EDR vs Antivírus: qual a diferença e qual a sua empresa precisa?

Resposta direta

Antivírus tradicional (EPP) bloqueia ameaças conhecidas por assinatura; EDR detecta e responde a comportamentos suspeitos no endpoint, mesmo sem arquivo malicioso. Hoje 79-81% das invasões não usam malware (CrowdStrike 2025) — então antivírus sozinho não basta. Para a maioria das empresas brasileiras a resposta é: EDR como base e MDR (EDR gerenciado 24/7) se você não tem equipe para investigar alertas. Faixas reais: EDR puro custa de R$ 18 a R$ 120 por endpoint/mês conforme o tier; MDR gerenciado de R$ 35 a R$ 180 por endpoint/mês, com pisos de R$ 6 mil a R$ 30 mil/mês em pacotes para até 50-100 máquinas. O preço depende de nº de endpoints, retenção de telemetria, SLA e se há SOC humano no contrato.

Em resumo

  • Antivírus (EPP) é prevenção por assinatura/reputação: ótimo contra malware conhecido, cego para ataques que usam ferramentas legítimas do próprio Windows (PowerShell, mshta, rundll32) e credenciais roubadas.
  • EDR adiciona telemetria contínua, detecção comportamental, isolamento de máquina e threat hunting — é o que enxerga o ransomware moderno e os ataques fileless que o antivírus não vê.
  • 79-81% das invasões em 2024-2025 foram 'malware-free' (CrowdStrike): o invasor entra com senha válida e usa ferramentas nativas. Isso, sozinho, já justifica EDR para qualquer empresa com dados sensíveis.
  • Ter EDR não basta: alguém precisa ler e investigar os alertas. Se você não tem equipe de segurança 24/7, o EDR vira ruído. Aí entra o MDR (EDR gerenciado com SOC humano).
  • Preço honesto: EDR puro ~R$ 18-120/endpoint/mês; MDR gerenciado ~R$ 35-180/endpoint/mês. O que move o preço é nº de máquinas, retenção de logs, SLA de resposta e presença de analista humano.
  • Para PMEs brasileiras com 20-200 endpoints e sem time de segurança, MDR costuma sair mais barato e mais eficaz que montar SOC interno — porque o custo real do EDR não é a licença, é a operação.

O que é antivírus tradicional (EPP) e onde ele acerta — e cega

O antivírus que você conhece hoje é parte de uma categoria que a indústria chama de EPP (Endpoint Protection Platform — Plataforma de Proteção de Endpoint). A diferença de nome importa para comprar bem: 'antivírus' no sentido clássico era um motor de assinaturas; 'EPP' é o pacote moderno de prevenção que reúne esse motor de assinaturas, reputação de arquivos, heurística, firewall de host, controle de dispositivos e, nas versões boas, um módulo de machine learning que tenta classificar um arquivo como bom ou ruim antes de ele executar. Quando alguém diz 'tenho antivírus corporativo', quase sempre está falando de um EPP. Entender isso evita você pagar duas vezes pela mesma camada.

O EPP é uma tecnologia de prevenção, e prevenção significa: tentar impedir que algo ruim aconteça, com base no que já se sabe ser ruim. O modelo mental é o de um porteiro com uma lista de procurados. Chega um arquivo, o motor calcula um hash, compara com a base de assinaturas e a inteligência de reputação na nuvem, e decide bloquear ou liberar. Isso funciona muito bem para uma classe enorme de ameaça: o malware commodity, aquele trojan que circula em massa, o anexo malicioso reconhecido, o executável já catalogado por milhões de outros clientes. Para esse tipo de ameaça, o antivírus moderno é rápido, barato e eficaz. Ninguém com bom senso recomenda tirar o EPP da empresa — ele para o barulho de fundo e deixa o time focar no que é difícil.

O problema é estrutural, não de marca: a prevenção por assinatura/reputação enxerga arquivos, e o ataque moderno cada vez menos depende de arquivo. O relatório Global Threat Report 2025 da CrowdStrike mediu que 79% das detecções de invasão em 2024 foram 'malware-free' — ou seja, sem nenhum arquivo malicioso para o antivírus pegar — e esse número subiu para 81% das intrusões no primeiro semestre de 2025. O invasor não 'instala um vírus'; ele faz login com uma credencial roubada (comprada em log de stealer, obtida por phishing) e a partir daí usa as ferramentas que já existem no Windows. Para o EPP, um PowerShell rodando é o Windows funcionando normalmente. Não há hash ruim para bloquear. A porta está cega.

