Defensive Security 30 Giugno 2026 · 10 min di lettura · Team FrameSec

Cybersecurity MDR, EDR e SIEM: differenze e quale scegliere

MDR, EDR, SIEM, XDR: acronimi simili che descrivono concetti molto diversi. Se stai valutando come migliorare la detection nella tua azienda, questa guida ti aiuta a capire cosa fa ciascuna tecnologia, perché non sono intercambiabili e quale combinazione ha senso per una PMI italiana con risorse limitate.

MDR EDR SIEM XDR cybersecurity PMI

La confusione degli acronimi: un problema reale

Il mercato della cybersecurity ha un problema di acronimi: EDR, MDR, XDR, SIEM, SOAR, MSSP — termini che i vendor usano in modo intercambiabile nelle brochure ma che in realtà descrivono capacità molto diverse. Comprare un SIEM pensando di avere la protezione di un MDR è un errore costoso e pericoloso.

La distinzione fondamentale da tenere a mente: EDR e SIEM sono tecnologie — strumenti software che raccolgono dati e generano alert. MDR è un servizio — include tecnologia, ma soprattutto persone (analisti 24/7) e processi (incident response). La tecnologia da sola non protegge nessuno se non c'è qualcuno che la opera.

EDR: Endpoint Detection and Response

L'EDR è un agent software installato su ogni endpoint (PC, laptop, server) che raccoglie telemetria comportamentale — ogni processo avviato, ogni file creato, ogni connessione di rete, ogni modifica al registro — e la analizza per rilevare comportamenti anomali. A differenza dell'antivirus tradizionale basato su signature, l'EDR usa l'analisi comportamentale per rilevare minacce senza firma nota (es. fileless malware, Living Off The Land attacks).

Cosa fa l'EDR

I limiti dell'EDR

L'EDR vede solo gli endpoint. Non ha visibilità su traffico di rete, accessi cloud (Microsoft 365, Azure AD), sistemi di email, dispositivi IoT/OT non agentati. Inoltre, genera centinaia di alert al giorno che richiedono un team di analisti per la triage — senza personale dedicato, l'alert fatigue porta a ignorare gli alert critici.

SIEM: Security Information and Event Management

Il SIEM è una piattaforma centralizzata che aggrega log da tutte le sorgenti disponibili — endpoint (EDR), firewall, proxy, VPN, cloud, Active Directory, applicazioni — e applica regole di correlazione per identificare pattern sospetti che singoli sistemi non vedrebbero.

Cosa fa il SIEM

I limiti del SIEM

Il SIEM è uno strumento potente ma costoso da operare. Un'implementazione enterprise (Splunk, IBM QRadar, Microsoft Sentinel) richiede: 2-4 ingegneri per la configurazione iniziale (6-12 mesi), almeno 2-3 analisti SOC per la gestione degli alert quotidiani, budget significativo per le licenze (spesso basate sul volume di dati ingestiti — decine o centinaia di migliaia di euro/anno per organizzazioni medie). Non è uno strumento adatto a una PMI che lo deve operare autonomamente.

XDR: Extended Detection and Response

L'XDR è l'evoluzione dell'EDR: invece di monitorare solo gli endpoint, integra telemetria da endpoint, rete, email, cloud e identità in un'unica piattaforma di detection e response. L'integrazione nativa di più sorgenti permette correlazioni che un EDR da solo non può fare: "questo endpoint ha ricevuto un'email di phishing alle 9:14, ha cliccato un link alle 9:17, ha avviato un processo PowerShell anomalo alle 9:18, ha contattato un dominio C2 alle 9:19".

I principali vendor XDR includono Microsoft Defender XDR (integrazione nativa con Microsoft 365 e Azure), CrowdStrike Falcon, SentinelOne Singularity. I servizi MDR moderni usano XDR come tecnologia sottostante.

MDR: Managed Detection and Response

L'MDR non è una tecnologia ma un servizio gestito. Un provider MDR include: tecnologia (EDR/XDR + SIEM/SOAR + threat intelligence platform), analisti SOC umani 24/7, processi di triage e escalation, capacità di incident response attiva (isolamento endpoint, blocco account, aggiornamento firewall rules). La PMI riceve alert qualificati e azioni di contenimento, senza operare direttamente alcuno strumento.

La metafora giusta

EDR e SIEM sono come l'impianto di allarme e le telecamere di un negozio. MDR è il contratto con l'istituto di vigilanza che monitora le telecamere e manda le guardie quando scatta l'allarme. L'impianto da solo non protegge: serve qualcuno che risponda.

Tabella comparativa: MDR vs EDR vs SIEM vs XDR

CaratteristicaEDRSIEMXDRMDR
TipoTecnologiaTecnologiaTecnologiaServizio gestito
VisibilitàSolo endpointMulti-sourceMulti-layerMulti-layer (include tutti)
Analisti umaniNoNoNoSì (24/7)
Incident responseManualeNoParziale autoAttiva e immediata
Complessità gestioneMediaAltaMedia-altaBassa (gestita dal provider)
Costo PMI/anno3.000–15.000 €20.000–100.000 €+8.000–30.000 €6.000–30.000 €
Adatto a PMI senza SOCParzialmenteNoParzialmente

Quale soluzione è giusta per una PMI?

La risposta dipende dalle risorse interne e dal livello di maturità della sicurezza:

PMI senza team IT dedicato alla sicurezza

Soluzione raccomandata: MDR — include tecnologia e personale. La PMI non deve operare alcun tool, riceve solo alert qualificati e azioni di contenimento. È la scelta più pratica per chi non ha competenze interne di detection.

PMI con un sistemista IT interno (no security specialist)

Soluzione raccomandata: EDR gestito + MDR — il sistemista interno gestisce le attività di routine (onboarding nuovi endpoint, policy update), il provider MDR gestisce il monitoring e la response. Il sistema IT interno ha visibilità ma non deve occuparsi della detection avanzata.

PMI/azienda media con team IT strutturato

Soluzione raccomandata: XDR + SIEM + MDR (o SOC ibrido) — l'XDR fornisce visibilità multi-layer, il SIEM gestisce la compliance e la retention, il provider MDR copre le ore notturne e i fine settimana con personale dedicato. Il team interno gestisce il primo livello di triage nelle ore lavorative.

Consiglio

Non comprare un SIEM pensando di risolvere il problema della detection senza un team che lo operi. Il SIEM è uno strumento potente nelle mani giuste e uno spreco di denaro nelle mani sbagliate. Se non hai analisti SOC, l'MDR è quasi sempre la scelta migliore per costo/efficacia.

Domande frequenti

Qual è la differenza tra MDR, EDR e SIEM?
EDR è uno strumento che monitora i singoli endpoint. SIEM aggrega log da più sorgenti. MDR è un servizio gestito che include tecnologie (EDR, SIEM) più analisti umani 24/7 con capacità di incident response attiva. EDR e SIEM sono tecnologie che richiedono personale per operarle; MDR include tutto.

Cos'è XDR e come si differenzia da EDR?
XDR è l'evoluzione dell'EDR: integra telemetria da endpoint, rete, email, cloud e identità in un'unica piattaforma. Offre correlazioni cross-layer impossibili con un EDR isolato. I servizi MDR moderni usano XDR come tecnologia sottostante.

Una PMI ha bisogno del SIEM?
Non necessariamente. Il SIEM richiede un team di analisti per operarlo e produce migliaia di alert al giorno. Per le PMI senza personale dedicato, l'MDR è più pratico: il provider gestisce il SIEM internamente e la PMI riceve solo alert qualificati e azioni di risposta.