Ran Harel

I team di sicurezza non hanno bisogno di ulteriori avvisi scollegati tra loro. Hanno bisogno di un contesto più chiaro.

Ciò vale in particolare nel campo della sicurezza delle identità, dove la differenza tra un evento sospetto e una minaccia reale spesso dipende dalla comprensione dell’esposizione, dei privilegi, dei percorsi di attacco e di ciò che conta di più dal punto di vista operativo. Se il vostro SOC è in grado di rilevare un allarme ma non riesce a comprendere rapidamente in che modo quell’identità sia collegata alle risorse critiche, non avete migliorato la risposta. Avete semplicemente aggiunto un’altra schermata da tenere d’occhio.

Ecco perché sono entusiasta del lavoro che Semperis ha svolto con Microsoft Sentinel e Security Copilot.

Ora disponiamo di un'integrazione funzionante e pronta per l'uso sul campo che integra Semperis Lightning Intelligence nell'ecosistema di sicurezza Microsoft utilizzando componenti nativi di Microsoft, tra cui Azure Functions, DCE/DCR, le tabelle degli spazi di lavoro di Log Analytics, KQL, Security Copilot e MCP.

A prima vista, potrebbe sembrare una semplice storia di integrazione. In realtà, si tratta di qualcosa di più importante: un modo per rendere gestibile il rischio legato all’identità all’interno dei flussi di lavoro che i team di sicurezza utilizzano già quotidianamente.


Perché integrare Semperis con Sentinel e Copilot?

Il vero problema non è il volume degli avvisi, bensì la mancanza di contesto relativo all’identità.

Da anni, i responsabili della sicurezza si trovano a dover affrontare un divario tra la visibilità delle identità e la risposta operativa. È possibile sapere che un utente rappresenta un rischio o che un ambiente presenta un’esposizione pericolosa, ma tali informazioni sono spesso confinate in una console separata, in un set di dati distinto o in una conversazione di un team diverso.

Nel frattempo, il SOC procede a ritmo serrato. Gli analisti devono indagare sugli incidenti, individuare le minacce e rispondere a domande cruciali senza perdere tempo a passare continuamente da uno strumento all’altro. È proprio qui che troppo spesso la sicurezza delle identità fallisce.

Il nostro approccio con Lightning Intelligence sempre stato quello di concentrarci su ciò che conta di più dal punto di vista del difensore, in particolare sui percorsi che conducono alle risorse critiche di livello 0.

L'integrazione con Microsoft estende questa filosofia al flusso di lavoro del SOC, rendendo i dati di Lightning disponibili direttamente in Sentinel, dove gli analisti possono interrogarli, metterli in correlazione e utilizzarli nelle indagini in corso.

Questo è importante perché la sicurezza delle identità non è più un ambito di nicchia. È infatti un elemento centrale nelle moderne strategie di attacco negli ambienti ibridi.


Come funziona l'integrazione: nativa Microsoft, progettata per operazioni reali

Una cosa a cui tengo particolarmente in qualsiasi integrazione di sicurezza è che sia pratica.

  • È scalabile?
  • È compatibile con l'architettura esistente del cliente?
  • Le squadre possono davvero utilizzarlo in ambiente di produzione?

In questo caso, tutte le risposte sono “sì”.

L'integrazione utilizza un connettore basato su Azure Function di livello production per estrarre i dati dalle API REST di Lightning secondo una pianificazione configurabile e trasmetterli in streaming a Sentinel tramite DCE/DCR. Ciò offre ai clienti un'opzione più affidabile rispetto al ricorso esclusivo al framework di connettori senza codice, pur rimanendo completamente nativo di Azure.

È inoltre importante sottolineare che ciò non si limita a un ristretto sottoinsieme di dati telemetrici. L’integrazione acquisisce tutti i tipi di dati Lightning e i provider di identità supportati esposti dall’API, tra cui Active Directory, Entra ID e altre fonti supportate. In altre parole, Sentinel ottiene un quadro più ampio e completo dello stato delle identità ibride e dei percorsi di attacco, non solo una visione parziale degli eventi specifici di AD.

Ogni tipo di dati Lightning è associato a una propria tabella personalizzata nell'area di lavoro di Log Analytics, il che significa che i team possono utilizzare tali dati come input di primo livello per le query KQL, i dashboard, gli scenari di ricerca e le regole di analisi. Si tratta di una scelta progettuale importante.

Le integrazioni efficaci non si limitano a trasferire i dati: rendono i dati utilizzabili.


Cosa cambia per il SOC con l'integrazione di Semperis?

Il valore più immediato risiede nella risposta agli incidenti e nella ricerca delle minacce.