O segundo ponto cego é o ataque fileless (sem arquivo) e o living-off-the-land (LOTL — viver da terra, usar o que já está na máquina). Aqui o código malicioso roda direto na memória, ou é carregado por um binário legítimo e assinado pela própria Microsoft — os chamados LOLBins (Living-Off-the-Land Binaries), como powershell.exe, mshta.exe, rundll32.exe, certutil.exe, wmic.exe. Como nada suspeito toca o disco, não há o que escanear. A própria CrowdStrike define LOTL como o uso de ferramentas nativas e legítimas para conduzir atividade maliciosa, justamente para escapar de defesas baseadas em assinatura. O Ponemon Institute estimou que ataques fileless têm chance de sucesso cerca de dez vezes maior que ataques baseados em arquivo. Não é que o seu antivírus seja ruim — é que ele foi projetado para um jogo que o adversário parou de jogar.

Há ainda um terceiro problema, mais sutil e mais perigoso para quem decide compra: o antivírus tradicional não conta a história. Mesmo quando ele bloqueia algo, ele te dá um evento isolado — 'arquivo X bloqueado às 14h32'. Ele não te diz como aquilo chegou ali, o que mais aquele processo fez, se ele se moveu para outra máquina, se exfiltrou dado. Sem essa narrativa, você não sabe se foi um susto ou o começo de um incidente de ransomware. É exatamente essa lacuna — visibilidade, contexto e capacidade de responder — que deu origem à categoria EDR.

O que é EDR e por que ele enxerga o que o antivírus não vê

EDR significa Endpoint Detection and Response — Detecção e Resposta no Endpoint. O termo (originalmente ETDR) foi cunhado em 2013 pelo analista Anton Chuvakin, do Gartner, para nomear uma categoria nova de ferramentas focadas em detectar e investigar atividades suspeitas nos hosts, e foi encurtado para EDR em 2015. A motivação foi exatamente a limitação do antivírus diante de ameaças avançadas. Repare na ordem das palavras: detecção e resposta. O antivírus é prevenção; o EDR assume que algo vai passar pela prevenção — e se prepara para ver e agir quando passar. Os dois não competem: o EDR pressupõe que você já tem prevenção e cobre o que ela deixa escapar.

Mecanicamente, um EDR instala um agente em cada endpoint que faz uma coisa que o antivírus não faz: ele registra continuamente o comportamento da máquina. Criação de processos, conexões de rede, escrita em chaves de registro, carregamento de DLLs, relações pai-filho entre processos, logons. Esse fluxo de telemetria é enviado para uma plataforma central, onde é correlacionado em tempo real contra regras de detecção comportamental. A pergunta que o EDR faz não é 'esse arquivo é conhecidamente ruim?', e sim 'essa sequência de ações é o que um atacante faria?'. Quando o Word abre o PowerShell, que baixa algo da internet, que desativa o Volume Shadow Copy (os backups do Windows) e começa a criptografar arquivos em lote — cada passo pode ser 'legítimo' isoladamente, mas a cadeia inteira é inconfundivelmente um ataque de ransomware. O EDR vê a cadeia. O antivírus via cada elo, e cada elo parecia inofensivo.

É aqui que entra o MITRE ATT&CK, o framework que virou a língua franca da detecção moderna. ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) é uma base de conhecimento pública, mantida pela MITRE, que cataloga como adversários reais operam. Na versão Enterprise (v18, 2025) são 14 táticas — os 'porquês', do Reconhecimento ao Impacto — e 216 técnicas com 475 sub-técnicas — os 'comos'. Um EDR sério mapeia suas detecções para essas técnicas: quando ele alerta 'T1059.001 — PowerShell' ou 'T1490 — Inhibit System Recovery' (apagar backups), você não recebe um alarme genérico, recebe o nome exato da jogada do adversário e onde ela está na linha do ataque. Isso muda tudo na investigação — você sabe se está no começo (acesso inicial) ou no fim (impacto/exfiltração), e quão urgente é.

