MDR vs SOC vs SIEM: guia definitivo para escolher a proteção certa
Resposta direta
SIEM é uma ferramenta de correlação de logs — sem equipe, não age sozinho. SOC é a operação humana que usa o SIEM e outras ferramentas para detectar e responder a ameaças. MDR é um serviço gerenciado que entrega tecnologia e equipe especializada num único contrato, com resposta ativa incluída. XDR unifica telemetria de múltiplos vetores numa plataforma. Empresas sem equipe de segurança própria devem começar pelo MDR; as que já têm SOC interno avaliam SIEM ou XDR para ampliar capacidade.
Em resumo
- ›SIEM é ferramenta, não serviço: comprar sem equipe operacional é desperdiçar investimento.
- ›SOC interno exige ao menos 3–5 analistas em turnos contínuos, o que inviabiliza operação 24×7 para empresas de médio porte.
- ›MDR entrega detecção, resposta e tecnologia num único SLA, reduzindo o tempo médio de contenção (MTTC) sem montar equipe interna.
- ›XDR consolida endpoints, rede, nuvem e identidade numa plataforma integrada — ideal quando há maturidade para gerenciar a ferramenta.
- ›O custo real de um SOC interno supera R$ 1,5 milhão por ano quando somados salários, licenças, treinamento e infraestrutura.
- ›A decisão correta depende de três variáveis: maturidade de segurança, capacidade de retenção de talento e tolerância ao risco residual.
O que é cada um — sem jargão de vendedor
O SIEM (Security Information and Event Management) é um software de coleta, normalização e correlação de logs. Ele agrega eventos de firewall, endpoints, aplicações e infraestrutura em nuvem, cruza essas informações com regras e inteligência de ameaças, e gera alertas. Ferramentas como Splunk, Microsoft Sentinel e IBM QRadar são exemplos consolidados de mercado. O SIEM, sozinho, não age: ele é o painel de instrumentos; alguém precisa pilotar o avião.
O SOC (Security Operations Center) é a operação — a equipe de analistas que monitora alertas, investiga incidentes, aciona respostas e melhora continuamente as regras de detecção. Um SOC pode ser interno (in-house), terceirizado (MSSP) ou híbrido. A eficácia do SOC depende da qualidade das ferramentas que opera e da maturidade dos seus processos, documentados em playbooks e integrados com SOAR (Security Orchestration, Automation and Response).
O MDR (Managed Detection and Response) é um serviço completo: o provedor entrega tecnologia proprietária ou licenciada, equipe de analistas 24×7, inteligência de ameaças e capacidade de contenção ativa — tudo em um único contrato. A diferença fundamental em relação a um MSSP tradicional é a resposta: o MDR age diretamente no ambiente do cliente (isolando endpoints, bloqueando contas) sem depender de aprovação manual para cada ação rotineira.
O XDR (Extended Detection and Response) é uma evolução plataformizada: unifica telemetria de endpoint (EDR), rede (NDR), nuvem e identidade numa única console com correlação nativa. Reduz o tempo de investigação ao eliminar o pivoteamento manual entre ferramentas. Pode ser operado internamente ou contratado como XDR gerenciado (MXDR), que é, na prática, um MDR com plataforma XDR subjacente.
Tabela comparativa: MDR vs SOC vs SIEM vs XDR
A tabela abaixo compara as quatro abordagens nos critérios que mais pesam na decisão de compra: | Critério | SIEM | SOC Interno | MDR | XDR | |---|---|---|---|---| | **O que é** | Ferramenta de correlação | Equipe + processos | Serviço gerenciado | Plataforma unificada | | **Inclui equipe?** | Não | Sim (própria) | Sim (do provedor) | Não (ou opcional como MXDR) | | **Resposta ativa** | Não | Sim | Sim | Depende da operação | | **Cobertura 24×7** | N/A | Exige escala mínima | Inclusa no SLA | N/A | | **Tempo até valor** | 3–6 meses | 6–12 meses | 2–8 semanas | 4–10 semanas | | **Custo anual estimado (BR)** | R$ 150k–800k (licença) | R$ 1,2M–3M+ (total) | R$ 180k–900k | R$ 200k–1,2M | | **Maturidade requerida** | Alta | Alta | Baixa a média | Média a alta | | **Melhor para** | SOC maduro que quer telemetria | Empresas com budget e retenção | Empresas sem equipe própria | Equipes com gap de visibilidade | *Faixas de custo estimadas com base em benchmarks de mercado (Gartner, SANS 2024). Valores variam por número de assets, fontes de log e SLA contratado.*
Descubra qual modelo de detecção e resposta faz sentido para o porte e maturidade da sua empresa com um diagnóstico gratuito da Decripte.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Por maturidade e porte: quem deve contratar o quê
Empresas com até 500 funcionários e sem equipe de segurança dedicada raramente conseguem operar um SIEM de forma eficaz. O custo de um analista sênior de SOC no Brasil varia entre R$ 8.000 e R$ 18.000 por mês, e uma operação 24×7 requer ao menos quatro turnos sobrepostos. Para esse perfil, o MDR é a escolha racional: externaliza a complexidade operacional e entrega SLA de resposta desde o primeiro mês.
