Czym różni się XDR od EDR?

EDR (Endpoint Detection and Response) zbiera telemetrię i wykrywa zagrożenia wyłącznie z endpointów — laptopów, stacji roboczych, serwerów. XDR (Extended Detection and Response) rozszerza ten zakres o sieć, e-mail, chmurę, tożsamość i aplikacje SaaS, korelując zdarzenia między warstwami. W praktyce: EDR powie Ci, że laptop księgowej uruchomił podejrzany skrypt. XDR powie dodatkowo, że tuż przed tym przyszedł e-mail phishingowy, że to konto miało nieudane logowanie z Rosji 12 minut wcześniej i że ten sam loader pojawił się na trzech innych endpointach.

Czy MDR zastępuje EDR i XDR?

Nie. MDR (Managed Detection and Response) to model dostarczenia, a nie odrębna technologia. MDR oznacza, że ktoś inny (zespół SOC dostawcy) obsługuje Twoje EDR lub XDR w trybie 24/7: monitoruje alerty, klasyfikuje incydenty, eskaluje i często wykonuje pierwsze działania powstrzymujące. EDR/XDR to platforma; MDR to ludzie, procesy i SLA wokół niej. W większości polskich firm średnich i dużych MDR jest jedynym sensownym sposobem skonsumowania potencjału EDR/XDR — bo własny zespół 24/7 to koszt 1,5–2 mln zł rocznie.

Ile kosztuje wdrożenie EDR, XDR i MDR w polskiej firmie?

Cennik orientacyjny (rynek polski, 2026): EDR licencja na endpoint to 80–250 zł/miesiąc w zależności od dostawcy (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Sophos). XDR jest droższy o 30–60% od EDR od tego samego dostawcy, bo dochodzą konektory do innych źródeł i licencje na korelację. MDR to model OPEX: 15–40 tys. zł/miesiąc za firmę 100–300 endpointów, w zależności od SLA reakcji (15 min vs 1 h), zakresu (tylko monitoring vs containment) i pokrycia (8/5 vs 24/7).

Czy potrzebuję SIEM, skoro mam XDR?

Zależy od skali i wymagań compliance. XDR pokrywa typowe scenariusze wykrywania i odpowiedzi, ale ma ograniczoną retencję logów (zwykle 30–90 dni) i nie zawsze spełnia wymagania regulatorów co do długoterminowej archiwizacji (KSC, NIS2, sektor finansowy często wymaga 12–24 miesięcy). SIEM jest też silniejszy w wymuszaniu polityk audytowych i dostosowywaniu custom-detection. W firmach do 500 endpointów XDR często wystarcza. W bankach, telekomach, energetyce — SIEM + XDR działają komplementarnie.

Jak wybrać między EDR, XDR a MDR dla mojej firmy?

Decyzja zależy od trzech zmiennych: dojrzałości Twojego zespołu, budżetu CAPEX vs OPEX i poziomu ryzyka. Jeśli masz własny SOC z analitykami 24/7 i specjalistami threat huntingu — XDR samodzielnie wystarczy. Jeśli masz 1–3 osoby w bezpieczeństwie i głównie reagują na alerty z różnych narzędzi — MDR uwolni ich od nocnych dyżurów. Jeśli jesteś firmą do 50 endpointów bez dedykowanego security i regulacje nie wymuszają korelacji — dobry EDR z konfiguracją MDR "light" może być optymalny. W nFlo audytujemy dojrzałość, zanim rekomendujemy konkretną kombinację.

XDR vs EDR vs MDR — różnice, koszty i jak wybrać (2026)

EDR, XDR i MDR to trzy akronimy, które w 2026 roku przewijają się przez praktycznie każdą rozmowę CISO z zarządem o budżecie na cyberbezpieczeństwo. Brzmią podobnie, są często mylone, a w praktyce odpowiadają na różne pytania. Ten przewodnik przeznaczony jest dla osób odpowiedzialnych za decyzje zakupowe i architektoniczne w bezpieczeństwie IT — Security Directorów, CISO, Heads of IT — które stoją przed konkretnym wyborem: EDR czy XDR? Wdrożyć samodzielnie czy kupić MDR? Ile to realnie kosztuje i co dostajemy w zamian?

