This is the Trace Id: 8620993025bac5981e776851f83dff45
Passa a contenuti principali Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Visualizza tutti i prodotti Cybersecurity basata su intelligenza artificiale Sicurezza del cloud Sicurezza dati e governance Identità e accesso alla rete Privacy e gestione dei rischi Sicurezza per intelligenza artificiale Piccole e medie imprese SecOps unificate Zero Trust Prezzi Servizi Partner Perché Microsoft Security Sensibilizzazione sulla cybersecurity Storie di clienti Nozioni di base sulla sicurezza Versioni di valutazione dei prodotti Riconoscimento nel settore Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Blog di Microsoft Security Eventi di Microsoft Security Community tecnica Microsoft Documentazione Raccolta di contenuti tecnici Formazione e certificazioni Compliance Program per Microsoft Cloud Centro protezione Microsoft Service Trust Portal Microsoft Secure Future Initiative Hub soluzioni aziendali Contatto vendite Scarica la versione di valutazione gratuita Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Intelligenza artificiale di Microsoft Azure Space Realtà mista Microsoft HoloLens Microsoft Viva Calcolo quantistico Istruzione Automotive Servizi finanziari Enti pubblici Settore sanitario Produzione Vendita al dettaglio Trova un partner Diventa un partner Rete di partner Microsoft Marketplace Aziende software Blog Microsoft Advertising Centro per sviluppatori Documentazione Eventi Gestione delle licenze Microsoft Learn Microsoft Research Visualizza mappa del sito
Due persone che guardano un tablet, con una che indica lo schermo in un ufficio.

Che cos'è SOAR?

Scopri cos'è l'orchestrazione, automazione e risposta alla sicurezza (SOAR), perché è importante e in che modo aiuta a semplificare le operazioni di cybersecurity.
Esplora Microsoft Sentinel

SOAR è una soluzione per le operazioni per la sicurezza che aiuta i team di sicurezza a investigare e rimediare alle minacce su larga scala. Usando i playbook per automatizzare i flussi di lavoro, i team possono ridurre il lavoro manuale, migliorare la coerenza e rispondere più rapidamente in tutti gli strumenti di sicurezza.

  • SOAR aiuta i centri operazioni per la sicurezza a standardizzare e scalare la risposta agli incidenti man mano che il volume degli avvisi cresce.
  • I flussi di lavoro automatizzati riducono il carico di lavoro degli analisti e velocizzano investigazione, contenimento e rimedio.
  • Orchestrando le azioni tra gli strumenti di sicurezza, SOAR migliora coerenza, visibilità ed efficienza operativa.
  • Le funzionalità moderne di SOAR sono sempre più integrate nelle informazioni di sicurezza e gestione degli eventi (SIEM) e potenziate con flussi di lavoro assistiti dall'IA.

Spiegazione di SOAR

I team delle operazioni per la sicurezza si affidano a molti strumenti per rilevare e rispondere alle minacce. Senza orchestrazione, gli analisti devono passare manualmente da un sistema all'altro, raccogliere il contesto e prendere decisioni sotto pressione, con conseguenti tempi di risposta più lenti, sovraccarico di avvisi e risultati incoerenti.

SOAR aiuta ad affrontare queste sfide codificando i processi di risposta in flussi di lavoro ripetibili. Usando i playbook, i team possono arricchire automaticamente gli avvisi, coordinare le azioni tra gli strumenti e guidare gli analisti attraverso passaggi coerenti di investigazione e risposta, senza rimuovere la supervisione umana.

Come funziona

Tre funzionalità principali di SOAR aiutano i team SOC a collaborare in modo più efficace per proteggere le proprie organizzazioni: orchestrazione della sicurezza, automazione della sicurezza e risposta agli incidenti.

