Ga naar de inhoud
Support Plan kort gesprek

Volg ons

09.02.2026

Wanneer past MDR bij jouw organisatie?

Geschreven door Marco

Leestijd 4 minuten

MDR past bij je als je EDR hebt (zoals Microsoft Defender of SentinelOne) en je wilt dat securitymeldingen ook buiten kantooruren worden beoordeeld, zodat bij echte dreiging direct wordt ingegrepen op endpoint-niveau. Verwacht je dat er ook wordt meegekeken in firewall-, server- of maillogs, dan heb je eerder SIEM + SOC nodig. Zonder MDR kunnen meldingen ’s avonds of in het weekend blijven liggen. De snelste check: heb je EDR, wil je 24/7 opvolging en klopt je verwachting over wat er bij een alert gebeurt?

Inhoud van dit artikel

Wanneer past MDR bij jouw organisatie?

Als jij IT- of securityverantwoordelijk bent en je wilt niet dat riskante securitymeldingen tot de volgende werkdag blijven liggen, dan helpt Managed Detection and Respons (MDR) je daarbij.

Je vraagt je misschien af: past MDR bij ons?

Ik sprak hierover met onze securityspecialisten Tjeerd en Barend. Na het lezen van dit artikel kun je kiezen wat logisch is: eerst EDR, MDR of toch SIEM + SOC.

  • Je kunt bepalen wanneer MDR bij je past via 3 checks.
  • Je weet wat er gebeurt bij een alert en wie welke actie doet.
  • Je voorkomt verkeerde verwachtingen: wat MDR niet dekt.

Wil je eerst weten wat MDR, EDR en SOC is?

Lees hier het basisartikel MDR, EDR en SOC
MDR-specialist

Gebruik deze 3 MDR-fitchecks

Elke organisatie kan MDR inrichten. De enige vereiste is een EDR-oplossing zoals Microsoft Defender of SentinelOne. Heb je geen EDR? Dan kan een SOC nergens op “inprikken”.

Check 1. Heb je EDR?

  • Ja, Defender of SentinelOne: ga door naar check 2.
  • Nee: dan is stap 1 eerst EDR inrichten.

Check 2. Wil je risico’s buiten kantooruren afdekken?

Herken je een van deze situaties?

  • Je collega’s werken geregeld in de avond of het weekend.
  • Je wilt dat iemand het risico van een bedreiging kan inschatten.
  • Je wilt niet tot de volgende werkdag wachten op actie bij een risicovolle melding.

Dan past MDR goed.

Check 3. Wat verwacht je dat er gebeurt bij een alert?

  • Iemand kijkt mee en grijpt in op endpoint-niveau: dan zit je goed met MDR.
  • Iemand kijkt ook in firewall logs, mailstromen en servers: dan past een andere oplossing beter. Daarover zo meer.

Wat is het risico als meldingen ’s avonds blijven liggen?

Het meeste IT-beheer gebeurt vooral tijdens kantoortijden. Ook bij ons. Dan zie je meldingen, beoordeel je ze en onderneem je actie.

Maar een aanval houdt geen kantoortijden aan. Met MDR verandert dat. Dan kijkt er altijd iemand mee.

We bespreken dit onderwerp met onze relaties. Maar ze stellen deze vraag vaak ook zelf: “Als ik om acht uur ’s avonds iets download en mijn beveiliging slaat aan, wanneer gaan jullie dan aan de slag?”

Wanneer MDR veel oplevert en wanneer minder

Gebruik je teamgrootte niet als enige criterium. Maar weeg het wel eerlijk mee.

MDR is zinvol als:

  • je meer werkstations hebt en meer online activiteit
  • je vaker vragen krijgt over verdachte meldingen
  • je directie om aantoonbare maatregelen vraagt
  • je vooral rust wilt buiten kantooruren

MDR kan ook bij een klein team logisch zijn, maar de waarde hangt af van je risico. Barend noemt een voorbeeld van een bedrijf met vier medewerkers. De omgeving is kleiner. Daar gebeurt vaak minder. De kans op dagelijkse meldingen ligt lager. Dat betekent niet dat het nooit zinvol is.

Heb je een kleine organisatie met werk dat voor aanvallers interessant is? Of leun je sterk op continuïteit? Dan is MDR alsnog een slimme keuze. De echte vraag blijft: welk risico accepteer je, tegen welke kosten?

