Service · MDR · Intel-driven

Detection und Response in Minuten, nicht Wochen.

Intel-driven MDR mit europäischem SOC 24·7·365. Die TTPs der 180+ Akteure, die europäische Märkte angreifen, werden zu Detections — bevor sie Sie erreichen. Mediane Eindämmung ~11 Min. ab bestätigtem Alarm.

Report anfordern Funktionsweise
~11 Min.Mediane Eindämmung
24·7·365Europäisches SOC
180+Profilierte Akteure
Compliance
ISO/IEC 27001
NIS2 ready
DORA aligned
GDPR · ENISA
Europäisches SOC
24·7·365
L2 / L3 in Europa
Entscheidungsbefugnis
EU-Datenresidenz
Aktivierung · 3 Wochen von der NDA bis zur Defense-Präsenz

Wie wir die MDR-Defense-Außenstelle aktivieren.

Keine endlosen Projekte, keine sechsmonatige Discovery. Fünf verifizierte Schritte, auf das minimal Tragfähige für Ihren Stack reduziert · 3 Wochen von der NDA bis zur vollständigen Defense-Präsenz. Security-Monitoring ist bereits ab Woche 1 aktiv während des Onboardings · der erste echte Alarm wird in ~11 Min. eingedämmt, mit Detection nach MITRE ATT&CK gegen die TTPs von 180+ profilierten Akteuren. Bis Woche 3: Fortgale-Console-Provisionierung, L2/L3-Analysten-Föderation auf Ihren Plattformen, europäisches SOC im 24-Stunden-Betrieb. Ab diesem Moment: monatliche Threat-Briefings, quartalsweise Tabletop-Übungen und Runbooks, die gegen Ihre Posture lebendig gehalten werden. Schutz ist kein Go-Live-Ereignis · es ist eine Eigenschaft, die ab Tag 1 der Integration wächst.

  1. Tag 0
    01
    Discovery

    Erstgespräch · NDA · Mapping von Stack & wahrscheinlichen Akteuren

  2. Woche 1-2
    02
    Onboarding

    Telemetrie-Connectoren · Monitoring bereits aktiv

    Monitoring live
  3. Woche 3
    03
    Provisionierung

    Fortgale-Console-Tenant · CISO/IT-Zugang

  4. Woche 3
    04
    Föderation

    Fortgale-Analysten auf Kundenplattformen

  5. Woche 3
    05
    Vollschutz

    SOC 24·7 · ~11 Min. Eindämmung · europäische Defense-Außenstelle

Das Problem · warum intel-driven MDR erforderlich ist

Signaturen reichen nicht — und reichten nie.

In europäischen High-Tier-Vorfällen Q1 2026 sind gültige Konten (T1078) und Phishing (T1566) die häufigsten Initial-Access-Vektoren — bevor irgendeine malware-basierte Detection auslöst. Quelle: ENISA Threat Landscape · MITRE-ATT&CK-Telemetrie.

01 ·

Gültige Konten

T1078 — durch Helpdesk-Vishing gestohlene Anmeldedaten, MFA-Bypass via Push-Bombing. Keine Malware, keine Signatur: nur ein zusätzlicher Operator mit den richtigen Anmeldedaten.

02 ·

Zero-Day

T1190 — Exploits von File-Transfer, VPN, Identity-Broker. Akteure wie Cl0p kaufen 0-Days auf kriminellen Märkten und nutzen sie in gezielten Kampagnen, bevor CVEs vergeben sind.

03 ·

Multidomain

Endpoint, Identität, Cloud, Netzwerk — Lateral Movement verschiebt das Ziel, bevor ein Single-Telemetry-SIEM korrelieren kann. Erforderlich ist Multidomain-AI-Korrelation, keine Silo-Alerts.

Funktionsweise · Service-Architektur

Vier Bausteine, ein einziger Zyklus.

Vom ersten Alarm bis zur Eindämmung, alles unter einem zentralen Ansprechpartner. Keine Vendor-Übergaben, keine Übersetzung, keine Grauzone.

01 ·

Multidomain-Ingestion

EDR · NDR · IDR · CDR — Telemetrie von Endpoint, Netzwerk, Identität und Cloud, normalisiert in einem einzigen Datenfundament. Vendor-agnostisch: Wir passen uns dem Stack an, den Sie bereits haben.