W nFlo od 2018 roku wdrażamy te technologie u klientów z sektora finansowego, energetycznego, produkcyjnego i administracji publicznej. Przerobiliśmy 500+ projektów i obsługujemy SOC dla 200+ klientów z czasem reakcji <15 minut. Ten artykuł jest destylacją tego, czego nauczyliśmy się o realnych różnicach między EDR, XDR i MDR — nie z marketingowych broszurek, ale z incydentów, audytów i pytań, które dostajemy od zarządów.

TL;DR — XDR vs EDR vs MDR w 60 sekundach

EDR (Endpoint Detection and Response) — agent na laptopie/serwerze zbiera telemetrię behawioralną (procesy, sieć, rejestr, pliki), wykrywa anomalie (UEBA + sygnatury + heurystyka), umożliwia zdalne containment (izolacja endpointu, kill process). Zakres: tylko endpointy. Lider rynku: CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Sophos.
XDR (Extended Detection and Response) — rozszerzenie EDR o korelację z siecią (NDR), e-mailem, chmurą (CWPP/CASB), tożsamością (Azure AD/Okta logs), aplikacjami SaaS. Detection korelacyjne między warstwami (np. phishing → logowanie z anomalii → wykonanie loadera). Lider: Palo Alto Cortex XDR, Microsoft Defender XDR, CrowdStrike Falcon XDR, Trend Vision One.
MDR (Managed Detection and Response) — model usługowy: dostawca (np. nFlo) obsługuje Twoje EDR/XDR 24/7, klasyfikuje alerty, eskaluje incydenty, często wykonuje pierwsze containment. SLA reakcji 15 min do 1 h. Koszt: 15–40 tys. zł/miesiąc dla firmy 100–300 endpointów.
Praktyczna decyzja: EDR to fundament — bez niego nie ma sensu rozmawiać o XDR. XDR ma sens dla firm >200 endpointów z heterogenicznym środowiskiem (chmura + on-prem + SaaS). MDR ma sens dla każdej firmy bez własnego SOC 24/7 (czyli ~95% rynku polskiego).

Skąd wzięły się te akronimy — krótka historia ostatniej dekady detekcji

Żeby zrozumieć różnicę między EDR, XDR i MDR, trzeba zrozumieć, jaki problem każdy z nich rozwiązuje — i czego nie rozwiązywały poprzednie generacje narzędzi. Historia ostatnich 15 lat to historia eskalacji: atakujący przesuwali się coraz dalej w głąb infrastruktury, a obrońcy musieli za nimi nadążać.

Era antywirusowa (do ~2013) opierała się na sygnaturach — narzędzie znało określone złośliwe pliki i blokowało je. Działało dopóki atakujący używali znanego malware. W chwili gdy ransomware zaczęło być pisane custom pod konkretną ofiarę (Ryuk, Conti, LockBit), sygnatury przestały wystarczać. Antywirusy generowały fałszywe poczucie bezpieczeństwa: “scan czysty” nie oznaczało już “system bezpieczny”.

W odpowiedzi pojawił się EDR (~2014–2017, pionierzy: Carbon Black, Cylance, CrowdStrike). Idea była prosta: zamiast pytać “czy ten plik jest na liście złośliwych?”, pytać “czy zachowanie tego procesu jest podejrzane?”. EDR zbiera szczegółową telemetrię — które procesy uruchamiają inne procesy, kto pisze do rejestru, jakie połączenia sieciowe nawiązuje, jakie pliki czyta — i porównuje to z modelem normalnego zachowania. Wykrywa atak na podstawie wzorca, a nie podpisu pliku.

EDR dał ogromny skok w widoczności, ale szybko ujawnił własne ograniczenie: widzi tylko endpoint. W chwili gdy atakujący wszedł do sieci przez phishing, EDR zobaczył wykonanie loadera, ale nie miał kontekstu, że tuż wcześniej przyszedł e-mail z załącznikiem, że ten sam użytkownik miał nieudane logowanie z Tora 30 minut temu, i że loader skomunikował się z C2 (command and control) widocznym w logach firewalla. Trzeba było ręcznie sklejać te dane z różnych narzędzi — co w trakcie incydentu trwało godziny.

Tak narodził się XDR (~2019–2022, pionierzy: Palo Alto Cortex XDR, Microsoft Defender XDR). XDR to EDR rozszerzony o konektory do innych źródeł danych — sieć (NDR — Network Detection and Response), tożsamość (Azure AD, Okta, AD on-prem), e-mail (Defender for Office 365, Proofpoint), chmurę (CWPP, CASB), aplikacje SaaS. Korelacja zachodzi w jednej platformie: jeden incydent, jeden timeline, jeden interfejs.

