EDR vs XDR vs NDR — porównanie technologii detection (2026)

Rynek cyberbezpieczeństwa zalany jest akronimami: EDR, XDR, NDR, ITDR, MDR, SIEM, SOAR. Rozumienie różnic między nimi decyduje o tym, czy wydasz budżet na odpowiednie narzędzie. W tym przewodniku porównujemy cztery kluczowe kategorie — EDR, XDR, NDR, ITDR — z perspektywy architekta SOC.

TL;DR — szybka decyzja

• Do 100 endpointów, brak SOC: EDR + email security osobno
• 100-1000 endpointów, własny SOC: EDR + NDR (lub XDR początkowy)
• 1000+, MDR/MSSP lub SOC 24/7: XDR (konsolidacja) + ITDR
• Regulowane (NIS2, PCI): XDR + SIEM (XDR do detection, SIEM do logów na 6-12 miesięcy)
• Active Directory dominujący: dedykowany ITDR (Semperis, Tenable Identity)

Definicje i zakres

EDR — Endpoint Detection and Response

Co widzi: procesy, pliki, rejestr, wywołania API, połączenia sieciowe NA HOŚCIE. Źródło danych: agent na endpointach. Typowe wykrycia: malware, ransomware, fileless attacks, credential dumping, persistence. Action: izolacja hosta, kill process, remediation playbooks. Vendors: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Trellix, Palo Alto Cortex XDR (komponent EDR).

NDR — Network Detection and Response

Co widzi: pakiety, flow (NetFlow, sFlow, IPFIX), DNS, TLS metadata, HTTP headers. Źródło danych: SPAN port, TAP, inline sensors, virtual sensors w cloud. Typowe wykrycia: lateral movement, C2 beaconing, data exfiltration, DNS tunneling, reconnaissance scans. Action: alerty do SIEM/XDR, integracja z firewall (block), siłowa session reset. Vendors: ExtraHop, Vectra AI, Darktrace, Cisco Secure Network Analytics (Stealthwatch), Corelight, Gigamon.

XDR — Extended Detection and Response

Co widzi: wszystkie warstwy — endpoint, network, email, cloud, identity. Źródło danych: EDR + NDR + email gateway + CASB + IAM. Typowe wykrycia: multi-stage attacks z korelacją (np. phishing email → malware na endpoint → lateral movement → cloud exfil). Action: cross-domain response (izolacja endpoint + blok user + quarantine email). Vendors: CrowdStrike Falcon XDR, Microsoft Defender XDR, SentinelOne Singularity, Palo Alto Cortex XDR, Trellix XDR, Fortinet FortiXDR.

ITDR — Identity Threat Detection and Response

Co widzi: aktywność Active Directory, Azure AD, Okta, Kerberos tickets, LDAP queries, service principals. Źródło danych: domain controller logs, Azure AD audit, SIEM feeds. Typowe wykrycia: Kerberoasting, Golden/Silver Ticket, DCSync, Pass-the-Ticket/Hash, orphan accounts, privilege escalation. Action: force password reset, disable account, revoke sessions, MFA challenge. Vendors: Semperis DSP, Tenable Identity Exposure (Alsid), Microsoft Defender for Identity, Silverfort, Quest On Demand Audit.

Tabela porównawcza

Wymiar	EDR	NDR	XDR	ITDR
Warstwa	Endpoint	Network	Multi-layer	Identity
Źródło danych	Agent	SPAN/TAP/flow	EDR+NDR+email+cloud+IAM	AD/Azure AD/Okta
Typ wykryć	Host-level threats	Network-level threats	Cross-domain attacks	Identity-based attacks
Action	Isolate host, kill proc	Alert, integracja FW	Cross-domain response	Reset, disable, revoke
Deployment	Agent na endpointach	Sensors w sieci	Platforma + agenty	Integracja z DC/IdP
Typowe wykrycia	Ransomware, malware	Lateral movement, C2	Multi-stage attacks	Kerberoasting, Golden Ticket
Cena (per endpoint/rok)	30-80 USD	Inne model (sensor)	50-150 USD	15-40 USD
Najlepszy dla	Każda firma >10 endpointów	Średnie i duże	500+ endpointów, SOC	AD-centric enterprises

Kiedy EDR wystarczy, a kiedy potrzebujesz więcej?