A parte 'Response' do EDR é o que o transforma de um detector em uma defesa. Diante de um alerta, o EDR permite ações que o antivírus nunca teve: isolar a máquina da rede com um clique (ela continua falando só com a plataforma, e o invasor perde o pé), matar um processo malicioso remotamente, reverter alterações, coletar artefatos forenses, e bloquear o indicador em toda a frota de uma vez. Em um incidente real, a diferença entre isolar o paciente zero em cinco minutos e descobrir o problema três dias depois é, literalmente, a diferença entre um susto e a empresa parada com tudo criptografado. O relatório IBM Cost of a Data Breach 2025 mediu o tempo médio para identificar e conter uma violação em 241 dias — o menor em nove anos, mas ainda oito meses. EDR existe para derrubar esse número de meses para minutos.

Por fim, EDR habilita o threat hunting (caça a ameaças): porque ele guarda a telemetria histórica, um analista pode fazer perguntas retroativas — 'algum endpoint executou este comando suspeito nos últimos 30 dias?', 'esta credencial fez logon de onde nunca tinha feito?'. É proatividade: procurar o invasor que já está dentro e ainda não disparou nenhum alarme automático. Nenhum antivírus faz isso, porque ele não guarda a história — ele só reage a arquivos no momento em que aparecem. Essa retenção de telemetria, aliás, é um dos principais fatores de preço do EDR, como veremos.

Gestão de Ameaças · Grátis

Quer parar de adivinhar se o seu antivírus dá conta? A Decripte implementa EDR/MDR gerenciado dimensionado ao seu risco real — com SOC operando quando o atacante de fato ataca. Comece pela Segurança Preventiva (/plano/seguranca-preventiva), conheça a detecção e resposta gerenciada (/solucoes/mdr) ou o monitoramento 24/7 (/plano/soc-247). Cibersegurança para todos os tamanhos, do MEI ao enterprise.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Antivírus vs EDR vs MDR: a comparação que decide a compra

Há um terceiro termo que você precisa entender antes de assinar qualquer contrato, porque é onde a maioria das empresas erra: MDR — Managed Detection and Response (Detecção e Resposta Gerenciada). EDR é uma ferramenta; MDR é um serviço. No EDR puro, a plataforma gera os alertas — e alguém da sua empresa precisa ler, investigar, separar falso-positivo de ataque real e apertar o botão de resposta, 24 horas por dia, 7 dias por semana, incluindo às 3h da manhã de um domingo (que é exatamente quando os grupos de ransomware preferem atacar, justamente porque ninguém está olhando). No MDR, um SOC (Security Operations Center) humano de um fornecedor faz isso por você: monitora, triagem, investiga, responde e te liga quando é sério.

Essa distinção é a fonte do maior erro de orçamento em segurança de endpoint: comprar EDR achando que comprou proteção, quando na verdade comprou uma ferramenta que precisa de um operador. Um EDR de ponta gerando 200 alertas por dia para uma equipe de TI de três pessoas que já cuida de impressora, e-mail e ERP não é segurança — é um alarme tocando numa casa vazia. O valor do EDR só se realiza quando há capacidade humana qualificada para operá-lo. Por isso a pergunta de compra não é 'EDR ou antivírus?', e sim, em sequência: (1) tenho EPP? (sim, mantenha); (2) preciso de EDR? (quase certamente sim); (3) tenho gente para operar o EDR 24/7? — se não, você precisa de MDR.

A tabela abaixo resume as três camadas pela ótica de quem decide. Leia-a como degraus que se somam, não como opções excludentes: o MDR normalmente já inclui o EDR (a ferramenta) embutido no serviço, e o EDR pressupõe um EPP por baixo. Você não 'troca' antivírus por EDR; você empilha capacidades conforme o seu risco e a sua maturidade operacional.

Na prática brasileira, o ponto de virada costuma ser este: se a sua empresa lida com dados pessoais sensíveis (e quase toda lida, por força da LGPD — Lei 13.709/2018, cujo art. 46 exige medidas de segurança técnicas e administrativas, e o art. 48 obriga a comunicar incidentes à ANPD e aos titulares), e se uma parada de um dia por ransomware seria um problema sério de caixa ou reputação, então EDR deixou de ser luxo e virou linha de base. A pergunta seguinte — operar internamente ou contratar MDR — é uma decisão de custo total e de honestidade sobre a sua capacidade real de resposta no meio da madrugada.