MDR (~2017–dziś) to równoległa odpowiedź na inny problem: brak ludzi do obsługi EDR/XDR. Nawet najlepsza platforma jest bezużyteczna, jeśli alert o godzinie 3:47 w nocy nikt nie przeczyta przez 8 godzin — a właśnie wtedy najczęściej zaczynają się ataki ransomware (atakujący wybierają piątkowe noce i weekendy, kiedy zespoły IT są minimalne). MDR to model usługowy: dostawca dostarcza ludzi 24/7, którzy obsługują Twoje narzędzia. Możesz mieć MDR na EDR (najpopularniejsze), na XDR (rosnący segment), na SIEM, lub na hybrydę.

EDR — fundament: jak działa, co wykrywa, czego nie wykrywa

EDR to technologia, którą każda firma >20 endpointów powinna mieć w 2026 roku. Antywirus tradycyjny (pure sygnaturowy) jest dziś technicznie przestarzały — wszyscy poważni dostawcy EDR (CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint, Sophos Intercept X) łączą NGAV (next-gen antivirus z ML) z EDR w jednym produkcie.

Architektura EDR

Architektura EDR opiera się na lekkim agencie zainstalowanym na każdym chronionym urządzeniu. Agent zbiera telemetrię behawioralną — kilka kategorii zdarzeń, które razem dają obraz tego, co dzieje się w systemie:

Telemetria procesów: które procesy uruchamiają inne procesy (drzewo procesów), z jakimi argumentami, kto je uruchomił (kontekst użytkownika), jakie biblioteki załadowały (DLL injection detection). Klasyczny wzorzec ataku: winword.exe → powershell.exe → cmd.exe → certutil.exe to wzorzec ataku z makrem Word, który ściąga loader przez certutil (Living Off The Land Binary, LOLBin).
Telemetria sieciowa: jakie połączenia wychodzące/przychodzące nawiązuje endpoint, do jakich domen, na jakich portach. Wykrywa beaconing do C2, DNS tunneling, połączenia do znanych infrastruktur APT.
Telemetria rejestru i plików: kto modyfikuje klucze persistence (Run, RunOnce, Scheduled Tasks, Services), kto pisze do %TEMP%, %AppData%, kto modyfikuje pliki systemowe.
Telemetria tożsamości i logowań: nieudane próby logowania, zmiana uprawnień, użycie sudo/runas, eskalacja przez UAC bypass.

Dane wysyłane są do chmury producenta (lub on-prem, jeśli wybierzesz model deployment SaaS vs on-premise) i analizowane w czasie rzeczywistym. Wykrywanie łączy:

Sygnatury (NGAV) — znane złośliwe pliki, hashe, podpisy YARA. Najsłabsza warstwa, ale wciąż blokuje 80% prostego malware bez wysiłku.
Heurystyka behawioralna — reguły typu “proces uruchomiony przez winword.exe, który tworzy plik wykonywalny w %TEMP% i go uruchamia, to indicator”. Reguły są pisane przez analityków producenta (CrowdStrike Falcon ma >5000 reguł, aktualizowanych codziennie).
Machine Learning — modele wytrenowane na miliardach próbek malware vs benign, klasyfikujące nieznane pliki/zachowania.
UEBA (User and Entity Behavior Analytics) — model normalnego zachowania per użytkownik/urządzenie, alert na anomalie (logowanie o 3 nad ranem z innej lokalizacji, dostęp do shareów, których wcześniej nie używał).

Response — co EDR potrafi zrobić automatycznie

Reakcja (R w EDR) to drugie kluczowe wymiar — sama detekcja bez możliwości szybkiego działania jest tylko alarmem. Nowoczesne EDR oferują:

Network isolation — odcięcie endpointu od sieci (poza connection do management consoli) jednym kliknięciem. Krytyczne przy ransomware: jeśli zauważysz szyfrowanie na jednym laptopie, w 30 sekund odcinasz go zanim rozejdzie się po share’ach.
Process termination — zabicie podejrzanego procesu zdalnie.
File quarantine — przeniesienie pliku do kwarantanny.
Rollback (niektórzy dostawcy, np. SentinelOne) — automatyczne cofnięcie zmian zrobionych przez ransomware (z lokalnych snapshots VSS).
Live Response Shell — interaktywna sesja PowerShell/bash na endpoincie dla analityka SOC.

