1. Perché c'è confusione tra EDR, XDR, SOC, SIEM, MDR
La confusione non è colpa tua. È colpa di un settore che ha lasciato che fossero i reparti marketing dei vendor a definire le categorie di prodotto, invece dei practitioner che le usano. Il risultato è una zuppa di sigle in cui CrowdStrike vende un "XDR" che dieci anni fa si sarebbe chiamato EDR-con-qualche-integrazione, in cui Splunk vende un "SIEM cloud-native" che in realtà è una piattaforma dati generale, e in cui qualunque MSSP italiano con tre analyst e un Wazuh installato si presenta come "SOC enterprise".
Per orientarsi serve cambiare prospettiva. Invece di chiedersi "questo prodotto è un EDR o un XDR?", la domanda corretta è: quale problema concreto risolve, su quali asset, e chi ci sta dietro a leggere gli alert? Tre dimensioni — superficie monitorata, livello di automazione, presenza di persone che fanno triage — bastano a smontare il marketing e a capire cosa stai comprando.
Aggiungiamo che molte categorie si sovrappongono per costruzione. Un MDR è un servizio che dentro contiene quasi sempre un EDR (o un XDR) come tool. Un SOC moderno usa quasi sempre un SIEM come backbone. Un XDR senza analyst dietro è funzionalmente identico a un EDR con qualche feed in più. Le sigle non sono mutuamente esclusive: descrivono livelli diversi dello stesso stack di sicurezza, dal sensore in fondo all'organizzazione che lo opera in cima.
Una volta capito questo, il "differenza EDR XDR" smette di essere una domanda da dibattito tra vendor e diventa una scelta operativa: quanto vuoi vedere, quanto sei disposto a pagare, e chi guarderà gli schermi alle tre di notte quando suona l'alert.
2. Le 5 sigle in un minuto
EDR — Endpoint Detection and Response
È l'agente che gira sui tuoi PC, laptop e server. Registra ogni processo che parte, ogni file che viene letto, ogni connessione di rete in uscita. Quando vede un comportamento sospetto — una macro Word che lancia PowerShell che si connette a un IP russo — alza un alert e, se configurato, isola la macchina. Esempi: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Sophos Intercept X. È il primo strato di difesa moderno e oggi è considerato un baseline non negoziabile.
XDR — Extended Detection and Response
È un EDR a cui sono stati attaccati altri sensori: log di Microsoft 365 o Google Workspace, telemetria cloud (AWS, Azure), email gateway, identità (Entra ID, Okta), a volte il firewall. Lo scopo è correlare segnali che individualmente sarebbero ambigui — un login anomalo da un IP estero più una regola Outlook nuova più un download da SharePoint — in un'unica investigazione. Per le PMI italiane è quasi sempre la stessa cosa di un buon EDR con qualche connettore in più, venduto al doppio del prezzo.
SIEM — Security Information and Event Management
È il database dei log di sicurezza. Raccoglie eventi da firewall, server, applicazioni, identità, cloud e li conserva in modo cercabile per mesi o anni. Sopra ci girano regole di correlazione che generano alert. Il SIEM da solo non protegge nulla: è un magazzino con qualche luce intelligente. Serve qualcuno che scriva le regole, le mantenga, e legga gli alert. Esempi: Splunk, Elastic Security, Microsoft Sentinel, Wazuh.
SOC — Security Operations Center
È l'organizzazione, non un prodotto. È un team (o un servizio) che 24/7 monitora gli alert, fa triage, decide cosa è incidente reale e cosa è falso positivo, attiva la response, comunica con il management. Un SOC senza tool è cieco; un tool senza SOC è inutile. Quando dici "ho un SOC" stai dicendo "ho persone che guardano gli schermi", non "ho comprato un software".
MDR — Managed Detection and Response
È un SOC esternalizzato impacchettato come servizio. Il provider fornisce tool (di solito un EDR/XDR proprio o di un partner), persone che fanno detection, e SLA di risposta. Tu paghi una fee per endpoint o per asset e riduci drasticamente l'overhead. Per una PMI italiana è quasi sempre la formula corretta: non hai i volumi per giustificare un SOC interno e nemmeno la complessità per un MSSP enterprise. Esempi: Arctic Wolf, Sophos MDR, Bitdefender MDR, e nel mercato italiano una manciata di provider locali.
