Microsoft Sentinel: arriva l’era degli agenti AI e della difesa predittiva
Ott 06, 2025 Giancarlo Calzetta
In evidenza, News, Prodotto, RSS, Tecnologia
0
Quello della sicurezza informatica è un settore estremamente misurato e preciso. Arriva una tecnologia, la si sviluppa, la si raffina e, di solito, arriva il momento in cui per i difensori diventa più complicato continuare a gestirla che per gli attaccanti aggirarla. Per questo, ogni tanto, arriva un nuovo approccio, una nuova tecnologia, una nuova struttura che “resetta le posizioni” e in questi giorni siamo proprio qui. Microsoft, ma molti altri vendor sono sul punto di fare qualcosa di simile, cerca di rimescolare le carte a favore di chi deve difendere le aziende dagli attacchi informatici trasformando Microsoft Sentinel in una piattaforma di sicurezza “agentica”, concepita per proteggere le organizzazioni su vasta scala nell’era dell’AI.
L’evoluzione di Microsoft Sentinel segna il passaggio definitivo da un approccio reattivo a uno predittivo, offrendo ai difensori una piattaforma unificata in grado di far leva su dati, contesto, automazione e, soprattutto, agenti intelligenti. Sentinel, che aveva già iniziato come SIEM (Security Information and Event Management) cloud-native per poi espandersi con un data lake di sicurezza unificato a luglio, compie ora il salto decisivo diventando una piattaforma agentica con la disponibilità generale del Sentinel data lake e la preview pubblica del Sentinel graph e del Sentinel Model Context Protocol (MCP) server.
La filosofia della difesa collettiva e la necessità di modernizzazione
Per resistere agli attacchi che si muovono alla velocità dell’AI, infatti, le aziende sono chiamate a modernizzare i loro strumenti di sicurezza. La filosofia alla base di questa mossa di Microsoft è la difesa collettiva.
Scott Woodgate, GM, Threat Protection di Microsoft ci ha spiegato durante una intervista che maggiore è la quantità di dati o di contesto presente nel data lake, più è elevata la quantità di segnale a disposizione che si può usare per prendere decisioni rapide, sia proattive che reattive. Storicamente, i SIEM hanno sempre fornito segnali importanti i questo senso, ma erano incompleti. La nuova architettura supera questa limitazione, muovendosi verso un data lake alimentato dal SIEM ma che interagisce anche con i dati di identità e conformità (compliance). Qualsiasi terza parte può adesso costruire applicazioni di sicurezza personalizzate sulla piattaforma, alimentando ulteriormente questa “gravità dei dati” essenziale per fornire contesto sia agli analisti umani che all’AI.
Il consolidamento del dato: flessibilità architettonica
Il consolidamento dei dati attraverso il data lake è riconosciuto come il primo passo critico nel processo di modernizzazione. Sentinel è progettato per ingerire segnali, sia strutturati che semistrutturati, e costruire una comprensione contestuale ricca del patrimonio digitale del cliente attraverso dati di sicurezza vettorializzati e relazioni grafiche.
“Nonostante il data lake implichi l’uso di una quantità di dati significativamente superiore,” – dice Woodgate – “l’infrastruttura è stata concepita per la massima flessibilità. La buona notizia per gli analisti è che gli strumenti di gestione già in uso funzionano perfettamente sul nuovo data lake e quindi i clienti possono scegliere se utilizzare gli strumenti di sicurezza tradizionali, oppure espandersi verso strumenti più moderni come, ad esempio, Apache Spark”.
I report grafici rendono tutto più chiaro, anche il futuro
Oltre la pura unificazione dei dati, con tutti i benefici che ne conseguono, Microsoft introduce a livello di piattaforma una sistema di reporting grafico molto potente e utile. Questa funzionalità è fondamentale per collegare i dati di Sentinel con quelli di Microsoft Defender e Microsoft Purview, portando un contesto potenziato dalle immagini negli strumenti che i team di sicurezza usano quotidianamente.
