arrow_back
search
close

Che cos'è Agentic SOAR?

Jayce Chang 

- Ultimo aggiornamento Dec 03, 2025

tball

Il SOAR agentico è una tecnologia di orchestrazione, automazione e risposta della sicurezza che utilizza l'intelligenza artificiale per valutare autonomamente le minacce, prendere decisioni informate e avviare risposte in tempo reale senza l'intervento umano.

Sommario

keyboard_arrow_down

Il SOAR tradizionale è stato progettato per ridurre i carichi di lavoro per i centri operativi di sicurezza (SOC). Si integra con le informazioni di sicurezza e la gestione degli eventi (SIEM), la sicurezza degli endpoint e altri strumenti di sicurezza, utilizzando l'automazione per avviare le risposte in base a playbook predefiniti. Sebbene l'automazione di SOAR abbia aumentato l'efficienza, ha anche creato sfide per i team di sicurezza, tra cui:

  • Elevati volumi di avvisi, falsi positivi e requisiti di triage che consumano tempo per gli analisti
  • Manutenzione del playbook ad alta intensità di manodopera
  • Incapacità di reagire dinamicamente agli attacchi emergenti

Il SOAR agentico va oltre il SOAR tradizionale. Consente alle organizzazioni di passare da playbook statici a un sistema dinamico e autonomo che prende decisioni intelligenti basate sulla comprensione contestuale.  Indaga sulle minacce, le smista e sceglie la risposta di contenimento appropriata, il tutto senza l'intervento umano.

In che modo il SOAR agentico sta trasformando le operazioni di sicurezza

Come accennato, uno dei limiti del SOAR tradizionale è che opera su playbook statici che richiedono aggiornamenti manuali per rispondere a minacce nuove o emergenti. Ciò riduce la sua efficacia in scenari complessi che richiedono un ragionamento o un processo decisionale. Anche quando si utilizza il SOAR tradizionale, gli analisti sono comunque tenuti a intervenire, specialmente quando si tratta di indagini, triage o casi edge.

Il SOAR agentico utilizza indagini basate sul ragionamento per analizzare e valutare le minacce, prendere decisioni e adattarsi senza l'intervento umano. Gli avvisi si rivolgono prima agli agenti IA invece che agli analisti umani. Gli agenti utilizzano modelli linguistici di grandi dimensioni (LLM), contesto storico e comportamentale, dati esterni come feed di informazioni sulle minacce e una serie di test per classificare la gravità dell'allarme. Producono quindi un report leggibile e dettagliato dei risultati e del ragionamento. Solo a quel punto un analista deve essere coinvolto per esaminare i risultati. E in alcuni casi, il SOAR agentico può intraprendere azioni correttive senza alcun intervento manuale.

Caratteristiche principali di Agentic SOAR

Ciò che distingue il SOAR agentico è la sua autonomia e il ragionamento sofisticato. Il sistema è caratterizzato da:

  • Apprendimento e ragionamento: il sistema è progettato per imparare continuamente da ogni evento, fornendo una memoria contestuale. Utilizza il machine learning e LLM per costruire la sua logica e spiegare il suo processo decisionale.
  • Triage autonomo: l'IA analizza e assegna priorità alle minacce applicando una comprensione contestuale, intraprendendo indagini dinamiche e sintetizzando i dati da più fonti per trarre conclusioni e implementare o consigliare azioni.
  • Risposta alle minacce in tempo reale: il SOAR agentico crea e modifica dinamicamente i protocolli di risposta in tempo reale in base ai dati che scopre.
  • Integrazione: il SOAR agentico si integra con le soluzioni di sicurezza esistenti dell'organizzazione, interagendo senza problemi con strumenti come il rilevamento e la risposta degli endpoint (EDR), SIEM e piattaforme cloud.
  • Più agenti: ogni agente IA viene addestrato per una particolare fase di indagine, triage o risposta, che va dalla raccolta di informazioni e dalla valutazione del rischio alla condivisione e alla collaborazione.
  • Interfaccia intuitiva: l'uso dell'elaborazione del linguaggio naturale facilita la richiesta degli agenti e la comprensione del ragionamento dell'agente.
Illustrazione delle caratteristiche principali del SOAR agentico.

Vantaggi del SOAR agentico

Anche se il SOAR tradizionale è stata un grande progresso per il SOC, ha i suoi vincoli. In confronto, i vantaggi del SOAR agentico includono:

  • Tempi di risposta rapidi: miglioramenti significativi nel tempo medio di rilevamento e nel tempo medio di risposta.
  • Riduzione dei rischi: maggiore precisione nell'identificare e classificare correttamente le minacce e maggiore rilevamento di potenziali minacce che altrimenti potrebbero essere perse.
  • Maggiore produttività e morale: ottimizzazione delle operazioni e delle risorse umane con il tempo degli analisti deviato dalla gestione degli avvisi a considerazioni strategiche.
  • Scalabilità: la capacità di rispondere agli attacchi emergenti e di gestire una superficie di attacco in crescita senza la necessità di nuove risorse.
  • Apprendimento continuo: acquisizione continua delle conoscenze, creazione di una knowledge base specifica per l'organizzazione e il settore.
Illustrazione dei vantaggi del SOAR agentico.