Quanto custa: faixas honestas do mercado brasileiro e o que move o preço

Primeiro, a honestidade que falta na maioria dos sites: não existe um preço único de EDR ou de MDR, e quem te dá um número fechado sem perguntar nada sobre o seu ambiente está chutando ou te prendendo. O preço é por endpoint (cada notebook, desktop e servidor conta como um endpoint), e varia por tier de capacidade, por volume e por uma lista de fatores que detalho abaixo. O que dá para fazer com responsabilidade é dar faixas reais e te ensinar a se posicionar dentro delas.

Para EDR puro (a ferramenta, sem SOC humano), os preços de tabela internacional dos líderes em 2025 ficam, em valores anuais por endpoint: tiers de entrada por volta de US$ 36 a 96 (ex.: CrowdStrike Falcon Go ~US$ 60, SentinelOne Core ~US$ 70); tiers médios de US$ 96 a 216 (CrowdStrike Pro ~US$ 100); e tiers enterprise com EDR completo de US$ 184 a 420+ (CrowdStrike Enterprise ~US$ 185, SentinelOne Complete ~US$ 160). O Microsoft Defender for Endpoint Plan 2 sai standalone por ~US$ 5,20/usuário/mês (~US$ 62/ano) e vem 'de graça' (custo marginal zero) para quem já paga o Microsoft 365 E5. Convertendo e ajustando para a realidade de revenda no Brasil (impostos, suporte local, câmbio), uma faixa honesta de EDR puro fica em torno de R$ 18 a R$ 120 por endpoint/mês conforme o tier — entrada na base, enterprise no topo.

Para MDR (EDR gerenciado com SOC humano 24/7), o mercado internacional verificado em 2025-2026 trabalha entre US$ 10 e US$ 30 por endpoint/mês na média, com fornecedores indo de ~US$ 3-9 (Huntress) a ~US$ 25-45 (CrowdStrike gerenciado). Para empresas pequenas, é comum o modelo de piso mensal: pacotes de US$ 1.500 a US$ 5.000/mês para ambientes de até 50-100 endpoints, porque o custo do serviço humano não escala linearmente para baixo. No Brasil, uma faixa honesta de MDR fica em torno de R$ 35 a R$ 180 por endpoint/mês, frequentemente com piso de contrato entre R$ 6 mil e R$ 30 mil/mês para ambientes pequenos e médios. O MDR parece mais caro por endpoint que o EDR puro — e é, porque inclui pessoas. A comparação justa não é EDR-licença vs MDR-serviço; é MDR vs (licença de EDR + salário de analistas 24/7 + ferramentas + plantão).

O que move o preço, e o que você deve perguntar a qualquer fornecedor para não comprar errado: (1) Número de endpoints — quase todo preço cai por faixa de volume; peça a tabela de degraus. (2) Servidores vs estações — servidores costumam custar mais por serem alvo crítico. (3) Retenção de telemetria — guardar 7, 30, 90 ou 365 dias de logs muda muito o preço (é armazenamento e processamento); para LGPD e investigação séria, menos de 30 dias é arriscado. (4) SLA de resposta — 'respondemos em 15 minutos' custa diferente de 'em 4 horas úteis'; exija o SLA por escrito. (5) Resposta ativa incluída ou só notificação — alguns MDRs baratos só te avisam ('vimos algo'), sem isolar a máquina; isso é meio-MDR. (6) Onboarding e tuning — taxas de implantação one-time existem (lá fora US$ 5-25 mil) e o ajuste fino de regras nas primeiras semanas define se você vai viver afogado em falso-positivo. (7) Reajuste anual — peça a cláusula; 3-7% ao ano é comum e some no orçamento de 3 anos.

Um aviso anti-armadilha: desconfie do 'EDR' suspeitamente barato. Há produtos vendidos como EDR que são antivírus com um dashboard bonito — têm o rótulo, não têm a telemetria comportamental contínua nem a capacidade de resposta real. Pergunte explicitamente: o agente registra processos/rede/registro continuamente? Mapeia detecções para MITRE ATT&CK? Permite isolar a máquina remotamente? Guarda telemetria histórica para hunting? Se a resposta for vaga, é EPP fantasiado. E desconfie também do MDR que não te entrega relatório de incidente nem te diz, em português claro, em qual site você deve trocar a senha vazada — porque a entrega do MDR não é o alerta, é a resolução que você consegue entender e agir.