Empresas de médio porte (500–5.000 funcionários) com equipe de TI estruturada, mas sem analistas de segurança especializados, encontram no MDR a forma mais rápida de elevar a postura defensiva enquanto desenvolvem capacidade interna. Alguns provedores de MDR oferecem modelos co-gerenciados, onde a equipe interna mantém visibilidade total e pode atuar junto ao SOC terceirizado.
Empresas grandes ou reguladas (bancos, healthtechs, fintechs sujeitas à LGPD com alto volume de dados sensíveis) com equipes de segurança estabelecidas se beneficiam de combinar um SIEM ou XDR próprio com um SOC interno maduro. Nesse caso, o MDR pode ser contratado para cobertura de fins de semana e feriados, ou para nichos específicos como detecção em OT/ICS.
Startups e empresas early-stage devem priorizar controles básicos (MFA, EDR, backup) antes de investir em SIEM ou MDR completo. Uma solução de MDR com foco em endpoint e nuvem, dimensionada para o estágio da empresa, entrega proteção sem comprometer o runway.
Faixas de custo reais e o que está incluso
O custo de um SIEM varia amplamente conforme o volume de ingestão de dados (normalmente cobrado por GB/dia ou por número de eventos por segundo). Soluções enterprise como Splunk e QRadar partem de R$ 200 mil anuais para implementações menores, podendo superar R$ 1 milhão em ambientes complexos. Microsoft Sentinel, por ser cloud-native e baseado em ingestão no Azure, pode ser mais acessível para quem já está no ecossistema Microsoft.
O custo total de propriedade de um SOC interno é sistematicamente subestimado. Além dos salários (4–6 analistas + 1 engenheiro de detecção + 1 coordenador), há custos de licenças de SIEM, threat intelligence feeds, SOAR, treinamento contínuo e certificações (GCIH, GCIA, CEH). Benchmarks do SANS Institute apontam que o custo total anual de um SOC interno de médio porte no Brasil gira entre R$ 1,5 milhão e R$ 3 milhões.
O MDR é cotado por número de endpoints monitorados, por volume de eventos ou por ativo crítico coberto. No mercado brasileiro, serviços de MDR de provedores globais (CrowdStrike, SentinelOne, Arctic Wolf, Rapid7) variam entre R$ 150 e R$ 600 por endpoint/ano, com contratos mínimos que geralmente exigem ao menos 100–200 endpoints. Provedores regionais podem oferecer faixas mais competitivas para médias empresas.
O XDR, quando licenciado de forma autônoma (sem o componente gerenciado), é precificado por usuário ou por endpoint, com valores que competem com suítes de endpoint protection avançadas. O valor real emerge na correlação: um ambiente com EDR + firewall + CASB + IdP gerenciados separadamente pode consolidar custos no XDR. Como MXDR, os custos se aproximam dos do MDR.
Sem cartão, sem compromisso — entenda o seu risco real antes de investir.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Erros mais comuns — e como evitá-los
O erro mais frequente e mais caro é comprar SIEM sem planejar quem vai operá-lo. Organizações adquirem licenças de Splunk ou Sentinel atraídas pelo dashboard impressionante nas demos, implantam as integrações e, meses depois, descobrem que os alertas se acumulam sem tratamento. Um SIEM não operado é pior que não ter SIEM: gera falsa sensação de segurança e dados que não são analisados.