EDR sam wystarcza gdy:

• Firma <100 endpointów
• Brak własnego SOC (MSSP obsługuje EDR)
• Infrastruktura głównie endpoint-centric (laptopy, małe biuro)
• Budget cyber <200k zł/rok

Dodaj NDR gdy:

• Środowisko >100 endpointów z lateral movement risk
• Masz segmentację sieci i chcesz to egzekwować
• Podejrzewasz insider threats lub APT
• Istotna infrastruktura OT (produkcja, energetyka)

Wybierz XDR gdy:

• Środowisko >500 endpointów
• Masz SOC (in-house lub MDR) obsługujący alerty
• Chcesz consolidation (mniej konsol, mniej vendorów)
• Korzystasz z chmury (cloud workloads, SaaS)
• Budget 500k-3M zł/rok

Dodaj ITDR gdy:

• Active Directory jest krytyczne (finanse, admin dostęp)
• Historia ataków na tożsamość (Kerberoasting w pentest)
• Gotowość do Zero Trust i hybrid AD/Azure AD
• Enterprise z 10k+ kont

Vendors 2026 — Magic Quadrant leaderzy

EDR — Gartner MQ 2024 Leaders

1. CrowdStrike Falcon — cloud-native, najlepszy detection
2. Microsoft Defender for Endpoint — value jeśli masz E5
3. SentinelOne Singularity — AI-native, dobra autoresponse
4. Trellix (McAfee+FireEye) — enterprise incumbent
5. Palo Alto Cortex XDR (komponent EDR)

XDR — kluczowi playerzy

1. CrowdStrike Falcon XDR
2. Microsoft Defender XDR (E5 license)
3. SentinelOne Singularity XDR
4. Palo Alto Cortex XDR
5. Fortinet FortiXDR (dla klientów ekosystemu Fortinet)

NDR — Gartner Voice of Customer

1. ExtraHop Reveal(x) — najlepszy packet analysis
2. Vectra AI Cognito — AI-driven
3. Darktrace — Enterprise Immune System
4. Cisco Secure Network Analytics (Stealthwatch)
5. Corelight — Zeek-based, forensic depth

ITDR — leading

1. Semperis DSP — AD recovery + ITDR
2. Tenable Identity Exposure (Alsid)
3. Microsoft Defender for Identity
4. Silverfort — MFA everywhere + ITDR
5. Quest On Demand Audit

Architektura: jak to wszystko łączyć

[Endpointy] → EDR (CrowdStrike)
                 ↓
[Ruch sieciowy] → NDR (Darktrace)
                 ↓
[Email] → Email Security (Proofpoint, Abnormal)   → XDR platform → SOC analyst
                 ↓
[Cloud] → CASB + CSPM (Netskope, Wiz)             → SIEM (long-term) → compliance
                 ↓
[AD / Azure AD] → ITDR (Semperis)
                 ↓
[Orchestration] → SOAR (XSOAR, Splunk SOAR) — automated response

Kluczowa zasada: XDR = detection i response, SIEM = storage logów dla compliance i forensics (6-12 miesięcy retention wymagane przez NIS2, PCI).

Koszty — orientacyjne widełki (2026)

Rozwiązanie	Pricing model	Typowe koszty (firma 500 endp.)
EDR	Per endpoint/rok	15 000-40 000 USD
XDR	Per endpoint/rok + dodatki	30 000-80 000 USD
NDR	Per sensor + flow volume	30 000-150 000 USD
ITDR	Per user/rok	10 000-30 000 USD
SIEM	Per GB ingestion/dzień	50 000-300 000 USD
MDR (outsourced SOC)	Per endpoint/rok	40 000-100 000 USD

Razem (enterprise 500 endpointów + 1000 users + AD + cloud): 200-600k USD rocznie dla pełnego stacku. Dlatego XDR jako konsolidacja ma ekonomiczny sens przy tej skali.

Rekomendacje nFlo

Dla naszych klientów typowo rekomendujemy:

Firma do 100 endpointów

• EDR: Microsoft Defender for Endpoint (z E5) lub CrowdStrike Falcon
• Email: Microsoft 365 Defender
• Monitoring: MDR od nFlo lub MSSP
• Budget: 30-80k zł/rok

Firma 100-500 endpointów

• EDR + NDR: CrowdStrike + Darktrace/Vectra
• SIEM light: IBM QRadar, Microsoft Sentinel
• SOC: outsourced MDR lub hybrid
• Budget: 200-500k zł/rok

Enterprise 500-5000 endpointów

• XDR: CrowdStrike Falcon XDR lub Microsoft Defender XDR
• NDR: ExtraHop lub Vectra
• ITDR: Semperis lub Microsoft Defender for Identity
• SIEM: IBM QRadar, Splunk Enterprise Security
• SOC 24/7: własny lub hybrid z MDR
• Budget: 800k-3M zł/rok

Sprawdź nasze usługi

• SOC as a service
• Audyty bezpieczeństwa
• Testy penetracyjne
• Virtual CISO

---

Tematy powiązane

Zobacz również:

• NIS2 w szpitalach — wdrożenie i dotacje
• Kalkulator wyceny audytu bezpieczeństwa
• NIS2 w JST — wdrożenie + dotacje
• Kalkulator dotacji NIS2 dla JST