas reage a alertas? Mapeia detecções no MITRE ATT&CK e reporta de forma legível para o negócio? Em quanto tempo isola um endpoint comprometido na prática? Qual é a transparência — eu vejo as investigações e os dados, ou fico no escuro? E, crucialmente: o que acontece quando um alerta vira um incidente de verdade? Há uma ponte clara para resposta a incidentes com escopo, perícia e plano de erradicação?

Esse último ponto merece destaque porque marca o limite natural do MDR. O MDR é excelente em detectar cedo e conter rápido, encurtando a janela do adversário. Mas quando o evento escala para um comprometimento amplo — ransomware que já cifrou ativos, exfiltração confirmada de dados pessoais, intrusão prolongada com múltiplos sistemas afetados — entra em cena a resposta a incidentes plena: contenção em larga escala, análise forense, erradicação, recuperação e, no Brasil, a gestão das obrigações de notificação à ANPD e aos titulares previstas na LGPD. Um bom provedor articula MDR e resposta a incidentes como um continuum, não como produtos desconexos, para que a transição na hora da crise seja imediata.

Por fim, meça o resultado de forma honesta. Um MDR funcionando bem se manifesta em métricas que melhoram ao longo do tempo: MTTD e MTTR caindo, redução de falsos positivos que chegam ao seu time, incidentes contidos no estágio inicial (Initial Access ou Execution) em vez de no estágio de Impact, e relatórios que você consegue levar para a diretoria e para auditorias. Cibersegurança eficaz não é a ausência de tentativas de ataque — elas continuarão acontecendo — e sim a capacidade comprovada de detectá-las cedo e neutralizá-las antes que virem prejuízo. É esse resultado, e não a posse de ferramentas, que o MDR existe para entregar.

Como a Decripte opera MDR: das ferramentas ao plantão 24x7 e à resposta

Na Decripte, MDR não é um produto isolado de prateleira — é a forma como articulamos detecção e resposta ao redor da realidade de cada cliente, do MEI ao enterprise. A base é a Segurança Preventiva, onde implantamos e gerenciamos o EDR/MDR sobre os endpoints e as principais fontes de telemetria, estabelecemos o baseline do ambiente e definimos os playbooks de resposta. É a camada que transforma sensores em sinais úteis e dá ao serviço a capacidade de agir no próprio endpoint quando necessário.

Sobre essa base opera a camada de SOC 24x7, onde analistas humanos fazem triagem, investigação e threat hunting proativo de forma contínua, mapeando o que veem no MITRE ATT&CK e separando o ruído do que de fato ameaça o negócio. É a cobertura que garante que um alerta às 3h de um domingo seja olhado por alguém competente, e não apenas registrado para análise na segunda-feira. A correlação entre endpoint, rede, identidade e nuvem acontece aqui, revelando os ataques multi-domínio que nenhuma ferramenta isolada enxergaria.

Quando um sinal validado escala para um comprometimento real, aciona-se a Resposta a Incidentes: contenção em escala, análise forense, erradicação, recuperação e o suporte às obrigações regulatórias, incluindo a notificação à ANPD e aos titulares quando há dados pessoais envolvidos. Tratamos MDR e resposta a incidentes como um continuum — a detecção precoce existe justamente para que, se um incidente acontecer, a resposta já comece com contexto, telemetria preservada e o adversário parcialmente contido.

Essa arquitetura em camadas é o que permite atender desde quem está montando sua primeira operação de segurança até organizações com requisitos regulatórios pesados. Você não precisa contratar headcount de SOC, licenciar SIEM e construir maturidade por anos antes de ter detecção e resposta de verdade: o resultado vem pronto, com SLAs de MTTD e MTTR, e cresce com a sua empresa. Os planos de Segurança Preventiva, SOC 24x7 e Resposta a Incidentes podem ser combinados conforme o seu porte e o seu risco — e a recomendação certa para o seu caso sai de um diagnóstico objetivo do seu ambiente, não de um pacote genérico.