Orchestrazione della sicurezza
L'orchestrazione della sicurezza è il livello di coordinamento. Integra tecnologie esistenti, come SIEM, rilevamento e reazione dagli endpoint (EDR), funzionalità di rilevamento e reazione estese (XDR), protezione delle identità, sicurezza della posta elettronica, firewall e soluzioni di intelligence sulle minacce per centralizzare il rilevamento delle minacce, l'analisi e la risposta.

Ad esempio, se una soluzione SIEM identifica un possibile account compromesso, una soluzione SOAR può:
 
  • ⁠Raccogliere automaticamente i dati contestuali dal sistema di gestione delle identità.
  • Confrontare il tentativo di accesso con fonti di intelligence sulle minacce per valutare il rischio.
  • ⁠Verificare l'attività dell'utente negli strumenti di sicurezza degli endpoint per individuare eventuali segnali di compromissione o movimento laterale.
  • Recuperare la cronologia recente degli accessi dai registri di accesso.
  • ⁠Coordinare una risposta tra i sistemi pertinenti per contenere la minaccia.
Le organizzazioni che non dispongono di una soluzione SOAR devono eseguire manualmente ognuno di questi passaggi. Con l'orchestrazione, i team possono creare flussi di lavoro che spostano le informazioni tra i sistemi in modo strutturato.

Automazione della sicurezza
L'automazione della sicurezza riduce il carico di lavoro manuale associato alle attività ripetitive e urgenti. All'interno di una soluzione SOAR, i team possono creare flussi di lavoro che definiscono azioni passo passo per tipi specifici di incidenti, ad esempio:

  • Arricchire gli avvisi con l'intelligence sulle minacce.
  • ⁠Raccogliere dati contestuali da endpoint o sistemi di identità.
  • Bloccare gli indirizzi IP dannosi.
  • Disabilitare gli account compromessi.
  • Avvisare le parti interessate e documentare le azioni.
Automatizzando questi passaggi, i team di sicurezza rispondono in modo più rapido e coerente, soprattutto durante eventi ad alto volume.

Risposta agli incidenti
Poiché la sicurezza SOAR aggrega e analizza i dati provenienti da più soluzioni, offre una dashboard centralizzata per la gestione della risposta agli incidenti. Questo rende più facile correlare gli avvisi tra sistemi diversi e investigare una minaccia tra domini.

Le organizzazioni usano anche le soluzioni SOAR per standardizzare il modo in cui contengono, rimediano e documentano gli incidenti. Anziché basarsi solo sull'esperienza del singolo analista, i team seguono flussi di lavoro predefiniti che guidano la risposta agli incidenti. Questo aiuta le organizzazioni a applicare una governance più rigorosa, una responsabilità più chiara e risultati più prevedibili.

Funzionalità comuni di SOAR

Oltre alle funzionalità di orchestrazione della sicurezza, automazione e risposta agli incidenti, la maggior parte delle soluzioni SOAR include un insieme base di funzionalità aggiuntive.

Playbook
I playbook sono flussi di lavoro predefiniti che indicano come gestire tipi specifici di incidenti. Trasformano la conoscenza istituzionale in processi strutturati e ripetibili, così che, indipendentemente dal turno o dal team, l'approccio sia coerente. Un playbook può definire come investigare un avviso di phishing, rispondere a un sospetto furto di credenziali o contenere un'infezione malware.

Gestione degli incidenti e gestione dei casi
Molte soluzioni SOAR includono funzionalità integrate di gestione degli incidenti o dei casi, che consentono ai team di tenere traccia delle investigazioni dall'avviso iniziale fino alla risoluzione. Queste funzionalità aiutano a semplificare la gestione degli incidenti offrendo un punto centralizzato per coordinare le azioni e mantenere la visibilità durante tutto il processo.

Creazione di report e analisi
La sicurezza SOAR genera report e dashboard che offrono informazioni sull'efficacia operativa. Le analisi di cybersecurity spesso includono il tempo medio di rilevamento (MTTD), il tempo medio di risposta (MTTR), i volumi di avvisi, l'utilizzo dei playbook e i tassi di risoluzione.