Outro erro recorrente é contratar MDR pelo preço mais baixo sem avaliar a cobertura real de resposta. Há provedores que comercializam 'MDR' mas entregam, na prática, um MSSP com monitoramento e geração de tickets — sem resposta ativa. Ao avaliar propostas, exija clareza sobre o que o provedor pode fazer de forma autônoma no seu ambiente (isolamento de endpoint, bloqueio de conta, contenção de rede) e o que depende de aprovação manual.
Subestimar o MTTD (Mean Time to Detect) e o MTTC (Mean Time to Contain) é um erro de avaliação de risco. Um SIEM sem operação 24×7 pode levar dias para que um alerta seja investigado. O custo médio de um incidente de ransomware no Brasil, segundo dados do CERT.br e benchmarks do Ponemon Institute, supera R$ 1 milhão quando considerados downtime, recuperação e impacto regulatório. Esse número deve entrar no cálculo de ROI da solução.
Por fim, tratar a decisão como permanente é um equívoco estratégico. A maioria das empresas que começam com MDR migra, parcialmente ou totalmente, para um modelo híbrido à medida que constroem equipe interna. Um bom provedor de MDR oferece visibilidade total das investigações, promovendo o aprendizado interno — não criando dependência.
Como avaliar provedores: os critérios que importam
Ao avaliar um provedor de MDR, solicite a metodologia de detecção: se baseada exclusivamente em regras estáticas, a cobertura contra ameaças novas é limitada. Provedores maduros combinam detecção baseada em comportamento (UEBA), inteligência de ameaças proprietária e modelos de machine learning para identificar TTPs (Táticas, Técnicas e Procedimentos) do MITRE ATT&CK que não têm assinatura conhecida.
Verifique a transparência operacional. O provedor entrega visibilidade das investigações em tempo real? Você consegue ver os alertas, as hipóteses levantadas e as evidências coletadas? MDR de qualidade não é uma caixa-preta: é um serviço que acelera a maturidade da equipe interna ao expor o raciocínio dos analistas.
Avalie a cobertura de ambiente. Seu ambiente inclui workloads em nuvem (AWS, Azure, GCP), SaaS críticos (Microsoft 365, Google Workspace, Salesforce), OT ou dispositivos IoT? Certifique-se de que o provedor tem conectores nativos e experiência documentada nesses ambientes antes de assinar.
Por fim, exija SLAs mensuráveis: MTTD máximo por severidade de alerta, MTTC para incidentes críticos e disponibilidade do portal de investigação. SLA de 'melhor esforço' não é SLA — é uma promessa sem penalidade contratual.
Termos-chave
- SIEM
- Security Information and Event Management — software de coleta, normalização e correlação de logs que gera alertas a partir de eventos de segurança. Não age por conta própria; exige equipe operacional para dar valor.
- MDR
- Managed Detection and Response — serviço gerenciado que combina tecnologia de detecção (EDR, NDR, telemetria de nuvem) com equipe de analistas 24×7 e capacidade de resposta ativa num único contrato com SLA definido.
- MTTC
- Mean Time to Contain — tempo médio entre a detecção de um incidente e o momento em que a ameaça é contida ou neutralizada. É o KPI mais relevante para avaliar a eficácia operacional de um SOC ou MDR.
- XDR
- Extended Detection and Response — plataforma que unifica telemetria de múltiplos vetores (endpoint, rede, nuvem, identidade) com correlação nativa, reduzindo o tempo de investigação. Pode ser autônomo ou gerenciado (MXDR).
Como decidir e contratar bem
- Mapeie sua equipe de segurança atual. Contabilize quantos profissionais dedicados à segurança você tem, seus níveis de senioridade e disponibilidade. Se a resposta for zero ou menos de dois, descarte SIEM e SOC interno como primeiras opções.
- Estime seu orçamento total — não apenas de licença. Some licença, implantação, treinamento, suporte e custo de pessoal. Use a faixa de R$ 1,5M–3M para SOC interno como benchmark de comparação com MDR equivalente.
- Avalie sua superfície de ataque. Identifique onde estão seus ativos críticos: endpoints Windows/Mac, servidores Linux, workloads em nuvem, aplicações SaaS, OT. Um provedor de MDR deve ter cobertura nativa para os ambientes que você precisa proteger.
- Defina seu SLA de resposta aceitável. Qual é o tempo máximo tolerável entre a detecção de um ataque de ransomware e o início da contenção? Se a resposta for menos de 1 hora, o MDR com resposta autônoma é praticamente mandatório. SOC interno sem plantão noturno não atinge esse SLA.