Quando un analista riceve un avviso relativo a un'identità, può passare direttamente all'interno di Sentinel alle informazioni contestuali derivate da Lightning, quali i percorsi di attacco, l'esposizione di livello 0 e gli indicatori di sicurezza, senza uscire dall'ambiente di sicurezza Microsoft. Ciò riduce gli ostacoli proprio nel momento in cui la rapidità e la chiarezza sono fondamentali.

Il modello di dati supporta inoltre sia il triage dello stato attuale che l’analisi storica. Poiché i dati sono di tipo “append-only” e contrassegnati da timestamp — e poiché la durata di conservazione può essere regolata a livello di analisi e di data lake — i team possono utilizzarli sia per indagini in tempo reale che per analisi retrospettive e analisi delle tendenze. La deduplicazione può quindi essere gestita a livello di query o di agente.

Dal punto di vista operativo, la sincronizzazione oraria predefinita rappresenta un equilibrio pratico tra tempestività e costi, consentendo al contempo di regolare la frequenza di interrogazione in base alle esigenze del cliente. È proprio questo il tipo di compromesso che i team di sicurezza più esperti sanno apprezzare.

Non serve la perfezione teorica. Servono dati utilizzabili, sufficientemente tempestivi da essere rilevanti, in un formato che si adatti ai vostri flussi di lavoro e al vostro budget.


Quando l'intelligenza artificiale diventa davvero utile

Sul mercato si parla molto di intelligenza artificiale nel campo della sicurezza. La mia opinione è semplice:

L'intelligenza artificiale è utile solo quando aiuta gli analisti a lavorare più velocemente e con maggiore discernimento.

Ecco perché ritengo che la parte relativa al Security Copilot di questa storia sia particolarmente interessante.

Semperis ha sviluppato e testato agenti Security Copilot personalizzati che operano interamente all'interno dello stack di sicurezza Microsoft, utilizzando strumenti basati su KQL sulle tabelle Lightning in Sentinel.

  • Questi agenti possono operare sia in modalità basata su attività che in modalità conversazionale. Sono in grado di elaborare un’identità fornita come input e restituire un riepilogo strutturato del rischio e dello stato di sicurezza, che include i percorsi esposti, la prossimità di livello 0 e gli indicatori di rischio.
  • Sono inoltre in grado di gestire errori di battitura e corrispondenze approssimative, cercando identità simili e riprovando automaticamente — cosa che può sembrare di poco conto finché non si pensa a quanto spesso questo tipo di intoppo rallenti le indagini nel mondo reale.
  • Ma soprattutto, consentono di rispondere a domande di livello superiore che rivestono grande importanza per i responsabili della sicurezza, ad esempio chi siano gli aggressori più pericolosi o quali obiettivi di livello 0 siano maggiormente esposti, utilizzando strumenti KQL aggiuntivi sui dati integrati.

È proprio qui che l’intelligenza artificiale inizia a passare dall’essere una semplice novità a diventare un valore operativo. Non sta sostituendo l’analista, ma sta potenziando la sua capacità di trasformare i dati di telemetria relativi alle identità in informazioni utili.

Inoltre, poiché questi agenti possono essere pubblicati tramite il Microsoft Security Store, i clienti comuni possono individuare, implementare e gestire il connettore e gli agenti direttamente dall’ecosistema Microsoft.


Perché questo è importante dal punto di vista strategico

A un livello più generale, questa integrazione riflette la direzione verso cui si sta orientando l'architettura di sicurezza.

  • Sentinel diventa la piattaforma centrale per l'analisi e la ricerca delle minacce. L'archiviazione a più livelli garantisce flessibilità operativa e controllo dei costi.
  • Security Copilot aggiunge un livello di orchestrazione basato sull'intelligenza artificiale a supporto degli analisti e degli addetti alla risposta.

Per le organizzazioni che hanno già adottato Security Copilot come standard, il modello è inoltre in linea con l'approccio di Microsoft alla sicurezza, all'allocazione delle risorse di elaborazione AI da parte dei clienti e alla misurazione dei consumi.

Questa combinazione è efficace perché non costringe i difensori a scegliere tra la profondità dell’identità e la coerenza della piattaforma. Possono avere entrambe le cose.

I team di sicurezza sanno già che l'identità è un fronte cruciale. Il passo successivo consiste nel rendere disponibili le informazioni sull'identità proprio dove vengono prese le decisioni. Grazie alla collaborazione tra Semperis Lightning Intelligence, Microsoft Sentinel e Security Copilot, quel futuro sta già prendendo forma.

Scopri di più su Lightning Intelligence guarda i video che ne mostrano il funzionamento.
Vuoi capire nello specifico in che modo Lightning Intelligence apportare vantaggi alla tua organizzazione? Richiedi una demo. Siamo qui per aiutarti.