Motivi per adottare SOAR

Man mano che le organizzazioni adottano funzionalità di orchestrazione della sicurezza, automazione e risposta, spesso osservano miglioramenti misurabili in termini di efficienza e coerenza. Allo stesso tempo, l'implementazione richiede una pianificazione attenta e un buon allineamento.

Vantaggi di SOAR

Risposta agli incidenti e contenimento delle minacce più rapidi
Automatizzando le azioni di arricchimento, triage e risposta, le soluzioni SOAR riducono i tempi di attesa tra il rilevamento e la correzione. Questo aiuta a ridurre i tempi di risposta e limita l'impatto degli incidenti.

Miglioramento dell'efficienza operativa
Le organizzazioni usano le funzionalità di automazione per gestire molte attività ripetitive, consentendo agli analisti di concentrarsi su investigazioni a più alto valore.

Maggiore conformità e prontezza per gli avvisi
I flussi di lavoro strutturati e la documentazione automatizzata supportano i requisiti normativi e i processi di governance interni, creando registrazioni chiare di come un'organizzazione gestisce gli incidenti.

Migliore collaborazione
La gestione centralizzata dei casi e i flussi di lavoro integrati offrono una visione operativa condivisa per sicurezza, IT e altri stakeholder.

Processo decisionale avanzato
Le metriche delle prestazioni e i dati di tendenza consentono ai leader di identificare i colli di bottiglia, perfezionare i playbook e allocare le risorse in modo più efficace.

Sfide dell'implementazione di SOAR

Impegno iniziale di progettazione e pianificazione
Un SOAR efficace richiede processi chiaramente definiti e playbook ben progettati. Automatizzare flussi di lavoro poco chiari o incoerenti può creare attrito invece che efficienza.

Rischio di un'automazione eccessiva
Senza adeguate misure di controllo, l'automazione può attivare azioni dirompenti, come la disabilitazione degli account o l'isolamento dei sistemi, nel momento sbagliato, rendendo essenziale la supervisione umana.

Proprietà operativa e governance
I flussi di lavoro SOAR devono essere gestiti, sottoposti a controllo delle versioni e continuamente migliorati. Senza una chiara proprietà, i playbook possono diventare obsoleti o troppo complessi.

Competenze e gestione del cambiamento
I team hanno bisogno sia di competenze di sicurezza sia di capacità di progettazione dei flussi di lavoro. Potrebbe volerci del tempo prima che gli analisti si adattino alle operazioni assistite dall'automazione.

Come le organizzazioni usano SOAR

SOAR offre il massimo valore quando viene applicato a processi di sicurezza ripetibili e ad alto volume. Codificando i flussi di lavoro in playbook, i team rispondono in modo più coerente, mantenendo al tempo stesso la supervisione dell'analista dove conta di più.

Risposta automatizzata al phishing
Il phishing è un ottimo caso d'uso per la sicurezza SOAR, perché i team di sicurezza sono sommersi da grandi volumi di email sospette che richiedono un'analisi. Per ridurre i tempi di risposta e limitare la propagazione laterale, le organizzazioni creano playbook SOAR che:
 
  • ⁠Acquisiscono gli avvisi dagli strumenti di sicurezza delle email o dalle segnalazioni degli utenti.
  • ⁠Estraggono indicatori come URL, allegati o domini del mittente.
  • Arricchiscono questi indicatori con intelligence sulle minacce.
  • ⁠Verificano la presenza di messaggi simili in tutto l'ambiente.
  • Mettono automaticamente in quarantena le email dannose.
  • Creano un caso e documentano tutte le azioni.
Arricchimento con intelligence sulle minacce
Quando classificano gli avvisi, gli analisti devono capire chi c'è dietro una minaccia, cosa significa per l'organizzazione, di che tipo di minaccia si tratta e come opera. Invece di raccogliere queste informazioni manualmente, un flusso di lavoro SOAR arricchisce automaticamente gli avvisi:
 
