Risorse · Guida · MDR · 4 min di lettura

Cos'è un EDR (Endpoint Detection and Response)

In breve

Un EDR (Endpoint Detection and Response) è una tecnologia che monitora gli endpoint (PC, server, laptop), rileva comportamenti malevoli con analisi comportamentale e permette azioni di risposta come l'isolamento dell'host e il kill dei processi. A differenza dell'antivirus, che blocca minacce note per firma, l'EDR rileva anche attacchi sconosciuti dal comportamento. Ma resta uno strumento: serve qualcuno che lo operi 24·7.

L’endpoint, primo campo di battaglia

L’endpoint è dove l’attacco diventa concreto: esecuzione di codice, escalation di privilegi, movimento laterale. L’EDR nasce per vedere quello che l’antivirus non vede: non solo i file malevoli noti, ma i comportamenti sospetti, anche di minacce mai osservate prima. È un cambio di paradigma: dall’inseguire le firme di ciò che è già noto, all’osservare cosa fa un processo e capire se è un’azione legittima o l’inizio di un’intrusione.

I tratti che distinguono un EDR da un antivirus tradizionale:

  • 100%
    attività endpoint registrata · processi, rete, file, registro
  • 0-day
    rileva anche minacce senza firma · per comportamento
  • EDR
    risponde: isola l'host, termina processi, raccoglie artefatti

Antivirus, EDR, XDR: cosa cambia

Tre generazioni di difesa dell’endpoint, ognuna estende la precedente:

  • Antivirus (EPP) · blocca minacce note per firma. Veloce sui malware conosciuti, cieco su ciò che non ha mai visto.
  • EDR · osserva i comportamenti, rileva anche attacchi senza firma e consente la response sull’endpoint. Vede di più, ma va interpretato.
  • XDR · estende la stessa logica oltre l’endpoint, correlando identità, cloud, posta e rete. Una visione d’insieme, perché molti attacchi non partono dall’endpoint.

Il principio operativo. L'antivirus risponde alla domanda «conosco questo file?». L'EDR risponde a «questo comportamento è normale?». La seconda domanda intercetta gli attacchi reali, ma la risposta non è automatica: richiede un analista che la legga.

Cosa fa un EDR, passo per passo

Un EDR registra in continuo l’attività dell’endpoint e la trasforma in segnale, ma il segnale deve poi diventare decisione. La catena tipica:

FLUSSO EDR · ENDPOINT → RISPOSTA TELEMETRIA processi · rete · file ANALISI comportamentale ALERT MITRE ATT&CK RISPOSTA isola · kill · serve l'analista la macchina rileva l'umano decide
Il flusso di un EDR: registra la telemetria dell'endpoint, la analizza, genera l'alert. La risposta è possibile, ma chi la attiva è un analista, non l'agente da solo.

L’EDR arriva fino all’alert in autonomia. L’ultimo passo, decidere se e come contenere, resta una scelta che richiede contesto e autorità: il punto in cui uno strumento smette di bastare.

Il limite: gli alert non si gestiscono da soli

Un EDR è potente, ma è uno strumento da operare, non un presidio. Tre limiti ricorrenti quando è lasciato a se stesso:

  • Gli alert restano inascoltati di notte. La maggior parte degli attacchi avviene fuori dall'orario d'ufficio, quando nessuno guarda la console.
  • Il rumore seppellisce il segnale. Senza tuning e threat intelligence, i veri positivi annegano tra migliaia di avvisi a bassa priorità.
  • La response non scatta da sola. Isolare un host o terminare un processo richiede una decisione: lo strumento la rende possibile, non la prende al posto vostro.

Comprare l'EDR non è proteggersi. La licenza è il primo passo, non l'ultimo. Senza analisti che lo presidiano 24·7, un EDR diventa una fonte di alert non gestiti: la tecnologia c'è, ma manca chi decide e agisce quando scatta.

È qui che l’EDR da solo non basta e nasce il servizio gestito: l’MDR opera l’EDR (e non solo: anche identità, cloud, rete) con analisti senior 24·7, vendor-agnostic sulle piattaforme leader come Microsoft Defender XDR, CrowdStrike Falcon e SentinelOne, trasformando gli alert in incidenti chiusi. Il servizio: MDR Fortgale.


Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: un EDR fornisce gli occhi, ma è chi lo opera a stringere il pugno.

Confronto

Antivirus vs EDR vs MDR

AntivirusEDRMDR
RilevaMinacce note (firme)Anche sconosciute (comportamento)EDR + identità, cloud, rete + intelligence
RispostaBlocco fileIsolamento host, kill processiResponse gestita 24·7
Chi lo operaAutomaticoIl vostro teamAnalisti del provider
Prova field-observed · oltre l'alert

Nell'Operation Storming Tide i segnali tecnici c'erano: a fare la differenza è stato chi li ha interpretati e ha contenuto l'attacco. Un EDR senza analisti resta una fonte di alert non gestiti.

Leggi l'analisi →
FAQ

Domande frequenti.

Qual è la differenza tra EDR e antivirus?

L'antivirus blocca minacce note per firma. L'EDR usa analisi comportamentale per rilevare anche attacchi sconosciuti e consente la risposta (isolamento, kill). L'EDR vede ciò che l'antivirus non vede, ma richiede interpretazione.

EDR e MDR sono la stessa cosa?

No: l'EDR è la tecnologia, l'MDR è il servizio che la opera con analisti 24·7 (e non solo endpoint). Vedi Cos'è un MDR e MDR vs EDR vs XDR.

L'EDR ferma il ransomware?

Può intercettare le fasi pre-cifratura (movimento laterale, tool offensivi) se qualcuno reagisce agli alert in tempo. Da solo genera segnali; serve un presidio che li trasformi in contenimento.

Serve un team per usare un EDR?

Sì. Un EDR senza analisti che lo presidiano 24·7 produce alert che restano inascoltati, specie di notte e nei weekend, quando avviene la maggior parte degli attacchi. È il motivo per cui nasce l'MDR.

Qual è la differenza tra EDR e XDR?

L'EDR vede solo l'endpoint; l'XDR (Extended Detection and Response) estende la stessa logica a più domini correlati: identità, cloud, posta, rete. L'XDR dà una visione d'insieme che l'EDR da solo non ha, perché molti attacchi moderni non toccano l'endpoint per primi (pensa al furto di sessione su un'identità cloud).

Cos'è l'EDR bypass o evasione?

Sono le tecniche con cui i threat actor cercano di non farsi vedere dall'EDR: disabilitarlo, manometterlo (tampering), usare strumenti legittimi del sistema (living-off-the-land) o caricare driver vulnerabili. È un'altra ragione per cui l'EDR va presidiato: un analista nota che l'agente è stato spento, una console no.

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.

Risorse correlate: Cos'è un MDR · MDR vs EDR vs XDR · Perché l'EDR da solo non basta

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.