Il punto di vista di Cyber Academy
EDR è la piattaforma basata su agente che registra l'attività degli endpoint, rileva comportamenti sospetti e consente agli analisti di isolare o rimediare gli host compromessi. XDR estende la visibilità su endpoint, rete e cloud; MDR è il servizio gestito che li racchiude. L'endpoint rimane il vettore d'ingresso più comune; EDR è oggi un requisito di base, non un elemento differenziante.
Cosa fa davvero l'EDR sull'host
Endpoint Detection and Response esegue un agente leggero su ogni postazione di lavoro, laptop e server a cui tieni. Quell'agente registra in continuazione ciò che fa il sistema operativo: i processi che si avviano, le righe di comando che eseguono, i file scritti, le chiavi di registro modificate, le connessioni di rete aperte e le sessioni utente avviate. Questo flusso di telemetria è il cuore dell'EDR. Dove l'antivirus tradizionale poneva una sola domanda, «questo file è noto come dannoso», l'EDR ne pone una più difficile, «questa sequenza di comportamenti è sospetta», il che gli consente di intercettare attacchi fileless, tecniche di living-off-the-land e l'abuso di strumenti legittimi che non rilasciano mai un campione di malware riconoscibile.
La parte «response» è ciò che distingue l'EDR da un sensore passivo. Quando un host è compromesso, un analista può agire dalla console: isolare la macchina dalla rete mantenendo viva la connessione dell'agente, terminare un processo dannoso, mettere in quarantena un file, raccogliere artefatti forensi o annullare le modifiche. Questa capacità di contenere un singolo endpoint senza toccarlo fisicamente, nel pieno di un incidente in corso, è quella su cui i professionisti fanno più affidamento. La telemetria alimenta anche l'indagine, così chi risponde può ricostruire l'intera catena delle azioni di un attaccante invece di limitarsi a bloccare la prima fase.
EDR, XDR e MDR: conoscere la differenza
Questi tre acronimi vengono venduti fianco a fianco ed è facile confonderli. Non sono tanto prodotti concorrenti quanto ambiti e modelli di erogazione diversi costruiti attorno alla stessa idea centrale.
| Termine | Ambito | Che cos'è |
|---|---|---|
| EDR | Solo endpoint | La piattaforma basata su agenti che registra, rileva e risponde sugli host. La gestisci tu stesso. |
| XDR | Endpoint, rete, cloud, identità, posta elettronica | Estende e correla il rilevamento su più livelli, non solo l'endpoint, per individuare gli attacchi che attraversano più domini. |
| MDR | Ciò che copre il fornitore | Un servizio gestito: un team esterno esegue il rilevamento e la risposta per conto tuo, spesso appoggiandosi a EDR o XDR. |
La lettura pratica è semplice. L'EDR è la tecnologia sull'host. L'XDR è la stessa filosofia di rilevamento ampliata per acquisire segnali oltre l'endpoint e correlarli. L'MDR è una decisione di esternalizzazione: acquisti gli analisti e la copertura continua, non solo lo strumento. Un piccolo team senza un SOC 24/7 abbina spesso l'EDR a un fornitore di MDR affinché gli alert vengano vagliati alle tre del mattino.
Dove si colloca l'EDR nelle tue operazioni e nel tuo SGSI
L'EDR funziona raramente da solo. I suoi rilevamenti e la sua telemetria grezza vengono comunemente inoltrati a un SIEM per la correlazione con i log di firewall, provider di identità e applicazioni, e gli alert risultanti vengono lavorati da un SOC. In quel pipeline l'EDR è il sensore ad alta fedeltà più vicino al punto in cui ha inizio la maggior parte delle intrusioni, poiché l'endpoint resta il punto di ingresso più comune tramite phishing, credenziali rubate e software vulnerabile.
Dal punto di vista della governance, l'EDR è ciò che rende reali, anziché aspirazionali, diversi obiettivi di controllo. Nell'ambito di un SGSI ISO/IEC 27001 supporta i controlli relativi alla protezione dal malware, alla registrazione dei log, al monitoraggio e al lato tecnico della gestione degli incidenti, e produce le evidenze che un auditor si aspetta di vedere. Sostiene inoltre la capacità di rilevamento e risposta che framework come il modello delle funzioni di cybersecurity del NIST e normative come NIS2 e DORA presuppongono che un'organizzazione mantenga. La shortDefinition lo dice chiaramente: l'EDR è ormai un requisito di base, non un fattore di differenziazione.
Frequently asked questions
01In cosa l'EDR è diverso dall'antivirus?
L'antivirus tradizionale confronta i file con le firme di malware noto e blocca ciò che riconosce. L'EDR registra in continuazione il comportamento degli endpoint e rileva schemi di attività sospetta, intercettando attacchi fileless e l'abuso di strumenti legittimi che nessuna firma segnalerebbe. L'EDR aggiunge inoltre azioni di risposta come l'isolamento dell'host e la raccolta forense che l'antivirus non offre.
02Qual è la differenza tra EDR e XDR?
L'EDR è circoscritto agli endpoint. L'XDR estende lo stesso approccio di rilevamento e correlazione a livelli aggiuntivi come rete, cloud, identità e posta elettronica, così da poter far emergere attacchi che si spostano tra i domini. L'XDR offre una visibilità più ampia, non un sostituto della profondità a livello di host che l'EDR garantisce.
03Ho ancora bisogno di un SIEM se ho l'EDR?
Di solito sì. L'EDR è eccellente sull'endpoint ma non vede per intero i log di firewall, applicazioni o identità. Un SIEM correla la telemetria dell'EDR con queste altre fonti per ottenere un quadro completo, ed è per questo che i due vengono comunemente distribuiti insieme e alimentano un SOC.
04Che cos'è l'MDR e quando ne ho bisogno?
L'MDR, Managed Detection and Response, è un servizio in cui un team esterno esegue il rilevamento e la risposta al posto tuo, spesso appoggiandosi a EDR o XDR. Ha senso quando non disponi degli analisti interni o della copertura continua per vagliare gli alert a qualsiasi ora.
05L'EDR è obbligatorio per la conformità?
Nessuno standard nomina specificamente l'EDR, ma le sue capacità si mappano direttamente sugli obiettivi di controllo della ISO/IEC 27001 e sulle aspettative di rilevamento e risposta di framework come il NIST CSF e di normative come NIS2 e DORA. In pratica viene trattato come un requisito di base per dimostrare monitoraggio e risposta agli incidenti.