  • ⁠Interrogando feed interni ed esterni di intelligence sulle minacce.
  • ⁠Verificando gli indicatori rispetto a infrastrutture note come malevole.
  • Raccogliendo il contesto dell'endpoint o dell'identità.
  • Correlando gli avvisi correlati.
Triage ed escalation degli incidenti
I SOC sono in genere sommersi dagli avvisi, molti dei quali rappresentano rischi di basso livello. Per semplificare la prioritizzazione del lavoro in modo efficace, e accelerare i tempi, gli analisti usano i flussi di lavoro SOAR per:
 
  • ⁠Assegnare automaticamente i livelli di gravità in base a criteri predefiniti.
  • ⁠Instradare gli incidenti al team o all'analista appropriato.
  • ⁠Attivare i flussi di lavoro di escalation quando vengono raggiunte determinate soglie.
  • Tenere traccia dello stato e dei tempi di risoluzione.
Risposta alla compromissione dell'account
Per ridurre i tempi di risposta in caso di possibile compromissione delle credenziali, molte organizzazioni usano soluzioni SOAR per automatizzare le fasi di contenimento. Questi flussi di lavoro:
 
  • Convalidano l'avviso in base ai segnali di identità.
  • Disabilitano o reimpostano gli account compromessi.
  • Revocano le sessioni attive.
  • Inviano una notifica alle persone interessate.
  • Documentano le azioni per la revisione della conformità.
Coordinamento della gestione delle vulnerabilità
I team di sicurezza devono spesso coordinare le attività di correzione tra i team IT e di infrastruttura. Una soluzione SOAR semplifica tutto questo. Le organizzazioni possono creare flussi di lavoro che:

  • Inseriscono i risultati dell'analisi delle vulnerabilità in modo che tutti i team riesaminano gli stessi dati.
  • Classificano i risultati in base al punteggio di rischio, per mantenere tutti allineati sui problemi più urgenti.
  • ⁠Creano ticket nei sistemi di Gestione dei servizi IT, in modo che i team sappiano chi è responsabile di cosa.
  • ⁠Monitorano l'avanzamento della correzione per tenere tutti i team aggiornati sullo stato di ogni avviso o incidente.
  • ⁠Generano report per i responsabili che riepiloghino i risultati sulle vulnerabilità, l'avanzamento della correzione e la postura generale di sicurezza.
Procedure consigliate

Strategie per usare SOAR in modo efficace

Le organizzazioni che ottengono successo nel lungo periodo allineano la tecnologia SOAR con processi ben definiti, obiettivi realistici e una forte proprietà operativa. Le procedure consigliate includono:

Iniziare con obiettivi chiari

I responsabili della sicurezza devono iniziare identificando le aree chiave in cui una soluzione SOAR può avere il maggiore impatto, ad esempio incidenti ad alto volume che consumano tempo degli analisti, colli di bottiglia nelle indagini e metriche da migliorare, come il MTTR.

Classificare flussi di lavoro ripetibili e di grande impatto

Non tutti i processi devono essere automatizzati subito. L'ideale è iniziare con flussi di lavoro critici e di routine, ben compresi e caratterizzati da percorsi decisionali coerenti. Tra i candidati ci sono le indagini sul phishing, l'arricchimento degli avvisi, i blocchi degli account, i ripristini delle password e i flussi di lavoro per la creazione di ticket.

Progettare playbook con supervisione umana

Sebbene l'automazione sia un vantaggio chiave di un sistema SOAR, deve sempre supportare il giudizio umano, non sostituirlo. I playbook ben progettati includono punti decisionali in cui è necessaria la revisione umana, soprattutto per azioni che potrebbero interrompere le operazioni aziendali, come la disabilitazione degli account o l'isolamento dei sistemi.