EDR vs XDR vs MDR vs SOC interno: o que decide a compra

CritérioEDRXDRMDRSOC interno
O que éFerramenta (sensor de endpoint)Plataforma de correlação multi-domínioServiço gerenciado de detecção e respostaOperação própria de segurança
Escopo da telemetriaEndpointEndpoint + rede + e-mail + identidade + nuvemToda a telemetria operada por humanosDefinido pela própria empresa
Quem operaSeu timeSeu timeAnalistas do provedor, 24x7Seu time, 24x7
Inclui resposta?Ações locais no endpointInvestigação; resposta depende de operaçãoSim — contenção gerenciada/co-gerenciadaSim, se houver maturidade
Cobertura 24x7Não (é software)Não (é software)Sim, com analistas reaisSim, mas exige 5–8 analistas em turnos
Tempo até operarInstalaçãoImplantação + integraçãoSemanas (turnkey)Trimestres a anos
SLAs de MTTD/MTTRNão se aplicaNão se aplicaSim, contratuaisInternos, se definidos
Melhor paraQuem tem time para operarQuem quer correlação e tem operaçãoMaioria das empresas sem SOC maduroGrandes/reguladas com escala e orçamento

Termos-chave

MDR (Managed Detection and Response)
Serviço gerenciado que combina telemetria (endpoint, rede, identidade, nuvem), analistas humanos 24x7 e playbooks de resposta para detectar, investigar e conter ameaças, entregue como serviço com SLAs de MTTD e MTTR. O Gartner o define como funções de SOC entregues remotamente, conduzidas por humanos e turnkey.
EDR (Endpoint Detection and Response)
Ferramenta (sensor de software) instalada nos endpoints que coleta telemetria detalhada, detecta atividade maliciosa local e permite respostas no próprio endpoint, como isolar a máquina ou encerrar um processo. É tecnologia que precisa ser operada por alguém.
XDR (Extended Detection and Response)
Plataforma que estende a coleta e a correlação para além do endpoint — rede, e-mail, identidade, nuvem e cargas de trabalho — aplicando analítica cruzada para revelar ataques multi-domínio. Continua sendo tecnologia que exige operação humana.
SOC (Security Operations Center)
Central de operações de segurança que opera detecção e resposta de forma contínua, com analistas de níveis 1 a 3, SIEM, threat intelligence e playbooks. Pode ser interno (construído pela própria empresa) ou entregue como serviço, caso do MDR.
MTTD e MTTR
MTTD (Mean Time to Detect) é o tempo médio entre o início da atividade maliciosa e sua detecção; MTTR (Mean Time to Respond) é o tempo médio entre a detecção e a ação de contenção. São os principais SLAs que medem a eficácia de um serviço de MDR.
MITRE ATT&CK
Base de conhecimento que organiza o comportamento adversário em 14 táticas (no domínio Enterprise) — de Reconnaissance a Impact — detalhadas em centenas de técnicas e sub-técnicas catalogadas a partir de ataques reais, usada por analistas de MDR para mapear e antecipar a ação do atacante.
NIST SP 800-61
Guia do NIST para resposta a incidentes de segurança. A Revisão 3 (abril de 2025) reorganiza a resposta em torno das funções do NIST CSF 2.0 (Govern, Identify, Protect, Detect, Respond, Recover); edições anteriores usavam quatro fases (Preparação; Detecção e Análise; Contenção, Erradicação e Recuperação; Pós-Incidente).
Threat hunting
Busca proativa por comprometimentos que nenhum alerta automático disparou, conduzida por analistas a partir de hipóteses baseadas em TTPs adversários conhecidos. É um diferencial dos provedores de MDR mais maduros frente ao simples atendimento reativo a alertas.