Czego EDR nie zrobi

Lista ograniczeń EDR jest tak samo ważna jak lista możliwości — bo na niej budujemy uzasadnienie dla XDR/MDR:

Nie widzi ruchu między endpointami w sieci (lateral movement po SMB między dwoma serwerami widać tylko częściowo — z perspektywy każdego z nich, bez kontekstu sieciowego).
Nie widzi tożsamości w chmurze — logowania do Microsoft 365, Salesforce, AWS Console są poza zasięgiem EDR.
Nie widzi e-maila — to skąd przyszedł phishing, kto kliknął link, kto przekazał atak dalej.
Generuje alerty, ale nie obsługuje ich — jeśli nikt nie patrzy na konsolę o 3 w nocy, alert leży niewykorzystany.

📚 Przeczytaj również: Co to jest Cyber Kill Chain — definicja i ochrona — żeby zrozumieć, na których etapach łańcucha ataku EDR jest skuteczny, a gdzie potrzebujesz XDR.

XDR — rozszerzenie zasięgu poza endpointy

XDR powstał z prostej obserwacji: w 80% ataków, które badaliśmy w nFlo w latach 2022–2025, kluczowy moment wykrycia leżał poza endpointem. Phishing w e-mailu (przed dotarciem do endpointu). Anomalia logowania do Azure AD (przed wykonaniem loadera). Wzorzec ruchu sieciowego (beaconing do C2, ale z niskim profilem na endpoincie). XDR rozwiązuje problem widoczności między warstwami.

Co XDR dodaje ponad EDR

XDR to architektonicznie EDR rozszerzony o konektory do innych źródeł danych. W zależności od dostawcy, typowy zestaw konektorów obejmuje:

Network Detection and Response (NDR) — sensory sieciowe (zwykle SPAN port na switchu rdzeniowym) analizujące metadane ruchu (Zeek/Bro, Suricata) i wykrywające wzorce ataków na warstwie sieciowej: lateral movement po SMB, beaconing do C2, DNS tunneling, exfiltracja przez nietypowe protokoły.
Email security — integracja z Microsoft Defender for Office 365 / Proofpoint / Mimecast. XDR widzi, że phishing przyszedł, kto kliknął link, czy załącznik zawierał loader.
Cloud Workload Protection Platform (CWPP) — agenci na maszynach w AWS/Azure/GCP, kontener security (Falco, Aqua), Kubernetes audit logs.
Cloud Access Security Broker (CASB) — logowania i aktywność w aplikacjach SaaS (Salesforce, Microsoft 365, Google Workspace, Slack).
Identity Provider logs — Azure AD sign-in logs, Okta system logs, AD on-prem (Event ID 4624/4625, kerberoasting detection, golden ticket detection).
Web Application Firewall (WAF) — logi z Cloudflare, Imperva, F5 Advanced WAF, korelacja z atakami na aplikacje.

Kluczem nie jest sama liczba źródeł, ale korelacja między nimi. Klasyczny scenariusz, który XDR wykrywa natywnie, a EDR samodzielnie nie:

T+0: Phishing e-mail z linkiem do fałszywej strony logowania Microsoft 365 dostarczony do księgowej.
T+3 min: Księgowa klika link, wpisuje hasło → przekazanie hasła atakującym (XDR widzi to z konektora e-mail security).
T+8 min: Logowanie do Microsoft 365 z IP w Rosji, bez MFA → atakujący przejmuje konto (XDR widzi to z Azure AD sign-in logs).
T+15 min: Atakujący pobiera załącznik z OneDrive z makrem → makro pobiera loader → loader uruchamia się na endpointcie księgowej, kiedy ona otwiera dokument (EDR widzi to lokalnie).
T+25 min: Loader skanuje sieć po SMB, próbuje połączyć się z 50 hostami → wykryte przez NDR.
T+40 min: Loader nawiązuje połączenie C2 z serwerem w Holandii → blok przez firewalla, ale wzorzec już zarejestrowany.

EDR widzi punkty 4 i częściowo 5–6 (z perspektywy zaatakowanego endpointu). XDR widzi cały timeline od punktu 1 i koreluje go w jeden incydent. To różnica między reakcją na pojedynczy alert (“podejrzane zachowanie procesu na laptopie X”) a reakcją na pełny atak (“phishing → przejęcie konta → ruch boczny → próba C2”). W praktyce różnica oznacza godziny vs minuty czasu reakcji.