- Solicite provas de conceito e referências do setor. Exija uma PoC com seus dados reais (ou ambiente de laboratório representativo) de pelo menos dois provedores. Peça referências de clientes do mesmo segmento e porte. Avalie o tempo de resposta do time comercial como proxy da qualidade do time técnico.
- Avalie os SLAs contratuais com critério. Leia as cláusulas de MTTD e MTTC. Verifique se há penalidades financeiras por descumprimento ou apenas 'melhores esforços'. Exija relatórios mensais de KPIs operacionais como parte do contrato.
- Planeje a evolução — não compre para sempre. Decida se o MDR ou SOC externo é um ponto de partida enquanto constrói capacidade interna, ou um modelo permanente. Certifique-se de que o contrato permite portabilidade dos dados de investigação e não cria lock-in tecnológico intransponível.
Perguntas frequentes
MDR substitui o antivírus ou o EDR que já tenho?
Depende do provedor. A maioria dos MDRs inclui um agente de EDR (endpoint detection and response) proprietário, que substitui antivírus legados. Alguns provedores operam sobre EDRs de terceiros já implantados (como CrowdStrike ou SentinelOne), integrando-os ao serviço gerenciado. Sempre confirme se haverá substituição de agentes antes de assinar.
Preciso de conformidade com a LGPD. O MDR me ajuda?
Indiretamente, sim. O MDR reduz o tempo de detecção e contenção de incidentes, o que é relevante para o prazo de notificação de 72 horas à ANPD exigido pela LGPD em caso de violação. Além disso, alguns provedores entregam relatórios de incidente formatados para uso em comunicações regulatórias. O MDR não substitui, porém, um programa de privacidade e adequação à LGPD.
Qual a diferença entre MDR e MSSP?
O MSSP (Managed Security Service Provider) tradicional monitora e gera tickets — a resposta fica a cargo do cliente. O MDR age de forma autônoma no ambiente do cliente: isola endpoints comprometidos, suspende contas, bloqueia tráfego malicioso. A linha está se apagando com o tempo, pois MSSPs maduros adicionam capacidade de resposta; ao avaliar, questione especificamente o que o provedor executa de forma autônoma.
Pequenas empresas precisam de MDR?
Empresas com dados sensíveis (saúde, financeiro, jurídico) ou que processam pagamentos precisam de detecção e resposta independentemente do porte. Para empresas menores, MDRs com foco em PMEs oferecem pacotes dimensionados com cobertura de endpoint e nuvem, sem a complexidade e o custo de soluções enterprise. O risco de não ter nenhuma cobertura supera o custo de uma solução adequada ao porte.
SIEM e MDR podem coexistir?
Sim, e em organizações maduras essa combinação é comum. O SIEM consolida logs de toda a infraestrutura para retenção, compliance e investigações históricas; o MDR opera com telemetria de endpoint e rede em tempo real para detecção e resposta. A integração entre ambos (feeding do SIEM para o MDR e vice-versa) maximiza a cobertura e a profundidade investigativa.
Como medir se o MDR está entregando valor?
Acompanhe quatro KPIs mensalmente: MTTD (tempo médio de detecção), MTTC (tempo médio de contenção), número de falsos positivos encaminhados para a equipe interna (quanto menor, melhor) e cobertura de TTPs do MITRE ATT&CK detectados em simulações red team. Um bom provedor de MDR entrega esse relatório mensalmente sem precisar ser solicitado.
Referências
- ›Gartner Market Guide for Managed Detection and Response Services, 2024 — Análise de mercado com critérios de avaliação de provedores MDR, tendências de adoção e diferenciação frente a MSSPs tradicionais.
- ›NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide — Guia de referência do NIST para estruturação de capacidade de resposta a incidentes, base para playbooks de SOC e MDR.
- ›SANS 2024 SOC Survey — People, Process, Technology — Pesquisa anual do SANS Institute com benchmarks de custo, maturidade, ferramentas e desafios operacionais de SOCs ao redor do mundo.
- ›MITRE ATT&CK Framework v15 — Base de conhecimento de táticas e técnicas de adversários usada como padrão para avaliar cobertura de detecção em SIEM, MDR e XDR.
Como a Decripte resolve isso
Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.
Descubra qual modelo de detecção e resposta faz sentido para o porte e maturidade da sua empresa com um diagnóstico gratuito da Decripte.
Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.