Gestão de Ameaças · Grátis

Sem cartão, sem compromisso — entenda o seu risco real antes de investir.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Quando a empresa precisa de EDR, e quando precisa de MDR gerenciado

Comece pelo risco, não pela ferramenta. Faça três perguntas honestas. Primeira: se o seu maior endpoint (o notebook do financeiro, o servidor do ERP) fosse criptografado por ransomware hoje à noite, qual o tamanho do estrago — em reais parados, em dado de cliente exposto, em reputação? Se a resposta for 'sério' ou 'catastrófico', você precisa de EDR. Segunda: você lida com dado pessoal, financeiro, de saúde ou cripto? Se sim, a LGPD já te coloca na obrigação de adotar medidas técnicas adequadas (art. 46) e de notificar incidentes (art. 48) — e 'eu tinha só antivírus' é uma defesa fraca diante da ANPD depois de um vazamento. EDR vira parte da diligência mínima. Terceira: o seu antivírus atual te conta a história de um ataque, ou só bloqueia arquivos soltos? Se ele não te dá contexto nem capacidade de isolar uma máquina, você tem prevenção, não tem detecção e resposta.

Você precisa de EDR (e não só antivírus) quando: tem ativos cuja parada dói; tem dados sensíveis sob LGPD; já sofreu um susto ou um incidente; cresceu além do ponto em que 'dava para olhar tudo na mão'; ou tem qualquer exposição a acesso remoto, VPN, e colaboradores que clicam em e-mail (ou seja, todas as empresas). O gatilho mais subestimado é o trabalho com credenciais: como 79-81% das invasões hoje usam login válido roubado, qualquer empresa cujos funcionários têm senhas que valem dinheiro — e isso é qualquer empresa — está exposta exatamente ao tipo de ataque que o antivírus não vê e o EDR vê.

Você precisa de MDR (EDR gerenciado) — e não apenas de comprar a licença de EDR — quando alguma destas for verdade: você não tem uma equipe de segurança dedicada que cobre 24/7; sua TI já está sobrecarregada e não vai investigar 50 alertas por dia com método; você não tem analista que saiba ler uma cadeia MITRE ATT&CK e decidir em minutos se isola a máquina; ou você fez a conta e percebeu que montar SOC interno (mínimo de 3 a 5 analistas para cobrir turnos, mais ferramentas, mais plantão) custa muito mais do que contratar o serviço. Para a esmagadora maioria das PMEs brasileiras com 20 a 200 endpoints, a matemática aponta para MDR: você terceiriza a operação 24/7 para quem já tem o SOC montado e dilui o custo entre muitos clientes.

O caso em que faz sentido EDR puro (sem MDR) é específico: empresas que já têm um time de segurança maduro, com plantão real, processos de resposta e analistas que vivem da plataforma — tipicamente organizações maiores, ou de setores regulados, que querem controle total e têm gente para exercê-lo. Mesmo essas, com frequência, contratam MDR para cobrir madrugadas e feriados, ou MDR híbrido (co-gerenciado), onde o fornecedor cobre fora do horário comercial e o time interno cuida do dia. Não existe vergonha em terceirizar a operação — existe imprudência em comprar a ferramenta e deixá-la sem operador.

Um teste prático de decisão, em uma frase: se ninguém na sua empresa vai acordar às 3h da manhã de domingo para isolar uma máquina comprometida, você não precisa de mais uma ferramenta — você precisa de alguém de plantão. Isso é MDR. Se você tem esse alguém e quer dar a ele a melhor ferramenta, isso é EDR. E nos dois casos, por baixo, mantém-se o antivírus/EPP fazendo a faxina do barulho conhecido. As três camadas convivem; o que muda é quanto da operação você opera e quanto você delega.

Como contratar bem: critérios, perguntas e armadilhas de fornecedor

Contratar EDR ou MDR é menos sobre a marca do produto e mais sobre a qualidade da operação por trás dele — porque, como vimos, a ferramenta sem operação não protege. O primeiro critério é a transparência da entrega: um bom fornecedor te mostra, antes da assinatura, como é o relatório de incidente que você vai receber, qual o SLA de detecção e de resposta por escrito, e o que exatamente está incluído ('só aviso' vs 'isolamento ativo da máquina'). Se o comercial enrola nessas três coisas, esse é o seu sinal de saída.

O segundo critério é a clareza para leigos. Segurança boa não é a que enche o relatório de siglas; é a que te diz, em português, 'o que aconteceu, o que já contivemos e o que você precisa fazer agora'. Se o achado for uma credencial vazada, o relatório tem que dizer em qual sistema você deve trocar a senha — não te entregar um JSON de IoCs e desejar boa sorte. Você está comprando capacidade de decidir e agir, não um console que ninguém na sua empresa sabe usar. Peça para ver um relatório-exemplo real (anonimizado) antes de fechar.