Pułapki przy wyborze XDR

XDR jest atrakcyjne, ale ma swoje ograniczenia, o których dostawcy niechętnie mówią:

Vendor lock-in: XDR działa najlepiej, jeśli wszystkie źródła danych są tego samego dostawcy (CrowdStrike + Falcon Identity Protection + Cloud Security; Microsoft Defender XDR + Defender for Office + Defender for Identity + Defender for Cloud). Konektory do produktów konkurencji są zwykle uboższe — często tylko logi, bez głębokiej korelacji.
Koszt: XDR jest droższy od EDR o 30–60% (więcej źródeł = więcej licencji + zasoby na korelację).
Wymaga dojrzałości: surowy XDR generuje 3–5x więcej alertów niż samo EDR (więcej źródeł = więcej szumu). Bez zespołu analityków, który potrafi tuneować reguły, XDR staje się kolejnym źródłem alert fatigue.
NDR często wymaga osobnej inwestycji w sprzęt (sondy sieciowe), co podnosi CAPEX wdrożenia o 100–300 tys. zł dla firmy 200–500 endpointów.

📚 Sprawdź również: Czym jest model ISO/OSI — 7 warstw, definicja i działanie — żeby zrozumieć, na których warstwach OSI XDR rozszerza widoczność względem EDR (warstwy 3–4 dla NDR, warstwa 7 dla email/SaaS).

MDR — usługa, nie technologia

MDR to najczęściej nierozumiany komponent tej triady. Wielu klientów myli MDR z osobnym produktem, podczas gdy MDR to model dostarczenia — usługa zarządzania, zwykle nakładana na EDR lub XDR, którą oferuje dostawca zewnętrzny (taki jak nFlo).

Co dokładnie oferuje MDR

Typowy MDR obejmuje kilka warstw odpowiedzialności:

24/7 monitoring — zespół SOC dostawcy patrzy na alerty z Twojego EDR/XDR przez 8/16/24 godziny, w zależności od kontraktu. Dla większości firm krytyczne jest 24/7 — bo ransomware atakuje w piątki o 19:00.
Triage — klasyfikacja alertu: true positive (atak), false positive (anomalia legalna), informational (kontekst, nie wymaga akcji). Typowy EDR generuje 200–500 alertów dziennie na firmę 500 endpointów; 90% to false positives. MDR odsiewa szum.
Investigation — pogłębione badanie potwierdzonego incydentu: timeline, root cause, scope of compromise (które jeszcze hosty/konta są zagrożone).
Containment — pierwsza linia reakcji: izolacja endpointu, zablokowanie konta, reset hasła, kill procesu. Zakres containment zależy od kontraktu (niektóre MDR robią to autonomicznie, niektóre tylko rekomendują, klient akceptuje).
Eskalacja do klienta — z konkretną rekomendacją działania i timeline’em incydentu.
Raportowanie — miesięczne/kwartalne raporty (top zagrożenia, MTTD/MTTR, trendy, rekomendacje hardeningu).
Threat hunting (w lepszych MDR) — proaktywne poszukiwanie indicators of compromise w środowisku klienta na podstawie najnowszych threat intelligence (np. po publikacji nowej kampanii APT — sprawdzenie, czy ten klient nie ma śladów).

Dlaczego MDR ma sens dla 95% polskich firm

Matematyka jest brutalna. Żeby mieć własny SOC 24/7 z minimalnym pokryciem (1 analityk na zmianę × 3 zmiany × 7 dni × bufor na urlopy/L4) potrzebujesz minimum 6 etatów. Średni koszt analityka SOC (z umiejętnościami threat hunting) w Polsce w 2026 to 18–25 tys. zł brutto miesięcznie + obciążenia pracodawcy. Roczny koszt zespołu: 1,5–2 mln zł, plus narzędzia (SIEM, XDR, threat intelligence subskrypcje), plus szkolenia, plus rotacja (w SOC rotacja roczna 25–40% to standard rynkowy).

MDR dla firmy 200 endpointów to 20–30 tys. zł/miesiąc, czyli 240–360 tys. zł rocznie — 5–8 razy taniej niż własny zespół, z gwarancją 24/7 i bez ryzyka rotacji. Dla większości firm średnich i dużych w Polsce MDR to jedyna realna opcja konsumpcji zaawansowanego EDR/XDR.

