Gå til innhold
NetNordic Norway
salg.no@netnordic.com +47 67 247 365 Webshop Community
Support Under Attack?
Oppdatert 26 feb, 2026
Publisert 25 feb, 2026
Cloud Cybersikkerhet NetNordic Nettverk Artikkel

SOC, MDR eller XDR: Hva er forskjellen, og hva trenger dere egentlig?

SOC Team Infrastructure for Real Time Security Control

Når begrepsforvirring skaper sikkerhetsgap

Cybersikkerhetsmarkedet er fullt av forkortelser: SOC, MDR, XDR, EDR, SIEM. De brukes ofte om hverandre i markedsmateriell, men representerer i realiteten ulike nivåer av dekning, ansvar og modenhet.

For en CISO eller IT-direktør er ikke dette en semantisk diskusjon. Det handler om risikostyring.

Den største risikoen er ikke å velge «feil» forkortelse. Den største risikoen er å tro at dere har en helhetlig overvåkings- og responstjeneste – når dere i praksis har et produkt med alarmer.

SOC – en funksjon, ikke et verktøy

En SOC (Security Operations Center) er en operativ funksjon. Ikke en lisens. Ikke en plattform. Ikke en dashboard-løsning.

En reell SOC innebærer:

  • Kontinuerlig logginnsamling fra hele miljøet (endepunkter, nettverk, sky, identitet, applikasjoner)
  • SIEM-korrelasjon og analyse
  • Dedikerte analytikere med 24/7-overvåking
  • Aktiv trusseljakt (threat hunting)
  • Strukturert hendelseshåndtering (incident response)
  • Rapportering til både operativ og strategisk ledelse

Det avgjørende skillet er ansvar: En SOC tar ansvar for å oppdage, analysere og håndtere hendelser – ikke bare for å generere varsler.

For virksomheter underlagt NIS2, DORA eller andre regulatoriske krav er dette ofte nærmere det som forventes enn et enkelt produktlag.

MDR – et målrettet, men smalere sikkerhetslag

MDR (Managed Detection and Response) er typisk bygget rundt EDR-data fra endepunkter. Det gir dere tilgang til eksterne analytikere som overvåker og responderer på varsler fra disse kildene.

MDR er ofte et godt første steg for virksomheter som:

  • Mangler intern sikkerhetskapasitet
  • Ønsker rask forbedring av deteksjon på endepunktnivå
  • Bygger sikkerhetsprogrammet gradvis

Det MDR normalt ikke dekker fullt ut, er bred loggkorrelasjon på tvers av nettverk, sky og identitet, eller helhetlig incident response som omfatter hele infrastrukturen.

MDR kan redusere risiko betydelig – men gir ikke nødvendigvis det samme totale situasjonsbildet som en full SOC.

EDR og XDR – produkter som krever mennesker

EDR (Endpoint Detection and Response) er et produkt installert på endepunkter. Det samler data og genererer varsler basert på signaturer og atferdsanalyse.

XDR (Extended Detection and Response) utvider dette til flere datakilder – for eksempel nettverk og sky – i én plattform.

Felles for begge er at de i utgangspunktet er teknologikomponenter.

Uten tydelig eierskap til varsler, definerte responssykluser og kompetente analytikere som kontinuerlig tolker kontekst, vil de fungere som avanserte sensorer – ikke som en operativ sikkerhetsfunksjon.

Et mønster vi ofte ser i norske virksomheter er investering i EDR og XDR uten tilsvarende investering i analyse- og responssiden. Resultatet er økt synlighet – men ikke nødvendigvis økt kontroll.

Hva bør avgjøre valget?

Valget mellom SOC, MDR og produktbaserte løsninger bør styres av tre faktorer:

Risikoprofil. Opererer dere i kritisk infrastruktur, finans, offentlig sektor eller andre regulerte bransjer? Er dere eksponert mot statlige aktører eller målrettede angrep? Jo høyere konsekvens ved brudd, desto større behov for helhetlig dekning.