Terceiro: cuidado com os meios-termos disfarçados. As armadilhas mais comuns no mercado brasileiro são (a) o 'EDR' que é antivírus repaginado — sem telemetria comportamental contínua, sem mapeamento MITRE, sem isolamento remoto; (b) o 'MDR' que só notifica e não responde — te manda e-mail às 3h e a máquina segue infectada porque ninguém apertou o botão; (c) o contrato com retenção de log curta (7 dias) que te deixa cego para investigar um ataque que começou semanas antes; e (d) o piso de preço escondido que só aparece na proposta final. Pergunte tudo isso por escrito e exija no contrato.

Quarto: dimensione você mesmo antes de pedir proposta, para negociar de igual para igual. Conte seus endpoints reais (estações + notebooks + servidores). Defina sua retenção mínima (recomendação: 30 a 90 dias para conseguir investigar e atender a LGPD). Defina o SLA que o seu risco exige (uma fintech precisa de resposta em minutos; um escritório pode tolerar horas). Some o custo total de 3 anos com o reajuste anual incluído. Com esses números na mão, você compara propostas pelo que importa — custo total da capacidade que você precisa — e não pelo preço de etiqueta por endpoint, que é o que os fornecedores usam para parecer baratos.

Por fim, o quinto critério é o encaixe com o resto da sua segurança. EDR/MDR é a camada de endpoint; ele fica mais forte conectado a monitoramento de vazamento de credenciais (porque o ataque moderno começa com senha roubada), a um plano de resposta a incidentes (para quando o EDR detectar algo grande), e a um SOC 24/7 se a sua operação for crítica. Na Decripte, a segurança preventiva (EDR/MDR gerenciado) é a base — em /plano/seguranca-preventiva — com a detecção e resposta gerenciada detalhada em /solucoes/mdr e o monitoramento contínuo 24/7 em /plano/soc-247. O ponto não é empilhar produto: é desenhar a camada de endpoint do tamanho do seu risco e operá-la de verdade, com gente, no horário em que o atacante de fato ataca.

Antivírus (EPP) vs EDR vs MDR: o que cada camada faz

CritérioAntivírus / EPPEDRMDR (EDR gerenciado)
O que éTecnologia de prevençãoFerramenta de detecção e respostaServiço com SOC humano 24/7
Como detectaAssinatura, reputação, heurística (olha arquivos)Comportamento contínuo (processos, rede, registro)EDR + analistas investigando os alertas
Pega ransomware moderno?Só o conhecido; falha no novo/empacotadoSim — vê a cadeia de ações do ataqueSim — e contém ativamente em minutos
Pega ataque fileless / por credencial roubada (79-81% hoje)Não — não há arquivo para escanearSim — detecta o comportamento anômaloSim — com validação e resposta humana
Resposta a incidenteBloqueia arquivo isolado, sem contextoIsola a máquina, mata processo, faz hunting (você opera)O fornecedor isola, investiga e te aciona
Mapeia MITRE ATT&CKNãoSim (nos produtos maduros)Sim, com analista interpretando a cadeia
Quem opera 24/7Automático, sem operadorSua equipe precisa investigar os alertasSOC do fornecedor, inclusive 3h de domingo
Faixa de preço (Brasil, estimada)R$ 5-30/endpoint/mêsR$ 18-120/endpoint/mêsR$ 35-180/endpoint/mês (piso R$ 6-30 mil/mês)
Para quemBase mínima de toda empresaQuem tem time de segurança para operarQuem não tem plantão de segurança próprio (maioria das PMEs)