02 ·

Tier-zero AI-native

Multidomain-AI-Korrelation gegen die TTPs von 180+ Akteuren, die unsere CTI profiliert hat. 94% Rauschreduktion. Nur was die menschliche Analyse verdient, verlässt Tier-Zero.

03 ·

Unsere L2/L3-Analysten

Europäisches SOC, Analysten mit Entscheidungsbefugnis. Triage, Untersuchung, Attribution zum Bedrohungsakteur. Eingebettet in Ihren Regulierungskontext — Zeitzone, Sprache und Compliance inklusive.

04 ·

Reaktion & Eindämmung

Mediane Eindämmung ~11 Min. ab bestätigtem Alarm. Assistierte Remote-Reaktion: Prozess-Kill, Credential-Reset, Netzwerksegmentierung auf Anfrage.

Proof · Service-Metriken

Vier Zahlen, die das MDR tragen.

Auf realer Kunden-Telemetrie gemessene Metriken Q1 2026. Vierteljährlich aktualisiert.

~11 Min.
Mediane Eindämmung
ab bestätigtem Alarm
94 %
Rauschen reduziert
durch Tier-Zero-AI
14
MITRE-ATT&CK-Taktiken
abgedeckt
180+
Profilierte Akteure
blockiert
Für wen · zwei Perspektiven

Dasselbe MDR, zwei Perspektiven.

Der CISO entscheidet über das Risiko. Der IT-Verantwortliche über das Runbook. Fortgale MDR liefert Belege für beide.

Für den CISO

Ein namentliches Runbook pro Akteur, bereit vor dem Alarm.

Ransomware ist keine Frage des "ob", sondern des "wann". Jeden Monat erhält der CISO das Profil der 3 wahrscheinlichsten Akteure gegen seine Branche, mit dem Fortgale-Runbook bereits auf jeden gemappt.

  • Monatliches Threat-BriefingAkteure, beobachtete TTPs, in Ihrer Branche aktive Kampagnen.
  • Runbook pro AkteurLebende, MITRE-gemappte Playbooks, gegen den Angreifer aktualisiert.
  • Vorstandsfähiges ReportingRisiko · Auswirkung · Entscheidung. Keine Technologie-Slides.
Threat-Briefing anfordern →
Für den IT-Verantwortlichen

Keine Übersetzer-Übergaben. Europäische Analysten, sofortige Entscheidung.

Wenn der Alarm echt ist, ist Entscheidungszeit gleich Eindämmungszeit. Unsere L2/L3-Analysten kennen Ihren Stack, teilen Ihre Zeitzone und Ihren Regulierungskontext und haben Entscheidungsbefugnis.

  • Mediane Eindämmung ~11 Min.Vom bestätigten Alarm bis zur Behebung in der Produktion.
  • Assistierte Remote-ReaktionProzess-Kill, Credential-Reset, Netzwerksegmentierung auf Anfrage.
  • Integration in bestehenden StackVendor-agnostisch · wir passen uns dem Stack an, den Sie bereits in Produktion haben.
Echtes Runbook ansehen →
Recherche · Grundlage der MDR-Runbooks

Unsere MDR-Runbooks entstehen aus direkter Recherche.

Wenn ein MDR-Alarm bestätigt wird, wurde das Runbook bereits gegen den realen Akteur getestet. Wir profilieren Akteure, analysieren Samples, verfolgen TTPs: Diese Recherche wird zu operativer Aktion in der Produktion — keine Shelfware.

Defence15 Apr 2026

Phishing Kits Bypass MFA and Hijack companies's accounts in minutes

Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…

Artikel lesen →
Featured8 Apr 2026

Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds

In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…

Artikel lesen →
Defence13 Mär 2026

Operation Storming Tide: A massive multi-stage intrusion campaign

In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…

Artikel lesen →
Featured4 Sep 2024

Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365

UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…

Artikel lesen →
Featured18 Dez 2023

Espionage activities targeting European businesses

In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…

Artikel lesen →
Featured6 Dez 2023

Nebula Broker: offensive operations made in Italy

Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…

Artikel lesen →
Alle Recherchen im Blog →
Sprechen Sie mit der Defense-Außenstelle

Ein Treffen. Eine NDA. Ein echtes Runbook auf Ihrem Stack.

Wir bringen den Report zu Ihrer Branche mit den wahrscheinlichsten Akteuren und ein echtes MDR-Runbook auf Ihren Technologie-Stack abgebildet.

Antwortzeit: < 1 Werktag.