Investire nella pianificazione dell'integrazione

SOAR offre il massimo valore quando funziona bene con i sistemi di sicurezza esistenti, come strumenti di rilevamento, gestione delle identità, protezione degli endpoint, ambienti cloud e sistemi di creazione di ticket. Un approccio graduale aiuta a ridurre i rischi e dà ai team il tempo di stabilizzare e perfezionare il sistema.

Definire governance e responsabilità

Una chiara proprietà della soluzione SOAR è essenziale per evitare la proliferazione dei flussi di lavoro e configurazioni incoerenti. Le organizzazioni devono definire chi ha l'autorità di creare o modificare i playbook e stabilire processi di controllo delle versioni e di gestione delle modifiche.

Formare i team in modo continuo

Il coinvolgimento dell'analista e le competenze tecniche sono fondamentali per il successo di un'implementazione SOAR. Le organizzazioni devono offrire formazione continua per mantenere i team aggiornati sui principi più recenti di progettazione dei playbook, sulla logica di automazione, sui percorsi di escalation e sugli standard di documentazione degli incidenti.

Uno sguardo al futuro

Con l'evoluzione delle operazioni di sicurezza, SOAR sta andando oltre l'automazione statica basata su regole verso flussi di lavoro più adattivi e basati sull'intelligenza. Le funzionalità SOAR moderne si concentrano nell'aiutare i team a scalare la propria risposta, ridurre il lavoro manuale e coordinare le azioni in ambienti sempre più complessi. Diversi trend chiave stanno plasmando la nuova generazione della sicurezza SOAR:
 
  • Creazione di playbook con linguaggio naturale: l'IA generativa sta rendendo l'automazione SOAR più accessibile, consentendo agli analisti di creare, aggiornare e perfezionare i playbook usando il linguaggio naturale. Questo riduce gli ostacoli all'automazione, accelera lo sviluppo dei playbook e consente a più team di sicurezza, non solo agli specialisti dell'automazione, di mettere in pratica i flussi di lavoro SOAR.
  • ⁠Apprendimento continuo e automazione adattiva: le soluzioni SOAR di nuova generazione stanno integrando cicli di feedback e meccanismi di apprendimento che convalidano i risultati e adattano le risposte nel tempo. Piuttosto che eseguire automazioni una tantum, SOAR apprende sempre più spesso dagli incidenti passati per migliorare accuratezza ed efficacia.
  • Espansione oltre la risposta post-avviso: SOAR non è più limitato alla risposta post-avviso. Le organizzazioni stanno applicando l'automazione SOAR prima e dopo nel ciclo di vita della sicurezza, supportando attività pre-avviso come la correlazione e l'arricchimento dei segnali, così come attività post-incidente come la creazione di report, il monitoraggio delle correzioni e gli aggiornamenti dei controlli. Questo ambito più ampio migliora la qualità del rilevamento e riduce il carico operativo.
  • SOAR come piano di controllo per sistemi autonomi: con la diffusione dell'IA agentica e delle identità non umane, SOAR sta emergendo come livello di orchestrazione centralizzato per gestire in modo sicuro le azioni autonome. Questo include il coordinamento degli strumenti, l'applicazione di misure di sicurezza e il mantenimento della visibilità in ambienti complessi e interconnessi.
  • Integrazione più profonda nei sistemi di sicurezza: anche se l'etichetta SOAR potrebbe diventare meno rilevante, i fornitori di soluzioni di sicurezza stanno integrando sempre più le sue funzionalità all'interno di SIEM, XDR e soluzioni più ampie per le operazioni di sicurezza. Questo offre un'orchestrazione più snella, un contesto condiviso e una risposta coerente in ambienti ibridi e multi-cloud.