Bonus che spesso compare nelle stesse conversazioni: SOAR (Security Orchestration, Automation and Response) è il livello di automazione delle azioni di risposta. Per una PMI sotto i 100 dipendenti è prematuro. NDR (Network Detection and Response) è la versione "sniffer di rete" dell'EDR e ha senso quasi solo in ambienti OT/industriali o in shop con traffico est-ovest critico.
3. Tabella comparativa: cosa copre cosa
La tabella sotto incrocia le cinque categorie con quattro dimensioni che contano davvero quando devi firmare un contratto: superficie monitorata, chi opera lo strumento, output tipico e fascia di prezzo realistica per una PMI italiana di 30-100 dipendenti nel 2026.
| Categoria | Cosa monitora | Chi opera | Output tipico | Costo PMI 2026 | Esempi vendor |
|---|---|---|---|---|---|
| EDR | Endpoint (PC, laptop, server) | Tool autonomo + admin IT | Alert su processi, isolamento macchina, rollback ransomware | 4-9 €/endpoint/mese | CrowdStrike, SentinelOne, Defender, Sophos |
| XDR | Endpoint + identità + email + cloud + (a volte) rete | Tool + analyst dedicato (interno o vendor) | Investigazioni multi-sorgente, correlazioni, timeline incidente | 8-18 €/endpoint/mese | Microsoft Defender XDR, Palo Alto Cortex, Trend Vision One |
| SIEM | Tutto ciò che produce log: server, app, firewall, cloud, identità | Analyst SOC e ingegneri di detection | Log ricercabili, alert custom, evidenze per audit/compliance | 500-3.000 €/mese (lic.) + ore analyst | Splunk, Sentinel, Elastic, Wazuh (open source) |
| SOC | Funzione organizzativa: usa EDR/SIEM/XDR/threat intel | Team interno o servizio esterno (24/7) | Triage incidenti, response, report management, postura | Interno: 150-300k €/anno. Servizio: 1.500-8.000 €/mese | SOC interno, MSSP enterprise (Leonardo, Almaviva, Var Group) |
| MDR | Endpoint + log selezionati (scope da contratto) | Analyst del provider 24/7 + tool proprio | Alert qualificati, isolamento, supporto IR, report mensili | 500-2.500 €/mese per 30-50 endpoint | Arctic Wolf, Sophos MDR, Bitdefender, provider IT locali |
Due note che la tabella non rende esplicite ma sono critiche. Primo: i prezzi delle licenze EDR/XDR vanno moltiplicati per il numero di endpoint, non per quello di dipendenti. Una PMI da 30 persone con BYOD, smartphone aziendali, server e VPS facilmente arriva a 50-70 endpoint. Secondo: il costo nascosto del SIEM non è la licenza, sono le ore di un detection engineer che scrive e mantiene le regole. Senza quelle ore, hai pagato un magazzino vuoto.
4. Casi d'uso reali: quale serve nella tua situazione
Le tabelle sono utili ma non risolvono la decisione. Vediamo cinque profili tipici di PMI italiana e quale combinazione ha senso per ognuno.
Caso 1: e-commerce 30 dipendenti, Shopify + magazzino in casa
Superficie reale: 30-40 laptop (mix Mac/Windows), 1 server interno per gestionale, 2 VPS per integrazioni, Microsoft 365 per la posta. Rischio principale: phishing su account amministratori, credential stuffing sull'admin Shopify, ransomware sul gestionale. Combinazione corretta: EDR sui laptop (Microsoft Defender for Endpoint Plan 2 incluso in M365 Business Premium se già lo hanno, altrimenti SentinelOne o Sophos) + un SOC/MDR che monitori il server gestionale e i VPS e correli i log identità. Costo realistico: 800-1.400 €/mese. Quello che NON serve: uno Splunk standalone, un MSSP enterprise, un'XDR full-stack.
Caso 2: studio professionale (commercialisti, avvocati, consulenti) 8-15 persone
Superficie minima ma rischio reputazionale e GDPR altissimo. Dati di clienti sensibili, conformità alla protezione dei dati personali non opzionale. Combinazione corretta: EDR su tutti i dispositivi + un servizio MDR base + backup immutabili (non è una sigla che abbiamo discusso ma in questo profilo è più importante di tutto il resto). Spesso ha senso un fornitore IT di fiducia che integra i tre pezzi sotto un unico contratto. Costo realistico: 250-600 €/mese. Errore comune: credere che l'antivirus del provider M365 sia un EDR. Non lo è (a meno di Defender Plan 2).
