Risorse · Confronto · MDR · 4 min di lettura

MDR vs EDR vs XDR: differenze e quando servono

In breve

EDR e XDR sono tecnologie: l'EDR rileva e risponde sull'endpoint, l'XDR estende la correlazione a identità, cloud e rete. L'MDR non è una tecnologia ma un servizio gestito: opera EDR o XDR 24·7 con analisti che indagano e contengono. In breve: EDR/XDR sono strumenti, l'MDR sono strumenti più persone.

Il malinteso più comune

«EDR», «XDR» e «MDR» vengono usati come sinonimi nel marketing, ma rispondono a domande diverse. Due sono tecnologie (EDR, XDR), uno è un servizio (MDR). Confonderli porta a comprare uno strumento pensando di aver comprato una capacità operativa. La distinzione, ridotta all’osso:

  • 1 dominio
    EDR · solo l'endpoint
  • 4+ domini
    XDR · endpoint, identità, cloud, rete
  • + persone
    MDR · XDR operato da analisti
  • 24·7·365
    la copertura che solo un servizio dà

Una questione di copertura (e di chi la presidia)

Il modo più chiaro per vedere la relazione è per inclusione: l’XDR contiene l’EDR (più domini), e l’MDR contiene l’XDR (più le persone). Non sono tre prodotti alternativi sullo stesso scaffale: sono tre cerchi concentrici, dove ognuno aggiunge qualcosa al precedente.

MODELLO DI COPERTURA · EDR ⊂ XDR ⊂ MDR EDR endpoint rileva · risponde XDR + identità · cloud · rete · email MDR + analisti 24·7 · intelligence · response UMANO · decide e contiene Tecnologia (EDR, XDR) = visibilità · Servizio (MDR) = visibilità + persone con autorità di agire
EDR, XDR e MDR non sono alternative: sono cerchi concentrici. L'MDR aggiunge le persone, non solo i domini.

EDR: la base sull’endpoint

L’Endpoint Detection and Response rileva comportamenti malevoli sull’endpoint (esecuzioni anomale, persistenza, manipolazione di processi) e permette azioni di risposta: isolamento dell’host, terminazione di processi, blocco di file. È potente, ma è uno strumento: registra e mostra, e qualcuno deve guardarlo e agire. L’endpoint è il dominio più ricco di telemetria, ma non l’unico dove si svolge un attacco.

XDR: la correlazione su più domini

L’Extended Detection and Response estende la visibilità oltre l’endpoint, a identità, cloud, rete ed email, correlando i segnali in un’unica console. Il vantaggio è la correlazione: un accesso anomalo (identità) seguito da un’esecuzione sospetta (endpoint) e da traffico inusuale (rete) diventa un’unica storia, non tre allarmi scollegati. Riduce il rumore e accorcia l’indagine, ma resta una tecnologia da operare: la console correla, le persone interpretano.

MDR: il servizio che mette le persone

L’Managed Detection and Response è il servizio gestito che opera EDR o XDR con analisti senior 24·7 che indagano, decidono e contengono. È la differenza tra avere gli strumenti e avere chi li usa nel momento esatto in cui serve, anche alle 3 di notte di un sabato. L’MDR aggiunge tre cose che nessuna tecnologia da sola fornisce: la threat intelligence che dà contesto ai segnali, la copertura continua nello stesso fuso del cliente, e analisti con il mandato di agire senza attendere autorizzazioni.

La distinzione che conta. EDR e XDR rispondono alla domanda «cosa sta succedendo?». L'MDR risponde a «cosa facciamo, adesso?». La prima è una questione di tecnologia. La seconda è una questione di persone con l'autorità di decidere. L'AI amplifica, gli analisti decidono.

Come scegliere

Non è una scelta tra prodotti, ma tra capacità che vi servono. Quattro criteri per orientarsi:

  • Avete un team di sicurezza H24? Se no, l'EDR o l'XDR da soli lasciano scoperti notte e weekend: serve un MDR.
  • Vi basta vedere l'endpoint, o l'attacco passa anche da identità e cloud? Se l'attacco è multidominio (quasi sempre), l'EDR da solo non basta: serve almeno l'XDR.
  • Cercate visibilità o esiti? Se volete alert correlati, l'XDR. Se volete incidenti chiusi, l'MDR.
  • Volete sostituire o valorizzare ciò che avete? Un MDR vendor-agnostic opera la piattaforma esistente, senza rip-and-replace.

Per il quadro completo del servizio e di come funziona la catena dalla detection alla response, vedi Cos’è un MDR.


Lo strumento vede. Il servizio decide. Conoscere l'avversario è il primo atto della difesa, fermarlo in tempo è il secondo: e a fermarlo sono le persone, non la console.

Confronto

EDR · XDR · MDR a confronto

EDRXDRMDR
NaturaTecnologiaTecnologiaServizio gestito
CoperturaEndpointEndpoint, identità, cloud, reteTutto l'XDR + intelligence + analisti
RispostaManuale (vostro team)Manuale (vostro team)Gestita 24·7
Chi lo operaVoiVoiAnalisti del provider
OutputAlertAlert correlatiIncidenti chiusi
Prova field-observed

Nell'Operation Storming Tide la tecnologia ha generato segnali, ma a chiudere l'incidente (contenimento, esfiltrazione e ransomware prevenuti) sono stati gli analisti: esattamente ciò che distingue un MDR da un EDR/XDR da soli.

Leggi l'analisi →
FAQ

Domande frequenti.

L'XDR sostituisce l'MDR?

No: sono cose diverse. L'XDR è la piattaforma che correla i segnali su più domini; l'MDR è il servizio che la opera con analisti 24·7. Potete avere un XDR senza nessuno che lo presidia: è lì che entra l'MDR.

Se ho già un EDR, mi serve un MDR?

Spesso sì. L'EDR genera alert che qualcuno deve verificare e su cui qualcuno deve agire, a ogni ora. Senza un team H24, gli alert dell'EDR restano inascoltati di notte e nei weekend, quando avviene la maggior parte degli attacchi.

Cosa significa MDR vendor-agnostic?

Che il servizio MDR si integra sulla tecnologia che già avete (Defender, CrowdStrike, SentinelOne, Splunk e altri) senza obbligarvi a sostituirla. Fortgale opera l'MDR su oltre 10 piattaforme leader.

Qual è la differenza pratica tra XDR e MDR, se entrambi vedono più domini?

La differenza è chi guarda. L'XDR mostra i segnali correlati; l'MDR ci mette gli analisti che li interpretano e contengono. Un XDR senza presidio è una console con allarmi che nessuno verifica alle 3 di notte. Un MDR è la stessa console più le persone con l'autorità di agire.

Posso passare da EDR a XDR a MDR per gradi?

Sì, ed è il percorso più comune. Molte organizzazioni partono da un EDR, estendono la visibilità con un XDR e poi affidano l'operatività a un MDR quando si rendono conto che il limite non è la tecnologia ma le persone H24 per usarla. L'MDR vendor-agnostic non vi obbliga a ricominciare: opera ciò che avete già.

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.

Risorse correlate: Cos'è un MDR · Cos'è un SOC

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.