Termos-chave

Antivírus / EPP (Endpoint Protection Platform)
Tecnologia de prevenção no endpoint. Bloqueia ameaças por assinatura, reputação e heurística — eficaz contra malware conhecido, cego para ataques sem arquivo e por credencial roubada.
EDR (Endpoint Detection and Response)
Detecção e resposta no endpoint. Registra continuamente o comportamento da máquina (processos, rede, registro), detecta cadeias de ataque por comportamento, permite isolar a máquina e fazer threat hunting. Termo cunhado por Anton Chuvakin (Gartner) em 2013.
MDR (Managed Detection and Response)
EDR gerenciado: um SOC humano do fornecedor monitora, investiga e responde 24/7 pela sua empresa. Resolve o problema de ter a ferramenta sem ter quem a opere na madrugada.
Ataque fileless / Living-off-the-Land (LOTL)
Ataque que não deixa arquivo no disco: roda na memória ou usa binários legítimos do próprio sistema (LOLBins, como PowerShell, mshta, rundll32). Invisível para antivírus por assinatura; cerca de 10x mais provável de ter sucesso (Ponemon).
Malware-free intrusion
Invasão sem nenhum malware — o atacante usa credenciais válidas roubadas e ferramentas nativas. Representou 79% das detecções em 2024 e 81% das intrusões no 1º semestre de 2025 (CrowdStrike).
MITRE ATT&CK
Base de conhecimento pública (MITRE) que cataloga táticas e técnicas reais de adversários. A versão Enterprise v18 (2025) tem 14 táticas, 216 técnicas e 475 sub-técnicas. EDRs maduros mapeiam detecções para essas técnicas.
Threat hunting
Caça proativa a ameaças: usar a telemetria histórica do EDR para procurar invasores que já estão dentro e ainda não dispararam alarme automático.
Retenção de telemetria
Por quanto tempo os logs de comportamento do endpoint são guardados (7, 30, 90, 365 dias). Fator-chave de preço e de capacidade de investigar incidentes que começaram semanas antes.

Como decidir e contratar bem

  1. Mapeie o risco antes da ferramenta: liste seus endpoints críticos e calcule o estrago real (caixa, dado, reputação) se o pior deles fosse criptografado por ransomware hoje à noite.
  2. Confirme a base: você já tem antivírus/EPP em todas as máquinas? Mantenha — EDR e MDR se somam a ele, não o substituem.
  3. Decida se precisa de EDR: se há ativos cuja parada dói, dados sob LGPD (arts. 46 e 48) ou exposição a credenciais roubadas, a resposta é sim — antivírus sozinho não cobre os 79-81% de ataques malware-free.
  4. Faça o teste do plantão: alguém na sua empresa vai acordar às 3h de domingo para isolar uma máquina comprometida? Se não, você precisa de MDR (EDR gerenciado), não de mais uma ferramenta sem operador.
  5. Dimensione você mesmo: conte endpoints reais (estações + servidores), defina retenção mínima de telemetria (30-90 dias) e o SLA de resposta que seu risco exige. Leve esses números para a negociação.
  6. Exija por escrito de cada fornecedor: SLA de detecção e resposta, se a resposta é ativa (isolamento) ou só notificação, retenção de log, taxa de onboarding e reajuste anual.
  7. Peça um relatório-exemplo real (anonimizado): a entrega boa diz em português o que aconteceu, o que foi contido e qual senha trocar — não um JSON de IoCs.
  8. Compare pelo custo total de 3 anos da capacidade que você precisa (incluindo reajuste), não pelo preço de etiqueta por endpoint, que faz fornecedores parecerem baratos.
  9. Conecte ao resto: encaixe o EDR/MDR com monitoramento de vazamento de credenciais, plano de resposta a incidentes e SOC 24/7 se sua operação for crítica.

Perguntas frequentes

Qual a diferença entre EDR e antivírus, em uma frase?

Antivírus (EPP) previne ameaças conhecidas bloqueando arquivos por assinatura; EDR detecta e responde a comportamentos de ataque no endpoint — inclusive quando não há arquivo malicioso nenhum, que é o caso de 79-81% das invasões modernas. Antivírus é o porteiro com lista de procurados; EDR é a câmera que vê a cena inteira e pode trancar a porta.

Antivírus sozinho não basta mais? Por quê?

Não basta para a ameaça atual. O antivírus enxerga arquivos, e o ataque moderno cada vez menos usa arquivo: o invasor entra com credencial roubada e usa ferramentas legítimas do próprio Windows (PowerShell, mshta, rundll32). Para o antivírus, isso é o sistema funcionando normalmente — não há hash ruim para bloquear. Por isso ataques fileless têm cerca de 10x mais chance de sucesso (Ponemon). Mantenha o antivírus, mas adicione EDR.

Vale a pena EDR para a minha empresa, mesmo sendo pequena?

Se você tem ativos cuja parada dói, dados pessoais sob LGPD, ou funcionários com senhas que valem dinheiro (ou seja, praticamente toda empresa), vale. O ransomware moderno não escolhe porte — escolhe quem está desprotegido e cego. Para empresas pequenas, o caminho com melhor custo-benefício costuma ser MDR (EDR gerenciado), porque você terceiriza a operação 24/7 em vez de montar um SOC interno caro.