Een keer sparren?

Wat gebeurt er bij een MDR-alert?

MDR is: EDR + een SOC dat 24/7 meekijkt.

Bij een melding zijn er globaal drie uitkomsten:

1. Loos alarm

 

2. Is later op te volgen

 

3. Een echte dreiging

 

Is het niet zo urgent, dan mailt het SOC ons. We krijgen een update met actiepunten en de opvolging volgt de volgende werkdag.

Is het prioriteit 1, dan belt het SOC onze storingsdienst. Dan gaan we direct aan de slag, ook buiten kantooruren.

Het SOC kan zelf ook op endpoint-niveau acties uitvoeren, zoals een bestand blokkeren of verwijderen of een scan starten op meerdere apparaten.

Belangrijk detail: het SOC logt niet in op je omgeving om “even te kijken”. Als er acties nodig zijn in jouw omgeving, doen alleen wij dat.

Wat MDR niet doet

MDR richt zich op wat er gebeurt op je endpoints via EDR.

Dus MDR doet dit niet:

  • firewall logging monitoren
  • spamfilters beheren of monitoren
  • phishingmails in je inbox bekijken

“Maar de meeste schade komt toch door phishing?”
Dat klopt vaak. Alleen MDR kijkt niet naar het mailtje zelf. MDR kijkt naar wat er daarna op het werkstation gebeurt. Klikt iemand op een phishinglink en downloadt diegene iets kwaadaardigs? Dan ziet EDR de activiteit op het systeem en kan het SOC ingrijpen.

Wanneer stap je door naar SIEM + SOC?

Wil je dat een SOC ook signalen uit meerdere bronnen meeneemt, zoals firewalls, servers, applicaties en meer? Dan kom je uit bij SIEM + SOC.

Kort gezegd:

  • MDR: goedkoper, sneller instappen, grote dekking op werkstationniveau
  • SIEM + SOC: breder zicht, meer bronnen, complexer, hogere kosten

Wat het kost hangt vooral af van het aantal endpoints, de gekozen EDR-licenties en hoe breed je wilt monitoren. MDR is een kleinere stap dan SIEM + SOC, omdat je minder bronnen koppelt en minder inrichting nodig hebt.

Hoe ziet MDR er in de praktijk uit?

Je merkt zelf niets van een SOC-dienst. Wij krijgen de meldingen binnen.

Dit type updates zien we terug:

  • “We hebben dit gezien. False positive. Afgesloten.”
  • “Dit bestand leek kwaadaardig. Geblokkeerd. Scan uitgevoerd op alle apparaten. Geen verdere acties nodig.”
  • “We zien gedrag dat past bij een echte dreiging. Prioriteit 1. We nemen direct contact op.”

Rapportage. Wat krijg je te zien?
Je wilt niet betalen voor iets dat onzichtbaar blijft. Daarom hoort rapportage erbij. We nemen meldingen mee in een security-overzicht, zodat je met directie of collega’s kunt bespreken:

  • hoeveel incidenten plaatsvonden
  • wat de mogelijke impact was
  • welke acties zijn uitgevoerd

Voorkomt MDR phishing en menselijke fouten?
MDR vangt op wat misgaat. Het voorkomt niet dat iemand klikt. Tjeerd zegt het heel duidelijk: “Bewustwording blijft het belangrijkste. Zie MDR daarom als extra slot op de deur. Niet als vervanging van goede gewoontes.”

De kleinste volgende stap

MDR past bij je als je EDR hebt en je ook buiten kantooruren wilt dat meldingen beoordeeld worden en er bij echte dreiging direct wordt ingegrepen.

Onthoud dit: zonder EDR kun je niet starten. Wil je alleen endpoint-detectie met 24/7 opvolging, dan is MDR een logische stap. Wil je ook firewall-, server- en applicatiesignalen meenemen, dan kom je uit bij SIEM + SOC.

Volgende stap: check of je EDR hebt (Microsoft Defender of SentinelOne) en bepaal of je risico vooral tijdens kantooruren zit of ook daarbuiten.

Wil je dat we dit samen scherp maken? Bij Symbis kunnen we je EDR-status en jullie gewenste scope kort toetsen, zodat je na één gesprek weet wat logisch is als volgende stap.

Een keer sparren?

Marco ‐ IT-marketeer bij Symbis

Meer van mijn artikelen lezen?

Volg mij ook op LinkedIn