Soluzione SOAR di Microsoft Security

Quando le organizzazioni valutano le soluzioni SOAR, è importante considerare come questa supporterà gli obiettivi di sicurezza oggi e mentre i SOC evolvono. Molte stanno scegliendo soluzioni come Microsoft Sentinel, una soluzione SIEM nativa del cloud che integra funzionalità SOAR. Combinando SIEM e SOAR in un'unica soluzione, Microsoft Sentinel aiuta i team di sicurezza a raccogliere e analizzare i dati su utenti, dispositivi, applicazioni e infrastruttura, automatizzando al tempo stesso i flussi di lavoro predefiniti. Microsoft Sentinel è inoltre progettato per funzionare con Microsoft Defender XDR per offrire una soluzione unificata per le operazioni di sicurezza, e può essere integrato con diversi strumenti di sicurezza per fornire una copertura end-to-end. Con Microsoft Sentinel, i responsabili della sicurezza hanno gli strumenti per creare un SOC strutturato, misurabile e resiliente.
Risorse
Uomo che lavora al portatile.
Prodotto

Rispondere agli incidenti più rapidamente

Proteggere l'ambiente multi-cloud con Microsoft Sentinel, un sistema SIEM con funzionalità SOAR integrate.
Scopri di più

Domande frequenti

  • L'orchestrazione, automazione e risposta alla sicurezza (SOAR) vengono usate per coordinare e automatizzare le attività delle operazioni di sicurezza, tra cui il triage degli avvisi, l'arricchimento dell'intelligence sulle minacce, la risposta agli incidenti e la gestione dei casi. Aiuta i team di sicurezza a standardizzare i flussi di lavoro, ridurre le attività manuali e migliorare la coerenza della risposta nel centro operazioni per la sicurezza.
  • SOAR è l'acronimo di "Security Orchestration, Automation and Response", ovvero orchestrazione, automazione e risposta alla sicurezza. Si riferisce a una categoria di soluzioni di sicurezza che integrano strumenti, automatizzano attività ripetitive e guidano una risposta strutturata agli incidenti tramite flussi di lavoro predefiniti.
  • L'orchestrazione della sicurezza connette e coordina più strumenti di sicurezza, in modo che possano operare come parte di un flusso di lavoro unificato. L'automazione della sicurezza si concentra in particolare sulla riduzione delle attività manuali completando automaticamente le attività predefinite all'interno di questi flussi di lavoro.
  • Le soluzioni di informazioni di sicurezza e gestione degli eventi (SIEM) raccolgono e analizzano i dati di sicurezza per rilevare potenziali minacce. Le soluzioni di orchestrazione, automazione e risposta alla sicurezza (SOAR) aiutano i team a rispondere automatizzando l'arricchimento, coordinando gli strumenti e standardizzando i processi.
  • SOAR aiuta a ridurre il tempo medio di risposta (MTTR), migliorare l'efficienza operativa e supportare la conformità grazie a documentazione e reportistica strutturate. Rafforza inoltre la collaborazione e favorisce operazioni di sicurezza più coerenti e misurabili.

Segui Microsoft Security

Surface Pro Surface Laptop Copilot per le organizzazioni Copilot per l'utilizzo personale Microsoft 365 Esplora i prodotti Microsoft App di Windows 11 Profilo account Download Center Supporto Microsoft Store Resi Monitoraggio ordini Riciclaggio Garanzie commerciali Microsoft Education Dispositivi per l'istruzione Microsoft Teams per l'istruzione Microsoft 365 Education Office Education Formazione e sviluppo per gli insegnanti Offerte per studenti e genitori Azure per studenti
Intelligenza artificiale di Microsoft Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Piccole imprese Sviluppatore Microsoft Microsoft Learn Supporto per le app del marketplace di IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Aziende software Visual Studio Opportunità di carriera Informazioni su Microsoft Notizie aziendali Privacy in Microsoft Investitori Accessibilità
Italiano (Italia) Privacy per l'integrità dei consumer Riferimenti societari Contatta Microsoft Privacy Gestisci i cookie Condizioni per l'utilizzo Marchi Informazioni sulle inserzioni EU Compliance DoCs