“Sebbene la visualizzazione grafica” – dice Woodgate – “sia utile per mostrare visivamente un incidente già in corso, il suo vero potere è nella predittività. La schermata, infatti, non mostra solo cosa è andato storto, ma è in grado di prevedere dove l’attaccante si dirigerà in seguito.”
Se gli analisti sanno che un attaccante si sta muovendo verso un database SQL, un storage o un repository di chiavi critico, possono agire rapidamente per rafforzare o bloccare quella risorsa, prevenendo di fatto l’attacco. Questa visualizzazione versatile può essere impiegata non solo per la gestione degli incidenti SIM, ma anche per la gestione della postura di sicurezza, il rischio dei dati (come tracciare l’accesso a file sensibili, ad esempio) e la gestione del rischio insider, come nel caso di dipendenti che scaricano dati in massa.
L’ascesa degli agenti AI e la piattaforma aperta
L’obiettivo finale di questa evoluzione è rendere i team di sicurezza più efficienti, con l’AI come catalizzatore principale. Gli agenti sono progettati per affiancare gli analisti umani e dare una mano a colmare quella carenza globale di circa 4 milioni di posti di lavoro che ancora attanaglia il settore della cybersecurity.
La piattaforma Sentinel permette ai team di sicurezza di costruire i propri agenti per svolgere compiti per loro conto, aumentando la capacità operativa. Gli agenti possono essere costruiti in due modi principali. Il primo è quello del Low-Code tramite Security Copilot: gli utenti possono descrivere ciò di cui hanno bisogno in linguaggio naturale e il portale di Security Copilot, che utilizza l’AI per costruire altra AI, crea, ottimizza e pubblica l’agente su misura.
In alterativa, possono usare la Piattaforma di Codifica Avanzata: gli agenti possono essere sviluppati in piattaforme abilitate per il Sentinel MCP server, come VS Code che utilizza GitHub Copilot, mantenendo il processo all’interno del proprio ambiente di sviluppo.
“Questi agenti” – specifica Woodgate – “possono essere condivisi o monetizzati attraverso il nuovo Microsoft Security Store, un’area specifica che si appoggia al Microsoft Marketplace, facilitando la scoperta, l’acquisto e l’implementazione di soluzioni da parte di partner come Accenture, ServiceNow, Zscaler, Alumio e Dark Trace.”
Affidabilità ed evoluzione della Programmazione
L’uso di tecniche di “vibe coding”, ovvero la generazione di codice tramite AI, è un acceleratore incredibile, riducendo giorni o ore di lavoro a poche semplici frasi. Ma questo accade in teoria. In pratica, le esperienze quotidiane dei programmatori dicono che serve ancora “molto umanità” nel coding affinché funzioni bene. Succede lo stesso nel vibe coding per Microsoft Sentinel?
“Lo stato attuale dell’AI generativa implica un’accuratezza ancora lontana del 100%,” – dice Woodgate -“ma l’accelerazione nella produttività è notevole. In Microsoft lo sappiamo bene perché facciamo ampio ricorso agli strumenti di AI per velocizzare la creazione di codice”. L’AI, quindi, commette ancora degli errori e, sebbene l’accuratezza migliori costantemente con i nuovi modelli, l’utilizzo degli agenti è prevalentemente in scenari che prevedono la verifica umana. Tutto quello che rende più veloci, abili ed efficaci gli analisti, però, è il benvenuto e anche se l’IA non una bacchetta magica, resta uno strumento molto potente usato nel modo giusto.
- Automazione della Sicurezza, Data Lake di Sicurezza, Difesa Collettiva, Difesa Predittiva, Gestione degli Incidenti, Integrazione Cloud, Intelligenza artificiale, Microsoft Defender, Microsoft Entra, Microsoft Purview, microsoft security, Microsoft Sentinel, Modernizzazione Sicurezza, Piattaforma Agenti AI, Protocollo MCP, security copilot, Security Store, Sentinel Graph, sicurezza informatica, SIEM
Altro in questa categoria