Qual a diferença entre EDR e MDR?

EDR é a ferramenta; MDR é o serviço. No EDR puro, a plataforma gera os alertas e alguém da sua empresa precisa lê-los, investigá-los e responder 24/7. No MDR, um SOC humano do fornecedor faz tudo isso por você e te aciona quando é sério. Se você não tem equipe de segurança de plantão, comprar EDR sem MDR é comprar um alarme tocando numa casa vazia.

Quanto custa EDR e MDR no Brasil?

Faixas honestas: EDR puro fica por volta de R$ 18 a R$ 120 por endpoint/mês (entrada a enterprise); MDR gerenciado, R$ 35 a R$ 180 por endpoint/mês, com pisos comuns de R$ 6 mil a R$ 30 mil/mês para ambientes de até 50-100 máquinas. O preço varia por número de endpoints, retenção de telemetria, SLA de resposta e se há analista humano no contrato. Desconfie de número único cravado sem perguntarem nada do seu ambiente.

O MDR parece mais caro que o EDR. Por que escolher MDR?

O MDR é mais caro por endpoint porque inclui pessoas — um SOC operando 24/7. A comparação justa não é 'licença de EDR vs serviço de MDR', e sim 'MDR vs licença de EDR + salário de 3 a 5 analistas para cobrir turnos + ferramentas + plantão'. Para a maioria das PMEs, terceirizar a operação sai mais barato e mais eficaz do que montar e manter um SOC interno.

Como escolher o fornecedor de EDR/MDR sem cair em armadilha?

Exija por escrito: o SLA de detecção e resposta, se a resposta é ativa (isola a máquina) ou só notifica, a retenção de logs (mínimo 30-90 dias) e o reajuste anual. Peça um relatório-exemplo real e veja se ele explica em português o que fazer. Desconfie do 'EDR' barato que é antivírus repaginado (sem telemetria comportamental nem isolamento remoto) e do 'MDR' que só te manda e-mail sem responder.

EDR ou MDR substituem o antivírus?

Não. As três camadas convivem e se somam. O antivírus/EPP continua fazendo a faxina do malware conhecido (barato e eficaz para isso); o EDR cobre o que a prevenção deixa escapar, com detecção comportamental e resposta; o MDR adiciona a operação humana 24/7. Você não troca uma pela outra — você empilha conforme o seu risco e a sua capacidade real de operar.

Referências

  • IBM Cost of a Data Breach Report 2025 — custo global US$ 4,44 mi, Brasil R$ 7,19 mi, 241 dias para identificar e conter — https://www.ibm.com/reports/data-breach
  • CrowdStrike 2025 Global Threat Report — 79% das detecções malware-free em 2024, 81% das intrusões no 1º sem. 2025; conceito de Living-off-the-Land — https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/living-off-the-land-attack/
  • MITRE ATT&CK — Matriz Enterprise (v18, 2025): 14 táticas, 216 técnicas, 475 sub-técnicas — https://attack.mitre.org/matrices/enterprise/
  • Origem do termo EDR/ETDR — Anton Chuvakin (Gartner), 2013→2015 (Wikipedia: Endpoint detection and response) — https://en.wikipedia.org/wiki/Endpoint_detection_and_response
  • LGPD — Lei nº 13.709/2018, art. 46 (medidas de segurança) e art. 48 (comunicação de incidentes à ANPD) — https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
  • Software Pricing Guide 2025 — faixas de preço de EDR (CrowdStrike, SentinelOne, Microsoft Defender) e de MDR por endpoint — https://softwarepricingguide.com/cybersecurity-software-pricing-2025-what-crowdstrike-sentinelone-and-microsoft-defender-actually-cost-at-enterprise-scale/

Como a Decripte resolve isso

Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.

Quer parar de adivinhar se o seu antivírus dá conta? A Decripte implementa EDR/MDR gerenciado dimensionado ao seu risco real — com SOC operando quando o atacante de fato ataca. Comece pela Segurança Preventiva (/plano/seguranca-preventiva), conheça a detecção e resposta gerenciada (/solucoes/mdr) ou o monitoramento 24/7 (/plano/soc-247). Cibersegurança para todos os tamanhos, do MEI ao enterprise.

Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.