MTTD (Mean Time to Detect) gibt an, wie lange es im Durchschnitt dauert, bis ein Sicherheitsvorfall erkannt wird. Die Zeitspanne beginnt mit dem tatsächlichen Eintritt des Vorfalls und endet mit seiner Erkennung durch Dein Monitoring, SIEM oder andere Detektionsmechanismen. Laut Branchenberichten liegt die MTTD bei vielen Organisationen bei über 200 Tagen. Je kürzer die MTTD, desto geringer ist das Schadensausmaß, da Angreifer weniger Zeit haben, sich im Netzwerk auszubreiten und Daten abzugreifen. Automatisierte Erkennungsregeln, Threat Intelligence Feeds und regelmäßige Log-Analysen sind die wichtigsten Hebel zur Verkürzung der MTTD.