Resumo rápido
Três modelos operacionais. SOC interno dá controle e expertise do negócio, com TCO alto e curva longa. MDR entrega detecção e resposta gerenciada com analistas 24×7. MSSP opera tecnologia de segurança de forma escalável (firewall, e-mail, SIEM como serviço). Híbrido é frequentemente a melhor resposta.
SOC Interno
Construção do próprio centro de operações — total controle, conhecimento profundo do negócio, alto custo total e risco de turnover.
MDR
Provedor especializado em detecção e resposta. Foco em outcomes (MTTR, hunting). Equipe e tecnologia inclusas.
MSSP
Provedor de tecnologia gerenciada (firewall, e-mail, VPN, SIEM como serviço). Foco em operação e disponibilidade.
| Critério | SOC Interno | MDR | MSSP |
|---|---|---|---|
| Modelo | Operação interna (build) | Serviço gerenciado (buy) | Serviço gerenciado (buy) |
| Foco | Operações de segurança end-to-end | Detecção e resposta a ameaças | Operação de tecnologias de segurança |
| Tecnologia provida | Cliente | Cliente ou provedor | Frequentemente do provedor |
| Equipe operacional | Cliente | Provedor | Provedor |
| Cobertura horária | Definida pelo cliente | 24×7×365 | 24×7×365 |
| Foco em detecção | Sim (depende da equipe) | Alto | Médio |
| Foco em resposta | Sim | Alto (parte do contrato) | Médio (depende do contrato) |
| Threat hunting | Cliente decide | Geralmente incluso | Raramente incluso |
| SLA de detecção | Cliente define | Contratual e específico | Contratual mas genérico |
| Customização | Total | Média-alta | Baixa |
| Modelo de despesa | CapEx + OpEx | OpEx | OpEx |
| Velocidade de implantação | Lenta (6-18 meses) | Rápida (1-3 meses) | Rápida (1-3 meses) |
| TCO comparativo | Alto (pessoas + ferramentas) | Médio-alto | Médio |
| Conhecimento do negócio | Alto (interno) | Médio (cliente educa) | Médio |
| Risco de rotatividade | Alto (concorrência por talento) | Baixo (provedor absorve) | Baixo |
| Onde brilha | Setor regulado, grande porte | Mid-market e enterprise sem time | Operação comoditizada de tecnologia |
Como decidir
- Banco, telecom, energia, healthcare grandes: SOC interno é justificado (regulação, escala, conhecimento).
- Mid-market sem equipe noturna: MDR cobre o gap com SLA contratual.
- Operação fragmentada (vários firewalls, e-mail security, VPN): MSSP padroniza e consolida.
- Híbrido (recomendado em muitos casos): SOC interno no horário comercial + MDR fora; ou MDR L1/L2 + SOC interno L3.
- Compliance que exige analista identificado no log de ações: evite MSSPs com pool anônimo — exija nomeação.
Aprofunde nos conceitos
- SOC vs MDR vs MSSP — qual modelo é certo (artigo completo)
- CSOC — o Centro de Operações de Segurança
- Métricas de segurança para apresentar à diretoria
- Comparador: EDR vs XDR vs MDR
Perguntas frequentes
Qual a diferença entre MDR e MSSP?
MSSP foca em operar a tecnologia (manter firewall, SIEM, e-mail security funcionando). MDR foca em detectar e responder a ameaças — com analistas, threat hunting e ação efetiva. Há sobreposição, mas o foco é distinto.
Quando vale construir SOC interno?
Quando há porte e regulação que exigem conhecimento profundo do negócio, sigilo de informação sensível, e budget para sustentar talento. Tipicamente bancos, telecoms, energia e grandes varejistas.
O modelo híbrido funciona?
Funciona muito bem em mid-market e enterprises. Configurações comuns: SOC interno em horário comercial + MDR fora dele; MDR como L1/L2 e SOC interno como L3; ou MSSP operando ferramentas e SOC interno respondendo.
Quais SLAs cobrar em MDR/MSSP?
Para MDR: tempo de detecção, tempo de notificação, tempo até ação de contenção. Para MSSP: disponibilidade dos serviços operados, tempo de resposta a tickets, qualidade de patching. Em ambos: relatórios mensais com métricas comparáveis.
Avaliação build vs buy para seu cenário
Modelamos seu TCO de SOC interno, comparamos com MDR/MSSP e desenhamos o modelo híbrido se fizer sentido.
Falar com Especialista