Kiedy MDR nie ma sensu

Są scenariusze, gdzie własny zespół wewnętrzny przewyższa MDR:

Sektor finansowy z >2000 endpointów i wymaganiami audytowymi KNF/EBA — często wewnętrzny zespół jest wymagany regulacyjnie i tańszy per endpoint przy skali.
Firmy z głębokim domain knowledge bezpieczeństwa specyficznego dla branży (energetyka OT, sektor kosmiczny, badawczy) — generic MDR nie zrozumie kontekstu Twoich systemów ICS/SCADA i będzie generował dużo false positives.
Bardzo małe firmy do 30 endpointów — EDR z auto-response (CrowdStrike Falcon Complete, SentinelOne Vigilance) bez pełnego MDR często wystarczy.

Decyzja zakupowa: jak wybrać dla Twojej firmy

W praktyce wybór EDR vs XDR vs MDR zależy od kilku zmiennych. Poniżej framework decyzyjny, którego używamy w nFlo przy audytach gotowości u klientów.

Krok 1: Określ punkt startowy

Mam tylko antywirus tradycyjny (Kaspersky, ESET, Bitdefender bez EDR feature) — pierwszym krokiem jest EDR. Bez tego rozmowa o XDR/MDR jest przedwczesna.
Mam EDR (Defender for Endpoint, CrowdStrike, SentinelOne, Sophos), ale brak SOC 24/7 — najwyższy ROI: dodać MDR na istniejące EDR. Drugi krok: rozważyć XDR po 6–12 miesiącach.
Mam EDR + własny zespół security 1–3 osoby (godziny biurowe) — krytyczna decyzja: czy budować zespół 24/7 (6+ etatów, 18–24 miesiące rampup) czy kupić MDR (4–8 tygodni do go-live). W 90% przypadków MDR wygrywa.
Mam SIEM + EDR + zespół 5+ analityków 24/7 — XDR z konsolidacją źródeł, threat hunting program, automation/SOAR.

Krok 2: Określ wymagania compliance

Polskie i unijne regulacje wpływają na minimalny zakres detection:

KSC 2.0 (Krajowy System Cyberbezpieczeństwa) — operatorzy usług kluczowych: SIEM z retencją 6 mies + SOC 24/7 (własny lub kontraktowy) + incident reporting do CSIRT NASK w 24h. EDR + MDR pokrywają część wymagań; trudno spełnić KSC bez SIEM.
NIS2 — od października 2024 wszystkie “essential” i “important” entities (banki, energetyka, transport, zdrowie, ICT services, firmy >250 osób w określonych sektorach) muszą mieć dokumentowane procesy IR + monitoring. EDR + MDR często wystarczy dla “important entities”; “essential” zwykle wymaga SIEM + XDR.
DORA (Digital Operational Resilience Act) — sektor finansowy, od stycznia 2025. Wymaga zaawansowanego threat intelligence, threat-led penetration testing (TLPT) raz na 3 lata, incident reporting w 4h dla major incidents. Minimum to XDR + dojrzały MDR z SLA <30 min.
ISO 27001:2022 — kontrola A.8.16 wymaga monitorowania aktywności. EDR + MDR pokrywa.

Krok 3: Szacuj realny budżet

Dla firmy 200 endpointów (Polska, 2026):

Scenariusz	CAPEX wdrożenie (zł)	OPEX roczny (zł)
EDR samodzielne (Microsoft Defender for Endpoint P2)	0–50 tys. (PoC, integracja)	480 tys. (200 × ~200 zł/mies × 12)
EDR + MDR (CrowdStrike + nFlo MDR)	80–150 tys. (deployment, tuning)	720 tys. (EDR) + 300 tys. (MDR) = 1,02 mln
XDR samodzielne (Palo Alto Cortex XDR)	200–400 tys. (NDR sondy, deployment, integracje)	720 tys. (200 × ~300 zł/mies × 12)
XDR + MDR (Cortex XDR + nFlo MDR)	250–500 tys.	720 tys. (XDR) + 420 tys. (MDR rozszerzony) = 1,14 mln
Własny SOC 24/7 + XDR (6 analityków, narzędzia)	500 tys. – 1 mln (rekrutacja, szkolenia, infrastruktura)	1,8–2,5 mln (zespół) + 720 tys. (XDR) = 2,5–3,2 mln

Liczby są orientacyjne i zależą od dostawców, kontraktów wieloletnich, dyskontów na większą skalę, koniecznych integracji. W nFlo robimy precyzyjne wyceny po audycie gotowości — bo dwie firmy z 200 endpointów mogą mieć skrajnie różne koszty wdrożenia, w zależności od dojrzałości istniejącej infrastruktury, liczby legacy systemów, środowisk OT/IoT.