Por onde começar

  1. Mapeie o que você já tem: inventarie endpoints, fontes de telemetria (rede, identidade, nuvem) e ferramentas de detecção existentes (EDR/XDR), identificando se há alguém de fato investigando os alertas 24x7.
  2. Defina o gatilho de decisão: avalie exigências regulatórias (LGPD, Bacen, PCI DSS), pressões de clientes por monitoramento contínuo, incidentes recentes e a capacidade real do seu time de TI de acumular a função de SOC sem deixar buracos de cobertura.
  3. Escolha o modelo: contratar MDR para receber o resultado pronto, construir um SOC interno (se houver escala, orçamento recorrente e retenção de talento), ou adotar um híbrido — para a maioria das empresas em crescimento, começar por MDR é o caminho racional.
  4. Selecione o provedor pelas perguntas certas: cobertura 24x7 com analistas reais, resposta gerenciada com autoridade de contenção (não só alerta), threat hunting proativo, mapeamento MITRE ATT&CK, transparência das investigações e ponte clara para resposta a incidentes.
  5. Negocie SLAs mensuráveis: exija MTTD e MTTR escritos e segmentados por severidade, relatórios periódicos de cumprimento e definição explícita de quais ações de contenção o provedor pode executar sem aprovação prévia.
  6. Faça o onboarding com baseline e playbooks: implante a telemetria, estabeleça o comportamento normal do ambiente e formalize os procedimentos de resposta antes de declarar o serviço em produção.
  7. Conecte detecção e resposta a incidentes: garanta que, quando um alerta escalar para comprometimento real, exista um plano de contenção em escala, perícia forense, erradicação, recuperação e suporte às notificações da LGPD à ANPD e aos titulares.
  8. Meça e melhore continuamente: acompanhe a queda de MTTD/MTTR, a redução de falsos positivos, a contenção de incidentes em estágios iniciais (Initial Access/Execution) e ajuste regras e playbooks a cada evento — fechando o loop de melhoria contínua.

Perguntas frequentes

O que é MDR (Managed Detection and Response)?

MDR é um serviço gerenciado de cibersegurança em que um provedor externo opera continuamente a detecção, investigação e resposta a ameaças no ambiente do cliente. Combina três camadas: telemetria (endpoint, rede, identidade, nuvem), analistas humanos operando 24x7 e playbooks de resposta. O entregável não é um software para o cliente administrar, mas um resultado: ameaças detectadas com confiança e contidas dentro de SLAs de MTTD e MTTR. O Gartner o define como funções de SOC entregues remotamente, conduzidas por humanos e em modelo turnkey.

Qual a diferença entre EDR, XDR e MDR?

EDR é a ferramenta: um sensor de software no endpoint que detecta e permite respostas locais. XDR é a plataforma: estende a coleta e a correlação para rede, e-mail, identidade e nuvem, revelando ataques multi-domínio. MDR é o serviço: a operação humana 24x7 que usa EDR e/ou XDR para entregar detecção validada e resposta executada com SLA. Os três são camadas complementares — o MDR frequentemente opera o EDR/XDR por você. A pergunta certa não é 'EDR ou MDR?', mas 'tenho time para operar a ferramenta 24x7 ou preciso que alguém opere por mim?'.

MDR é o mesmo que SOC?

Não exatamente. SOC (Security Operations Center) é a operação de detecção e resposta contínua; ele pode ser construído internamente ou entregue como serviço. MDR é justamente o SOC entregue como serviço gerenciado por um provedor externo. Montar um SOC interno exige headcount (cinco a oito analistas para cobrir 24x7), licenças de SIEM, threat intelligence e maturidade que leva anos. O MDR entrega o mesmo resultado pronto, com SLAs, sem que você precise construir nada disso — por isso é a escolha racional para a maioria das empresas que ainda não têm essa maturidade.

Quais SLAs medem a qualidade de um MDR?

Os dois indicadores centrais são MTTD (Mean Time to Detect), o tempo médio entre o início da atividade maliciosa e sua detecção, e MTTR (Mean Time to Respond), o tempo médio entre a detecção e a ação de contenção. Um bom contrato traz esses prazos escritos, segmentados por severidade, com relatórios periódicos comprovando o cumprimento. Além deles, observe a redução de falsos positivos ao longo do tempo e a proporção de incidentes contidos em estágios iniciais (Initial Access/Execution) em vez do estágio de Impact.