Caso 3: fintech / servizi finanziari, 40-80 persone
Compliance pesante (DORA, GDPR, requisiti del cliente bancario). Audit ricorrenti. Log retention obbligatoria 12-24 mesi. Combinazione corretta: EDR enterprise (CrowdStrike o SentinelOne) + SIEM con retention lunga (Sentinel o Elastic) + SOC esterno o ibrido che operi il SIEM e produca evidenze per audit. Qui l'XDR può avere senso se l'organizzazione ha già investito in uno stack vendor coerente. Costo realistico: 4.000-9.000 €/mese tutto incluso. Errore comune: comprare un MDR pensando che basti per DORA. Non basta: DORA pretende governance e processo che un MDR generico non fornisce.
Caso 4: manifatturiera con OT, 60-200 persone, linee di produzione connesse
Profilo che NIS2 ha messo nel mirino. Superficie doppia: IT classico (uffici, gestionali) + OT (PLC, SCADA, HMI sulle linee). I tool EDR/XDR tradizionali non girano sui PLC e disturbano gli HMI. Combinazione corretta: EDR sul lato IT + un NDR/sensore di rete passivo sul segmento OT (Claroty, Nozomi, Dragos) + un SOC che capisca entrambi i mondi. È uno dei pochi casi in cui un provider specializzato MSSP-OT vale i soldi che chiede. Costo realistico: 5.000-15.000 €/mese a seconda di quanti siti produttivi. Vedi anche: la nostra guida NIS2 per PMI italiane.
Caso 5: SaaS B2B, 15-50 persone, infrastruttura cloud-native
Niente uffici, tutti in remoto, tutto su AWS o GCP, deploy quotidiani, GitHub aziendale che è la vera corona dei gioielli. Superficie reale: laptop, identità (Google Workspace o Entra), cloud workload, repository di codice, pipeline CI/CD. Combinazione corretta: EDR sui laptop + CSPM/CNAPP sul cloud (Wiz, Orca, Lacework) + un MDR moderno cloud-aware o un SOC interno parttime + monitoraggio attivo su GitHub. Il SIEM tradizionale qui rende meno; conta di più la telemetria cloud-native. Costo realistico: 1.500-4.000 €/mese. Errore comune: proteggere bene i laptop e lasciare GitHub e l'IAM cloud senza visibility. È lì che entreranno.
5. L'ordine corretto degli investimenti
Quando una PMI mi chiede "da dove cominciamo?", la risposta non è mai "compra tutto". È una sequenza, e l'ordine conta più dei singoli pezzi. Ecco la priorità che funziona, ricavata da progetti reali e non da una slide di vendor.
Step 1 — Backup immutabile e MFA ovunque. Non sono argomenti di questo articolo ma vengono prima di tutto. Se non hai backup recuperabili e MFA su email/admin/VPN, non importa quale EDR comprerai: ti verranno crittografati comunque e l'attaccante entrerà comunque dalla credenziale rubata.
Step 2 — EDR sugli endpoint utenti. È il punto in cui il 70% degli incidenti inizia: phishing che apre un documento che lancia un payload. Un EDR moderno blocca o isola la maggior parte di questi attacchi prima che diventino un problema. È il primo investimento dopo i fondamentali.
Step 3 — SOC/MDR sopra l'EDR e sui server. Un EDR senza qualcuno che ne legge gli alert è metà del lavoro: gli alert critici arriveranno alle 3 di notte di un sabato e nessuno li vedrà fino al lunedì. Un MDR o un SOC esterno chiude il gap. Inoltre l'EDR non protegge i tuoi server come vorresti (specialmente Linux, dove molti EDR sono limitati): un SOC che monitori i server con tooling adeguato copre la metà mancante.
Step 4 — Logging centralizzato (SIEM-light o SIEM vero). Quando inizi ad avere obblighi di compliance (NIS2, ISO 27001, audit clienti), ti serve un posto dove i log stanno per il tempo richiesto e dove un auditor può cercare. Spesso il SOC del passo 3 lo include in qualche forma.
Step 5 — XDR / cloud security / NDR / SOAR. Sono tutti utili ma sono ottimizzazioni. Hanno senso quando hai messo a posto i primi quattro livelli e hai i volumi e la maturità organizzativa per estrarne valore.
