Security

SecOps unificati: ricerca Microsoft Omdia sui SOC

3 min di lettura

Riepilogo

Il report Microsoft “State of the SOC—Unify Now or Pay Later”, basato su ricerca Omdia, evidenzia come i SOC siano sotto forte pressione per la frammentazione degli strumenti, il lavoro manuale ripetitivo e l’eccesso di alert, con impatti diretti su visibilità, tempi di risposta ed efficacia operativa. La ricerca conta fino a 10,9 console per SOC, segnala che il 66% dei team perde il 20% della settimana in attività manuali e che quasi metà degli alert sono falsi positivi: per questo l’unificazione del SecOps, insieme ad automazione e workflow assistiti dall’AI, diventa una priorità strategica.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione: perché è importante

I team di security operations stanno raggiungendo un punto di rottura. Il modello SOC, evoluto attorno a strumenti isolati, log di rete e minacce via email, è oggi messo sotto pressione dalla proliferazione di strumenti, dal triage manuale e da un volume di segnali che supera la capacità di attenzione umana. Il nuovo report Microsoft State of the SOC—Unify Now or Pay Later (ricerca di Omdia) quantifica la “tassa” operativa nascosta e spiega perché SecOps unificati, automazione e workflow assistiti dall’AI non sono più un semplice “nice to have”.

Cosa c’è di nuovo: cinque pressioni che spingono i SOC moderni al limite

Il report identifica cinque pressioni cumulative che peggiorano i risultati di detection e response:

1) Frammentazione tra strumenti e dati

  • I SOC passano da una media di 10,9 console, rallentando le indagini e aumentando il rischio di perdere contesto.
  • Solo circa il 59% degli strumenti alimenta il SIEM, costringendo molti team a operare con visibilità incompleta e workaround manuali.

2) Lavoro manuale ripetitivo che consuma la capacità degli analisti

  • Il 66% dei SOC perde il 20% della settimana in attività ripetitive di aggregazione/correlazione.
  • Questo riduce il tempo disponibile per threat hunting e indagini a maggior valore.

3) Sovraccarico di segnali e alert fatigue

  • Si stima che il 46% degli alert siano falsi positivi.
  • Il 42% degli alert non viene analizzato, aumentando la probabilità che attacchi reali passino inosservati.

4) Gap operativi che si traducono in un impatto reale sul business

  • Il 91% dei security leader ha segnalato incidenti gravi.
  • Più della metà ha sperimentato cinque o più eventi seri nell’ultimo anno: segno che l’attrito operativo sta diventando interruzione del business.

5) Bias di detection verso problematiche note

  • Il 52% degli alert positivi è riconducibile a vulnerabilità note, lasciando punti ciechi su tattiche e tecniche emergenti.
  • Il 75% dei leader teme che il proprio SOC stia perdendo terreno rispetto alle nuove minacce.

Impatto per amministratori IT e team di sicurezza

Per i leader delle security operations e per gli amministratori che gestiscono il tooling di sicurezza Microsoft, i risultati rafforzano una realtà pratica:

  • Più strumenti non significa automaticamente più sicurezza: può significare più operazioni “swivel-chair” e una risposta più lenta.
  • Se le fonti chiave (identity, endpoint, cloud) non sono collegate in modo coerente al SIEM/SOAR, è probabile che stiate operando con contesto parziale dell’incidente.
  • L’enfasi del report su identity come punto primario di fallimento è in linea con i percorsi di attacco moderni: le compromissioni dipendono sempre più da identity e dalla posture degli endpoint, non solo dalla telemetria perimetrale.

Prossimi passi consigliati

Valutate di usare il report come checklist per convalidare il vostro modello operativo SOC:

  1. Razionalizzare le console e unificare i segnali: identificare tool duplicati e dare priorità all’inserimento di fonti dati ad alto valore (identity, endpoint, cloud) in un’esperienza di indagine centralizzata.
  2. Automatizzare le “lookups” e l’enrichment di routine: ridurre i passaggi ripetitivi di correlazione che drenano tempo agli analisti.
  3. Ridurre intenzionalmente il rumore degli alert: fare tuning delle detection, misurare i falsi positivi e monitorare la percentuale di alert che non viene mai revisionata.
  4. Pianificare un’AI governabile: concentrarsi su capacità di AI trasparenti, personalizzabili e integrate nei workflow SIEM/SOAR, anziché su automazioni “black box”.

Microsoft descrive questo percorso come un passaggio verso Unified SecOps e mette in evidenza piattaforme come Microsoft Sentinel come fondamenta AI-ready per consolidare i segnali e accelerare investigation/response.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Rob Lefferts
SOCMicrosoft SentinelSecOpsSIEMautomation

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Microsoft Defender predictive shielding ferma ransomware GPO

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.