Microsoft Sentinel si evolve e diventa una piattaforma per l'IA agentica

Microsoft Sentinel è nato come una soluzione SIEM, ma a fine settembre Microsoft la ha potenziata, rendendola a tutti gli effetti una piattaforma di sicurezza pronta per l'era dell'intelligenza artificiale basata su agenti. Tre le novità principali: la disponibilità di Sentinel Data Lake, in primis, e le anteprime pubbliche di Sentinel Graph e Sentinel Model Context Protocol Server.

Sentinel Data Lake: la nuova frontiera della sicurezza AI-driven

Sentinel Data Lake è un data lake cloud-native, gestito e progettato per offrire ai SoC una base dati unificata, scalabile e al tempo stesso economicamente sostenibile. Fra i vantaggi, la capacità di gestire petabyte di informazioni, con possibilità di analisi sia in tempo reale sia retrospettive, e la riduzione dei costi grazie a meccanismi di storage a livelli e compressione avanzata. 

I benefici del data lake sono evidenti soprattutto nelle indagini su attacchi di lunga durata, come quelli di brute force distribuiti su più mesi e località differenti, nell’elaborazione di modelli di comportamento basati su mesi di log per individuare anomalie, nell’arricchimento degli alert grazie alla correlazione con dati di firewall e netflow e nella capacità di reagire rapidamente a nuovi indicatori di compromissione grazie a ricerche retrospettive.

Sentinel Graph: telemetria evoluta basata su agenti di IA

Microsoft ha annunciato il debutto in anteprima pubblica di Sentinel Graph, che integra Microsoft Defender e Purview. L’idea di fondo è semplice: la sicurezza non può più basarsi su strumenti frammentati, segnali provenienti da fonti di ogni tipo e architetture legacy, ma su una piattaforma AI-ready capace di trasformare la telemetria in un grafo di sicurezza che connette contesti, rileva percorsi di attacco e accelera la risposta.

Con Sentinel Graph, Sentinel si trasforma e da SIEM diventa un motore di difesa basato su agenti di IA, che consente analisi contestuali e azioni autonome, mantenendo al centro la strategia e le decisioni umane. I casi d’uso sono molteplici: nell’Incident Graph di Defender, le squadre SoC possono analizzare gli impatti di un attacco sull'infrastruttira e visualizzare i percorsi potenziali da un’entità compromessa fino a un asset critico, riducendo i tempi di risposta e contenendo l’impatto.

Con l’Hunting graph, gli analisti possono mappare connessioni complesse tra utenti, dispositivi e privilegi, individuando percorsi di escalation e anticipando le mosse degli attaccanti. Anche la gestione del rischio per i dati beneficia di questo approccio. In Purview Insider Risk Management, il grafo collega utenti, file e attività su SharePoint e OneDrive, mostrando non solo cosa è stato esfiltrato ma anche l’impatto potenziale.

In Purview Data Security Investigation, invece, i log unificati e l’intelligence vengono combinati per ricostruire le catene di accesso e movimento dei dati, consentendo di individuare vulnerabilità, percorsi di esfiltrazione e utenti coinvolti in un’unica vista.

Sentinel MCP Server: il giusto contesto per gli agenti di IA

Sentinel MCP Server, ora in public preview, è un servizio cloud gestito, basato sullo standard aperto Model Context Protocol (MCP), che consente agli agenti di IA di accedere in modo sicuro e standardizzato al contesto reale della sicurezza aziendale.

Grazie a Sentinel MCP Server, gli agenti non lavorano più solo sui dati pubblici di addestramento, ma possono interrogare il data lake di Sentinel, navigare relazioni tra elementi di Sentile Graph, telemetrie e vettori, e utilizzare strumenti riutilizzabili con input e output in linguaggio naturale. In questo modo sono in grado di scoprire da soli le azioni disponibili – come ricerche, query e attivazione di procedure – ed eseguirle in modo sicuro e intelligente.

L’adozione di uno standard aperto assicura interoperabilità e longevità: qualsiasi piattaforma compatibile con MCP, incluso Security Copilot, può collegarsi rapidamente al server Sentinel e sfruttarne i dati. Gli utenti già a bordo del Sentinel data lake possono iniziare subito a utilizzare MCP, anche attraverso GitHub Copilot in Visual Studio Code, con interazioni dirette in linguaggio naturale che eliminano la complessità di query e schemi.