6. Costi tipici nel 2026 per il mercato italiano
I numeri che seguono vengono da contratti reali firmati in Italia tra fine 2025 e inizio 2026, da listini pubblici dei principali vendor e da quotazioni richieste da clienti P3 Consulting nei dodici mesi precedenti questo articolo. Sono fasce realistiche, non listini ufficiali, e si riferiscono a una PMI italiana tipo (30-100 dipendenti, 50-150 endpoint).
EDR puro
4-9 €/endpoint/mese per le soluzioni mainstream con licenze annuali. Microsoft Defender for Endpoint Plan 2 spesso è già incluso nel licensing M365 E5/Business Premium senza costi addizionali, ed è di fatto un EDR enterprise sottoutilizzato in moltissime PMI. SentinelOne e CrowdStrike a volume PMI partono da 6-7 €/endpoint/mese. Costo nascosto: tuning iniziale (1-3 giorni di un consulente), gestione delle eccezioni applicative italiane (gestionali con comportamenti sospetti per default), formazione minima al team IT.
XDR
8-18 €/endpoint/mese a seconda dei moduli (identità, email, cloud, network). Microsoft Defender XDR è incluso in alcune SKU enterprise di M365. Un Cortex XDR di Palo Alto a volumi PMI parte da 12 €/endpoint/mese. Costo nascosto: integrazione delle sorgenti — connettere bene l'identità, il cloud e l'email gateway costa 5-15 giornate di lavoro, e nessuna XDR funziona davvero finché non l'hai fatto.
SIEM
500 €/mese per un Microsoft Sentinel a basso volume di ingest. 1.500-3.000 €/mese per un Sentinel su scenari realistici PMI (10-30 GB/giorno). Splunk parte alto, dai 3.000 €/mese in su per casi PMI seri ed è raramente la scelta giusta sotto i 100 dipendenti. Wazuh è gratuito come licenza ma costa in ore: piano operativo realistico 0,3-0,5 FTE di un sistemista. Costo nascosto principale: il detection engineer. Mantenere regole che non producano falsi positivi a raffica costa 20-60 ore/mese di lavoro qualificato.
SOC interno
150.000-300.000 €/anno minimo, e questo è il floor non il tetto. Servono almeno 3 analyst per una rotazione 24/7 minimale (con buchi serali), un detection engineer, un SOC manager, gli strumenti, la formazione continua. Sotto i 250 dipendenti raramente ha senso economicamente.
SOC come servizio / MDR
500-1.500 €/mese per una PMI fino a 50 endpoint con un MDR base. 1.500-4.000 €/mese per profili più complessi (server multipli, cloud, compliance). 4.000-8.000 €/mese per profili regolati (fintech, sanità, OT). Costo nascosto: onboarding (3-8.000 € una tantum nei provider seri, "gratis" nei provider che lo recupereranno sul canone), tuning dei primi 60 giorni (rumore alto fino a quando le regole sono adattate), ore della tua persona di riferimento per gestire la relazione (1-3 ore/settimana).
I costi invisibili che pochi ti dicono
- Onboarding: qualunque tool serio richiede 2-8 settimane prima di produrre valore. Durante quel tempo paghi e non sei più protetto di prima.
- Fine-tuning: i primi 60-90 giorni sono dominati da falsi positivi. Se il provider non li gestisce attivamente, smetterai di guardare gli alert. È esattamente il fallimento mode più comune.
- Ore analyst tue: anche con MDR full managed, qualcuno in azienda deve essere il punto di contatto. 1-3 ore/settimana minimo.
- Esci/cambio vendor: migrare da un EDR all'altro costa 4-12 settimane di doppio licensing e ridistribuzione agenti su tutta la flotta. Da un MDR all'altro è ancora peggio. La scelta iniziale conta più di quanto sembri.
7. Per una PMI italiana: il framework di decisione che funziona
Ecco l'albero decisionale che usiamo nei progetti P3 Consulting per le PMI italiane. È volutamente brutale: se un caso non rientra nei rami previsti, hai un'eccezione e ti serve consulenza vera, non un articolo. Ma per il 90% dei casi questo schema decide.
Tre principi non negoziabili sopra l'albero. Primo: non saltare lo step dell'EDR per andare direttamente al SIEM, è l'errore più comune e lascia gli endpoint scoperti. Secondo: non comprare un SIEM se non hai chi lo opera; un SIEM senza analyst è una macchina spenta. Terzo: chiedi sempre al provider di nominare la persona o il team che farà il triage degli alert. Se la risposta è vaga, non hai un SOC: hai un cruscotto con un logo sopra.