Krok 4: Wybierz dostawcę EDR/XDR

Krótka mapa rynku 2026 (subiektywnie, na podstawie naszych wdrożeń):

Microsoft Defender for Endpoint / Defender XDR — najlepszy stosunek ceny do funkcji dla firm już w ekosystemie Microsoft 365 E5 (licencja E5 obejmuje pełne XDR). Słaba opcja dla heterogenicznego stacku non-Microsoft.
CrowdStrike Falcon (Insight / Complete / XDR) — lider technologiczny EDR/XDR, najlepszy w detekcji APT, drogi w pełnej konfiguracji. Falcon Complete = embedded MDR od CrowdStrike (alternatywa dla MDR partnera).
SentinelOne Singularity — silne autoremediation (rollback ransomware), dobry XDR z mocnym ML. Świetny dla firm bez mocnego zespołu IR (autonomiczna reakcja).
Palo Alto Cortex XDR — najmocniejszy XDR korelacyjny, najlepiej działa w środowisku Palo Alto NGFW + Prisma Cloud. Najdroższy w segmencie enterprise.
Sophos Intercept X / XDR — dobra opcja dla firm średnich (100–500 endpointów), niższy koszt, dobre integracje z Sophos Firewall.
Trend Vision One — mocny XDR z dobrym threat intelligence (Zero Day Initiative), niedoceniana opcja dla średnich firm.

Krok 5: Wybierz dostawcę MDR

Tu kryteria są inne niż dla EDR/XDR:

Lokalność i jurysdykcja — czy SOC dostawcy jest w Polsce/UE? Ważne dla danych regulowanych (RODO, KSC).
SLA reakcji — czas od alertu do pierwszej akcji. Standardy rynkowe: 15 min (premium), 30 min (standard), 1 h (basic). Dla DORA potrzebujesz 30 min lub lepiej.
Zakres containment — czy dostawca może autonomicznie izolować endpointy/blokować konta, czy tylko rekomenduje? Autonomia oznacza szybszą reakcję, ale wymaga zaufania.
Threat hunting jako element kontraktu — czy dostawca aktywnie szuka indicators of compromise, czy tylko reaguje na alerty?
Coverage technologii — z jakimi EDR/XDR dostawca pracuje? Najlepsze MDR pokrywają 5–10 wiodących EDR/XDR + SIEM (Splunk, Sentinel, Elastic).
Transparency — czy klient ma dostęp do konsoli i logów wszystkich decyzji, czy MDR jest “black box”? My w nFlo dajemy klientom pełny dostęp do narzędzi — bo zaufanie buduje się na widoczności.

Praktyczny przykład: ataki, w których EDR vs XDR vs MDR robi różnicę

Aby porównanie było konkretne, przejdźmy przez trzy realne typy ataków, które obsługiwaliśmy, i jak każda z konfiguracji EDR / XDR / MDR by sobie z nim radziła.

Scenariusz A: Ransomware przez phishing (najpopularniejszy)

Atak: pracownik klika załącznik z fałszywej faktury, makro Excel pobiera Cobalt Strike loader, loader nawiązuje C2, atakujący przez 7 dni mapuje sieć i kradnie dane, ósmego dnia uruchamia ransomware na 80% serwerów.

EDR tylko: wykryje loader (heurystyka), wyśle alert. Jeśli nikt nie czyta alertów (np. weekend), atak postępuje. Wykrycie najpóźniej w momencie szyfrowania (za późno).
EDR + MDR: wykryje loader, analityk SOC w 15 min izoluje endpoint, eskaluje do klienta, blokuje podobne hashe w środowisku. Atak zatrzymany w D+0 zamiast D+8.
XDR + MDR: dodatkowo widzi phishing w e-mailu (cofa wiadomość z innych skrzynek), blokuje nadawcę globalnie, sprawdza Azure AD czy ktoś inny nie wpisał hasła na fałszywej stronie. Atak nie tylko zatrzymany, ale i cofnięty.

Scenariusz B: Insider threat — pracownik kradnie dane

Atak: pracownik handlowy, który właśnie złożył wypowiedzenie, w ciągu 2 tygodni przed odejściem kopiuje bazę klientów na pendrive i wysyła do prywatnego e-maila.