O MDR responde de verdade ou só gera alertas?

Essa é a pergunta que separa MDR real de monitoramento glorificado. MDR de verdade executa resposta seguindo playbooks: isola o host comprometido via EDR (mantendo-o conectado ao console para investigação), encerra processos maliciosos, desativa contas, revoga tokens de sessão e bloqueia indicadores em firewall, proxy e DNS. A resposta pode ser totalmente gerenciada (o provedor age) ou co-gerenciada (recomenda e o cliente aprova). Exija no contrato a definição explícita da autoridade de contenção do provedor — apenas alertar não é responder.

Quando minha empresa deve contratar MDR?

O gatilho mais claro é ter (ou estar comprando) ferramentas de detecção sem um time humano olhando os alertas 24x7. Outros sinais: exigências regulatórias (LGPD, Bacen, PCI DSS), pressão de clientes por monitoramento contínuo, um incidente recente que expôs a falta de plantão, ou a constatação de que o time de TI não consegue acumular a função de SOC. Para fintechs, exchanges de cripto, e-commerces e SaaS em crescimento, esse ponto costuma chegar antes da maturidade para montar um SOC próprio — e é onde o MDR entrega mais valor.

O MDR cobre resposta a incidentes graves, como ransomware?

O MDR encurta a janela do adversário detectando cedo e contendo rápido, o que muitas vezes evita que um evento vire um incidente grave. Mas quando o comprometimento já é amplo — ransomware que cifrou ativos, exfiltração confirmada de dados pessoais, intrusão prolongada — entra a resposta a incidentes plena: contenção em escala, análise forense, erradicação, recuperação e, no Brasil, a gestão das notificações à ANPD e aos titulares previstas na LGPD. Um bom provedor articula MDR e resposta a incidentes como um continuum, para que a transição na crise seja imediata.

O MDR usa minhas ferramentas ou traz as dele?

Depende do provedor e do modelo contratado. Alguns operam a stack que você já tem (modelo BYO-EDR, 'traga seu próprio EDR'), aproveitando o investimento existente; outros trazem e gerenciam a tecnologia subjacente como parte do serviço. Ambos são legítimos. O que você paga, em qualquer caso, não é a licença da ferramenta, e sim o serviço de pessoas + processo + tecnologia operando juntos 24x7. Confirme no contrato qual modelo se aplica, o que está incluído e quem é responsável por manter cada componente.

Referências e normas técnicas

  • Gartner — Market Guide for Managed Detection and Response Services (definição de MDR como funções de SOC remotas, human-led e turnkey) — https://www.gartner.com/en/documents/5522796
  • MITRE ATT&CK — Enterprise Tactics (14 táticas, de Reconnaissance a Impact) — https://attack.mitre.org/tactics/enterprise/
  • NIST SP 800-61 Rev. 3 — Incident Response Recommendations and Considerations (alinhado ao CSF 2.0, abril de 2025) — https://csrc.nist.gov/pubs/sp/800/61/r3/final
  • Verizon — 2024 Data Breach Investigations Report (DBIR): exploração de vulnerabilidades como vetor inicial quase triplicou — https://www.verizon.com/business/resources/reports/dbir.html
  • NIST — Cybersecurity Framework 2.0 (funções Govern, Identify, Protect, Detect, Respond, Recover) — https://www.nist.gov/cyberframework

Como a Decripte entrega esta solução

Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo para o seu momento.

Você já tem (ou está comprando) ferramentas de detecção, mas não tem quem olhe os alertas às 3h de um domingo? É exatamente essa lacuna que o MDR fecha. Comece pela Segurança Preventiva (EDR/MDR gerenciado), adicione a camada de SOC 24x7 com threat hunting e mantenha a Resposta a Incidentes pronta para quando um alerta virar crise — combinados conforme o seu porte, do MEI ao enterprise. Faça um diagnóstico do seu ambiente com a Decripte e receba a recomendação certa para o seu risco.

Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.