EDR Endpoint Detection and Response.

EDR è la piattaforma basata su agente che registra l'attività degli endpoint, rileva comportamenti sospetti e consente agli analisti di isolare o rimediare gli host compromessi. XDR estende la visibilità su endpoint, rete e cloud; MDR è il servizio gestito che li racchiude. L'endpoint rimane il vettore d'ingresso più comune; EDR è oggi un requisito di base, non un elemento differenziante.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Il punto di vista di Cyber Academy

EDR è la piattaforma basata su agente che registra l'attività degli endpoint, rileva comportamenti sospetti e consente agli analisti di isolare o rimediare gli host compromessi. XDR estende la visibilità su endpoint, rete e cloud; MDR è il servizio gestito che li racchiude. L'endpoint rimane il vettore d'ingresso più comune; EDR è oggi un requisito di base, non un elemento differenziante.

Cosa fa davvero l'EDR sull'host

Endpoint Detection and Response esegue un agente leggero su ogni postazione di lavoro, laptop e server a cui tieni. Quell'agente registra in continuazione ciò che fa il sistema operativo: i processi che si avviano, le righe di comando che eseguono, i file scritti, le chiavi di registro modificate, le connessioni di rete aperte e le sessioni utente avviate. Questo flusso di telemetria è il cuore dell'EDR. Dove l'antivirus tradizionale poneva una sola domanda, «questo file è noto come dannoso», l'EDR ne pone una più difficile, «questa sequenza di comportamenti è sospetta», il che gli consente di intercettare attacchi fileless, tecniche di living-off-the-land e l'abuso di strumenti legittimi che non rilasciano mai un campione di malware riconoscibile.

La parte «response» è ciò che distingue l'EDR da un sensore passivo. Quando un host è compromesso, un analista può agire dalla console: isolare la macchina dalla rete mantenendo viva la connessione dell'agente, terminare un processo dannoso, mettere in quarantena un file, raccogliere artefatti forensi o annullare le modifiche. Questa capacità di contenere un singolo endpoint senza toccarlo fisicamente, nel pieno di un incidente in corso, è quella su cui i professionisti fanno più affidamento. La telemetria alimenta anche l'indagine, così chi risponde può ricostruire l'intera catena delle azioni di un attaccante invece di limitarsi a bloccare la prima fase.

EDR, XDR e MDR: conoscere la differenza

Questi tre acronimi vengono venduti fianco a fianco ed è facile confonderli. Non sono tanto prodotti concorrenti quanto ambiti e modelli di erogazione diversi costruiti attorno alla stessa idea centrale.

EDR vs XDR vs MDR
TermineAmbitoChe cos'è
EDRSolo endpointLa piattaforma basata su agenti che registra, rileva e risponde sugli host. La gestisci tu stesso.
XDREndpoint, rete, cloud, identità, posta elettronicaEstende e correla il rilevamento su più livelli, non solo l'endpoint, per individuare gli attacchi che attraversano più domini.
MDRCiò che copre il fornitoreUn servizio gestito: un team esterno esegue il rilevamento e la risposta per conto tuo, spesso appoggiandosi a EDR o XDR.

La lettura pratica è semplice. L'EDR è la tecnologia sull'host. L'XDR è la stessa filosofia di rilevamento ampliata per acquisire segnali oltre l'endpoint e correlarli. L'MDR è una decisione di esternalizzazione: acquisti gli analisti e la copertura continua, non solo lo strumento. Un piccolo team senza un SOC 24/7 abbina spesso l'EDR a un fornitore di MDR affinché gli alert vengano vagliati alle tre del mattino.

Dove si colloca l'EDR nelle tue operazioni e nel tuo SGSI

L'EDR funziona raramente da solo. I suoi rilevamenti e la sua telemetria grezza vengono comunemente inoltrati a un SIEM per la correlazione con i log di firewall, provider di identità e applicazioni, e gli alert risultanti vengono lavorati da un SOC. In quel pipeline l'EDR è il sensore ad alta fedeltà più vicino al punto in cui ha inizio la maggior parte delle intrusioni, poiché l'endpoint resta il punto di ingresso più comune tramite phishing, credenziali rubate e software vulnerabile.

Dal punto di vista della governance, l'EDR è ciò che rende reali, anziché aspirazionali, diversi obiettivi di controllo. Nell'ambito di un SGSI ISO/IEC 27001 supporta i controlli relativi alla protezione dal malware, alla registrazione dei log, al monitoraggio e al lato tecnico della gestione degli incidenti, e produce le evidenze che un auditor si aspetta di vedere. Sostiene inoltre la capacità di rilevamento e risposta che framework come il modello delle funzioni di cybersecurity del NIST e normative come NIS2 e DORA presuppongono che un'organizzazione mantenga. La shortDefinition lo dice chiaramente: l'EDR è ormai un requisito di base, non un fattore di differenziazione.

Frequently asked questions

01In cosa l'EDR è diverso dall'antivirus?

L'antivirus tradizionale confronta i file con le firme di malware noto e blocca ciò che riconosce. L'EDR registra in continuazione il comportamento degli endpoint e rileva schemi di attività sospetta, intercettando attacchi fileless e l'abuso di strumenti legittimi che nessuna firma segnalerebbe. L'EDR aggiunge inoltre azioni di risposta come l'isolamento dell'host e la raccolta forense che l'antivirus non offre.

02Qual è la differenza tra EDR e XDR?

L'EDR è circoscritto agli endpoint. L'XDR estende lo stesso approccio di rilevamento e correlazione a livelli aggiuntivi come rete, cloud, identità e posta elettronica, così da poter far emergere attacchi che si spostano tra i domini. L'XDR offre una visibilità più ampia, non un sostituto della profondità a livello di host che l'EDR garantisce.

03Ho ancora bisogno di un SIEM se ho l'EDR?

Di solito sì. L'EDR è eccellente sull'endpoint ma non vede per intero i log di firewall, applicazioni o identità. Un SIEM correla la telemetria dell'EDR con queste altre fonti per ottenere un quadro completo, ed è per questo che i due vengono comunemente distribuiti insieme e alimentano un SOC.

04Che cos'è l'MDR e quando ne ho bisogno?

L'MDR, Managed Detection and Response, è un servizio in cui un team esterno esegue il rilevamento e la risposta al posto tuo, spesso appoggiandosi a EDR o XDR. Ha senso quando non disponi degli analisti interni o della copertura continua per vagliare gli alert a qualsiasi ora.

05L'EDR è obbligatorio per la conformità?

Nessuno standard nomina specificamente l'EDR, ma le sue capacità si mappano direttamente sugli obiettivi di controllo della ISO/IEC 27001 e sulle aspettative di rilevamento e risposta di framework come il NIST CSF e di normative come NIS2 e DORA. In pratica viene trattato come un requisito di base per dimostrare monitoraggio e risposta agli incidenti.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.