MDR vs EDR vs XDR: differenze e quando servono
EDR e XDR sono tecnologie: l'EDR rileva e risponde sull'endpoint, l'XDR estende la correlazione a identità, cloud e rete. L'MDR non è una tecnologia ma un servizio gestito: opera EDR o XDR 24·7 con analisti che indagano e contengono. In breve: EDR/XDR sono strumenti, l'MDR sono strumenti più persone.
Il malinteso più comune
«EDR», «XDR» e «MDR» vengono usati come sinonimi nel marketing, ma rispondono a domande diverse. Due sono tecnologie (EDR, XDR), uno è un servizio (MDR). Confonderli porta a comprare uno strumento pensando di aver comprato una capacità operativa. La distinzione, ridotta all’osso:
- 1 dominioEDR · solo l'endpoint
- 4+ dominiXDR · endpoint, identità, cloud, rete
- + personeMDR · XDR operato da analisti
- 24·7·365la copertura che solo un servizio dà
Una questione di copertura (e di chi la presidia)
Il modo più chiaro per vedere la relazione è per inclusione: l’XDR contiene l’EDR (più domini), e l’MDR contiene l’XDR (più le persone). Non sono tre prodotti alternativi sullo stesso scaffale: sono tre cerchi concentrici, dove ognuno aggiunge qualcosa al precedente.
EDR: la base sull’endpoint
L’Endpoint Detection and Response rileva comportamenti malevoli sull’endpoint (esecuzioni anomale, persistenza, manipolazione di processi) e permette azioni di risposta: isolamento dell’host, terminazione di processi, blocco di file. È potente, ma è uno strumento: registra e mostra, e qualcuno deve guardarlo e agire. L’endpoint è il dominio più ricco di telemetria, ma non l’unico dove si svolge un attacco.
XDR: la correlazione su più domini
L’Extended Detection and Response estende la visibilità oltre l’endpoint, a identità, cloud, rete ed email, correlando i segnali in un’unica console. Il vantaggio è la correlazione: un accesso anomalo (identità) seguito da un’esecuzione sospetta (endpoint) e da traffico inusuale (rete) diventa un’unica storia, non tre allarmi scollegati. Riduce il rumore e accorcia l’indagine, ma resta una tecnologia da operare: la console correla, le persone interpretano.
MDR: il servizio che mette le persone
L’Managed Detection and Response è il servizio gestito che opera EDR o XDR con analisti senior 24·7 che indagano, decidono e contengono. È la differenza tra avere gli strumenti e avere chi li usa nel momento esatto in cui serve, anche alle 3 di notte di un sabato. L’MDR aggiunge tre cose che nessuna tecnologia da sola fornisce: la threat intelligence che dà contesto ai segnali, la copertura continua nello stesso fuso del cliente, e analisti con il mandato di agire senza attendere autorizzazioni.
La distinzione che conta. EDR e XDR rispondono alla domanda «cosa sta succedendo?». L'MDR risponde a «cosa facciamo, adesso?». La prima è una questione di tecnologia. La seconda è una questione di persone con l'autorità di decidere. L'AI amplifica, gli analisti decidono.
Come scegliere
Non è una scelta tra prodotti, ma tra capacità che vi servono. Quattro criteri per orientarsi:
- Avete un team di sicurezza H24? Se no, l'EDR o l'XDR da soli lasciano scoperti notte e weekend: serve un MDR.
- Vi basta vedere l'endpoint, o l'attacco passa anche da identità e cloud? Se l'attacco è multidominio (quasi sempre), l'EDR da solo non basta: serve almeno l'XDR.
- Cercate visibilità o esiti? Se volete alert correlati, l'XDR. Se volete incidenti chiusi, l'MDR.
- Volete sostituire o valorizzare ciò che avete? Un MDR vendor-agnostic opera la piattaforma esistente, senza rip-and-replace.
Per il quadro completo del servizio e di come funziona la catena dalla detection alla response, vedi Cos’è un MDR.
Lo strumento vede. Il servizio decide. Conoscere l'avversario è il primo atto della difesa, fermarlo in tempo è il secondo: e a fermarlo sono le persone, non la console.
EDR · XDR · MDR a confronto
| EDR | XDR | MDR | |
|---|---|---|---|
| Natura | Tecnologia | Tecnologia | Servizio gestito |
| Copertura | Endpoint | Endpoint, identità, cloud, rete | Tutto l'XDR + intelligence + analisti |
| Risposta | Manuale (vostro team) | Manuale (vostro team) | Gestita 24·7 |
| Chi lo opera | Voi | Voi | Analisti del provider |
| Output | Alert | Alert correlati | Incidenti chiusi |
Nell'Operation Storming Tide la tecnologia ha generato segnali, ma a chiudere l'incidente (contenimento, esfiltrazione e ransomware prevenuti) sono stati gli analisti: esattamente ciò che distingue un MDR da un EDR/XDR da soli.
Leggi l'analisi →Domande frequenti.
L'XDR sostituisce l'MDR?
No: sono cose diverse. L'XDR è la piattaforma che correla i segnali su più domini; l'MDR è il servizio che la opera con analisti 24·7. Potete avere un XDR senza nessuno che lo presidia: è lì che entra l'MDR.
Se ho già un EDR, mi serve un MDR?
Spesso sì. L'EDR genera alert che qualcuno deve verificare e su cui qualcuno deve agire, a ogni ora. Senza un team H24, gli alert dell'EDR restano inascoltati di notte e nei weekend, quando avviene la maggior parte degli attacchi.
Cosa significa MDR vendor-agnostic?
Che il servizio MDR si integra sulla tecnologia che già avete (Defender, CrowdStrike, SentinelOne, Splunk e altri) senza obbligarvi a sostituirla. Fortgale opera l'MDR su oltre 10 piattaforme leader.
Qual è la differenza pratica tra XDR e MDR, se entrambi vedono più domini?
La differenza è chi guarda. L'XDR mostra i segnali correlati; l'MDR ci mette gli analisti che li interpretano e contengono. Un XDR senza presidio è una console con allarmi che nessuno verifica alle 3 di notte. Un MDR è la stessa console più le persone con l'autorità di agire.
Posso passare da EDR a XDR a MDR per gradi?
Sì, ed è il percorso più comune. Molte organizzazioni partono da un EDR, estendono la visibilità con un XDR e poi affidano l'operatività a un MDR quando si rendono conto che il limite non è la tecnologia ma le persone H24 per usarla. L'MDR vendor-agnostic non vi obbliga a ricominciare: opera ciò che avete già.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio MDR Fortgale.
Risorse correlate: Cos'è un MDR · Cos'è un SOC
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.