8. Dove si posiziona Fenrir SOC
Onestà operativa: Fenrir non è un EDR per laptop utenti. Non lo vuole essere, non lo sarà. Per gli endpoint utenti continua a usare Defender, SentinelOne, Sophos o quello che già hai: è quello il loro mestiere, fatto da player con anni di telemetria globale che noi non ricreeremo.
Quello che Fenrir SOC fa bene è il livello SOC + parte dell'XDR sui server e sull'infrastruttura sovrana. Concretamente: un agente leggero on-premise sui tuoi server Linux (Ubuntu, Debian, Red Hat, SUSE) e macOS, una piattaforma di detection con AI che fa triage e correlazione automatica, evidenze pronte per NIS2/ISO 27001/GDPR, tutto sovrano, niente dati che escono verso cloud esteri. È il pezzo che mancava all'EDR del laptop dell'utente: chi guarda i server, chi correla, chi produce le evidenze quando arriva l'audit.
Per una PMI italiana che sta facendo i primi passi seri di sicurezza, l'investimento giusto è quasi sempre questa coppia: EDR di mercato sui laptop + Fenrir SOC sui server e come livello di triage e compliance. Per chi è più maturo, Fenrir si integra come componente del SOC ibrido senza sostituire stack già in funzione.
Se vuoi capire come è costruito sotto il cofano, le pagine docs sono la fonte più tecnica: architettura del prodotto, threat model e il funzionamento delle AI investigations, che è il pezzo che fa la differenza rispetto a un MDR classico — il triage automatico riduce di un ordine di grandezza il numero di alert che arrivano in cima alla pila.
Sulla parte commerciale, le fasce di prezzo e i casi d'uso sono descritti nella pagina pricing e nelle FAQ. Per un confronto più ampio sulla filosofia "SOC come servizio" applicata alle PMI italiane, c'è anche l'articolo SOC as a Service in Italia.
Pensi che un SOC autonomo sia la mossa giusta per te?
30 minuti, una demo concreta sui tuoi server, un'idea chiara di cosa cambierebbe. Senza slide motivazionali.
Richiedi una demo →Domande frequenti
Qual è la differenza tra EDR e XDR?
L'EDR vede solo l'endpoint: PC, laptop, server. L'XDR estende la visibilità correlando segnali da endpoint, identità (Microsoft 365, Google Workspace), email, cloud workload e rete. In pratica un XDR è un EDR più ricco di telemetria e più orchestrato. Per una PMI italiana con flotta Microsoft 365 e qualche server, un buon EDR di solito basta; l'XDR ha senso quando hai più di una superficie da correlare e qualcuno che sappia leggere le correlazioni.
Un MDR sostituisce il SOC?
L'MDR è una forma di SOC esternalizzato, focalizzata su detection e response sui tool del provider. Sostituisce un SOC interno che non avresti potuto permetterti, ma non è equivalente: copre solo gli asset coperti dal contratto, di solito endpoint e qualche fonte di log. Per una PMI è quasi sempre la scelta giusta; per una media impresa con compliance complessa serve un SOC con scope più ampio o ibrido.
Mi serve un SIEM se ho già un EDR?
Dipende dalla compliance. Un EDR registra cosa succede sugli endpoint, non sostituisce un repository di log centralizzato. Se devi rispondere a NIS2, ISO 27001 o richieste del tuo DPO ti serve un posto dove conservare i log con integrità per 6-12 mesi. Quel posto è di fatto un SIEM, anche se semplice. La domanda corretta non è "EDR o SIEM" ma "chi conserva i log e per quanto".
Cosa scegliere con un budget limitato per una PMI da 30 dipendenti?
Ordine consigliato: prima un EDR sugli endpoint utenti (è dove arrivano phishing e ransomware), poi un servizio SOC/MDR che monitori i tuoi server e correli alert dell'EDR con i log di sistema. Un SIEM standalone senza analyst che lo legge è denaro buttato. Per una PMI da 30 persone si parla in totale di 600-1.500 €/mese, non decine di migliaia.
SOAR cosa è e mi serve?
SOAR (Security Orchestration, Automation and Response) è il livello di automazione delle azioni di risposta: blocca un IP, isola una macchina, apri un ticket. È utile solo se hai un SOC con un volume di alert tale che vale la pena automatizzarli. Per una PMI sotto i 100 dipendenti è prematuro: prima costruisci la detection, poi pensi all'automazione. Molti SOC moderni includono già primitive SOAR di base senza venderle come prodotto separato.