Kompleksitet i miljøet. Har dere hybride miljøer med sky, SaaS, OT/IT-konvergens og distribuerte lokasjoner? Fragmentert infrastruktur krever bredere synlighet og korrelasjon.

Intern kapasitet. Har dere egne analytikere som kan håndtere triage, eskalering og hendelseshåndtering 24/7? Hvis ikke, må dette dekkes eksternt – enten gjennom MDR eller en full SOC.

Spørsmål som raskt avklarer hva dere faktisk kjøper

Når dere evaluerer en leverandør, bør dere stille konkrete og operative spørsmål:

  • Er logginnsamling og -lagring inkludert, eller prises det separat?
  • Er det reelle sikkerhetsanalytikere tilgjengelig 24/7 – eller rutes hendelser til en generell supportfunksjon?
  • Hva skjer konkret ved et kritisk incident utenfor arbeidstid?
  • Dekkes hele miljøet (endepunkt, nettverk, sky, identitet), eller kun deler?
  • Er tjenesten vendor-agnostisk, eller bundet til én teknologiplattform?

Svarene vil ofte tydeliggjøre om dere vurderer en operativ sikkerhetsfunksjon – eller et produkt med tilleggstjenester.

Hva betyr «operativ kapasitet» i praksis?

Det er et begrep som er lett å si og vanskelig å etterprøve – men det finnes målbare indikatorer.

Deteksjonstid er én. Tiden fra en hendelse inntreffer til den er identifisert bør måles i minutter, ikke timer. Responstid er en annen: hva skjer faktisk etter deteksjon, og hvor raskt? En tredje er dekningsgrad: hvilken andel av miljøet er faktisk synlig, og hva mister dere i blindsonene?

En moden SOC med dedikerte analytikere og aktiv trusseljakt oppdager i snitt en vesentlig andel hendelser som automatiserte løsninger ikke fanger opp. Det er målbare størrelser dere kan – og bør – etterspørre dokumentasjon på fra enhver leverandør dere vurderer.

Hva betyr dette i en NIS2-kontekst?

NIS2 stiller krav til kontinuerlig risikostyring og evne til å oppdage og håndtere hendelser. Det handler ikke bare om å ha sikkerhetsverktøy, men om å dokumentere operativ kapasitet.

For styret og ledelsen er spørsmålet derfor ikke hvilken forkortelse dere har kjøpt – men om dere kan vise at dere oppdager avvik raskt, håndterer hendelser strukturert, og lærer og forbedrer dere over tid.

En EDR-lisens uten oppfølging gir ikke dette. En moden SOC- eller MDR-struktur kan gjøre det – dersom den er riktig dimensjonert.

Oppsummert

Teknologi alene gir ikke sikkerhet. Du trenger også operative krefter, dyktige fagfolk og tilgang på nok ressurser.

Før dere velger løsning, bør dere kartlegge hva dere faktisk har i dag, hvem som følger opp varsler, hvor lang tid det tar å oppdage og håndtere et reelt angrep – og hvilke regulatoriske og forretningsmessige krav dere må møte.

Ønsker dere en nøktern vurdering av om dagens oppsett gir dere den dekningen dere tror dere har? Vi gjennomfører en strukturert gjennomgang av eksisterende verktøy, prosesser og responssykluser som avdekker gap som ikke er synlige i produktoversikter – men som er avgjørende når det virkelig gjelder. Ta kontakt for å avtale et møte.

Forfatter

Raymond Utsi

Team Lead Protective Security Protective Security

Kontakt Oss

Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!

Siste innhold

Når produksjonslinjen er målet
Cybersikkerhet
Artikkel
feb 25, 2026

Når produksjonslinjen er målet

Cloud 2026: Kontroll, compliance og kontinuitet
Cloud
Artikkel
feb 25, 2026

Cloud 2026: Kontroll, compliance og kontinuitet

5 tegn på at din bedrift er klar for NaaS
Cybersikkerhet
Artikkel
feb 25, 2026

5 tegn på at din bedrift er klar for NaaS

Vårt nyhetsbrev

Få de aller siste nyhetene og oppdateringene rett i innboksen din.