EDR tylko: nie wykryje (legalny dostęp do plików, legalne USB, legalny e-mail).
EDR + DLP samodzielnie: częściowo wykryje (DLP blokuje kopiowanie wrażliwych plików), ale e-mail przez webmail osobisty może obejść.
XDR + DLP + MDR: skoreluje wzorzec (nagle pracownik pobiera 10x więcej danych niż średnia, wysyła e-maile do nowych domen, kopiuje pliki, których wcześniej nie używał). UEBA wykrywa zmianę wzorca zachowania. Analityk MDR potwierdza, eskaluje do HR/Compliance, blokuje konto.

Scenariusz C: APT supply chain attack (jak SolarWinds)

Atak: trusted dostawca SaaS ma swój endpoint przejęty, atakujący wkleja złośliwy kod do produktu, klient (Ty) aktualizuje, w Twoim środowisku uruchamia się ukryty implant, który czeka 6 miesięcy zanim ożyje.

EDR tylko: prawie na pewno nie wykryje (kod podpisany legalnie, ładowany przez zaufaną aplikację, behawioralnie tinker mode).
EDR + XDR + MDR: ma szansę wykryć przez korelację — implant rozpoczyna nietypową aktywność (DNS na nowe domeny, połączenia C2, eskalacja uprawnień), XDR koreluje z aktywnościami innych klientów (jeśli dostawca MDR ma threat intelligence). Threat hunting (jeśli kontrakt MDR go obejmuje) szuka proaktywnie wskaźników podobnych do publicznie ujawnionych kampanii.

Co dalej — pierwsze kroki w Twojej firmie

Jeśli ten artykuł trafił do Ciebie w momencie planowania budżetu 2026 lub przygotowania uzasadnienia dla zarządu, oto pragmatyczna lista kroków na pierwsze 30 dni:

Audyt obecnego stanu: jakie narzędzia detection masz dziś, co generują, kto czyta alerty, jaki jest średni MTTR (mean time to respond) na incydent? Bez tego nie da się sensownie planować.
Mapa wymagań compliance: KSC, NIS2, DORA, ISO 27001, sektorowe (KNF, UODO). Spisz, co regulator wymaga w obszarze detection i incident response.
Kalkulacja TCO 3-letnia dla 3 scenariuszy: EDR samodzielne, EDR + MDR, XDR + MDR. Uwzględnij CAPEX (wdrożenie, integracje, szkolenia) i OPEX (licencje, MDR, własne zasoby).
PoC (Proof of Concept) z 2–3 dostawcami EDR/XDR — typowo 30–60 dni darmowo. Mierz: liczbę alertów, false positive rate, łatwość integracji, jakość supportu.
Wybór MDR partnera (jeśli idziesz w MDR) — minimum 3 dostawców, RFP z konkretnymi pytaniami o SLA, transparency, threat hunting, jurysdykcję, exit plan.

Przed wyborem konkretnego rozwiązania warto zweryfikować, czy obecna konfiguracja EDR rzeczywiście wykrywa typowe techniki atakujących — kontrolowane testy penetracyjne z elementami red teamingu pokazują rzeczywistą skuteczność detekcji, a nie deklaracje vendora. Jeśli zarząd potrzebuje strategicznego doradztwa przy wyborze i komunikacji decyzji, dobrze sprawdza się model vCISO, który koordynuje proces RFP, mapowanie kosztów i przygotowanie business case’u dla EDR/XDR/MDR.

W nFlo prowadzimy takie audyty gotowości w 4–6 tygodni i wydajemy konkretną rekomendację, którą można zanieść do zarządu. Skutkiem audytu zawsze jest jasna decyzja “co kupić, ile to kosztuje 3-letnio, jaki jest ROI” — a nie marketingowa prezentacja “wszystko jest możliwe”. Jeśli planujesz tę decyzję w nadchodzących miesiącach, skontaktuj się z nami lub sprawdź naszą usługę SOC 24/7, która łączy EDR/XDR z MDR w jednym kontrakcie.

Powiązane usługi nFlo

SOC 24/7 — MDR oparty o EDR/XDR z gwarancją reakcji <15 min
Audyty bezpieczeństwa — assessment dojrzałości przed decyzją EDR vs XDR vs MDR
Testy penetracyjne — weryfikacja skuteczności detekcji EDR/XDR w praktyce
vCISO — strategiczne doradztwo przy decyzji EDR vs XDR vs MDR, business case dla zarządu
Incident Response — reagowanie na incydenty, retainer 24/7
Compliance NIS2 — mapowanie wymogów detection i reporting do dyrektywy NIS2

XDR vs EDR vs MDR — kompletne porównanie 2026 dla CISO i Security Directorów