Best practice per l'implementazione del SOAR agentico

Come per qualsiasi nuova tecnologia, ci sono ostacoli nell'implementazione del SOAR agentico. Poiché l'IA ha il controllo di decisioni, azioni, governance, supervisione e affidabilità, può presentare sfide uniche. Anche la sicurezza e la privacy sono preoccupazioni perché l'IA deve avere accesso a grandi quantità di dati sensibili. Potrebbero anche verificarsi problemi nell'integrazione del SOAR agentico con i sistemi legacy.

Tenendo presenti queste sfide, ecco alcune best practice per l'implementazione del SOAR agentico:

  • Valutazione: determina le esigenze attuali e la maturità del SOAR attuale. Esamina gli approcci in base alle esigenze dell'organizzazione e ai risultati comprovati delle soluzioni. Considera un programma pilota.
  • Governance: crea una chiara supervisione per le decisioni autonome. Delinea ruoli, responsabilità e linee guida etiche.
  • Human-in-the-loop: assicurati che gli analisti continuino a essere coinvolti, effettuando verifiche e monitoraggi.
  • Sicurezza e conformità: creazione di una crittografia robusta, controlli degli accessi e valutazioni regolari delle vulnerabilità.
  • Test e convalida: imposta le metriche di successo per valutare l'efficacia. Esegui test e revisioni regolari e approfonditi.
Illustrazione delle best practice del SOAR agentico

Preparati per il futuro con il SOAR agentico

Con i cyber criminali che sfruttano l'IA per creare attacchi più sofisticati, le organizzazioni devono sfruttare la potenza della tecnologia agentica nel SOC. Il SOAR agentico trasformerà le operazioni di sicurezza aumentando la precisione del rilevamento delle minacce, accelerando il contenimento e riducendo il carico sugli esseri umani. Ciò consentirà agli analisti di concentrarsi su attività strategiche come la ricerca delle minacce, l'analisi delle tendenze di rischio e lo sviluppo di competenze più ampie e interfunzionali. 

Tuttavia, i team di sicurezza non dovrebbero pensare in termini di dover scegliere tra soluzioni agentiche o umane. Le organizzazioni di maggior successo saranno quelle che adottano un approccio ibrido, utilizzando l'intelligenza artificiale per arricchire la gestione degli eventi, mantenendo un essere umano al passo con la revisione e le decisioni finali.

Dove posso ottenere aiuto con Agentc SOAR?

L'utilizzo della tecnologia giusta è fondamentale. Trend Vision One™ Agentic SOAR consente al tuo team di andare oltre i playbook statici in un SOC completamente basato sull'intelligenza artificiale che indaga, esegue il triage e risponde in tempo reale. Combinando indagini basate sull'intelligenza artificiale, automazione SOC end-to-end, un ecosistema connesso e la creazione di playbook in linguaggio naturale, è possibile ridurre i carichi di lavoro manuali e consentire al team di sicurezza di concentrarsi sulle priorità strategiche senza annegare negli avvisi.  

jayce

Jayce Chang

Vice President of Product Management

penna

Jayce Chang è vicepresidente della gestione dei prodotti, con un'attenzione strategica alle operazioni di  sicurezza, XDR  e SIEM/SOAR  agentici.

Domande frequenti (FAQ)

Expand all Hide all

Cosa significa agentico?

add

Agentic deriva dalla parola "agenzia", che significa il potere di agire. Agentic SOAR significa quindi una soluzione SOAR che può agire in modo indipendente.

Che cos'è il comportamento degli agenti?

add

Il comportamento dell'agente descrive la capacità dei sistemi di intelligenza artificiale di prendere decisioni, agire e adattarsi ai cambiamenti ambientali senza l'intervento umano.

Cosa si intende per SOAR?

add

SOAR significa orchestrazione, automazione e risposta della sicurezza e si riferisce a una soluzione di cybersecurity che integra gli strumenti di sicurezza e automatizza le attività, rendendo le operazioni di sicurezza più efficienti.

Che cosa significa SOAR?

add

L'acronimo SOAR è l'acronimo di Security Orchestration, Automation, and Response.

Quali sono gli esempi di comportamento degli agenti?

add

Esempi di comportamento degli agenti includono un assistente digitale che pianifica gli allarmi senza che l'utente lo richieda, un'auto a guida autonoma che sceglie un percorso di guida o un sistema IT che reindirizza il traffico.

Qual è un esempio di apprendimento agentico?

add

Un esempio di apprendimento agentico è un assistente virtuale che nota le azioni, le riunioni e le posizioni ripetute dell'utente e imposta automaticamente gli avvisi.

Quali sono i tre principali quadri di riferimento per gli agenti?

add

Esistono molti framework agentici. I tre a cui si fa riferimento più spesso sono Microsoft AutoGen, CrewAI e LangGraph.

Qual è il significato del flusso di lavoro degli agenti?

add

Un flusso di lavoro agentico è il processo utilizzato da un agente IA per raccogliere autonomamente informazioni, scegliere tra le opzioni e avviare un'attività senza intervento umano. 

Qual è un esempio di flusso di lavoro agentico?

add

Un esempio di flusso di lavoro di un agente nella cybersecurity è l'ispezione autonoma di un avviso di sicurezza da parte di un agente IA, la correlazione dei dati provenienti da varie fonti e la scelta e l'avvio di un'azione di contenimento.

Qual è la differenza tra workflow e agentic?

add

Un flusso di lavoro è una serie predeterminata di attività. Un sistema agentico è costituito da un'IA autonoma che può scegliere quali azioni si adattano meglio al contesto.

Articoli correlati

I 10 principali rischi e mitigazioni per LLM e app IA generative per il 2025
Gestione dei rischi emergenti per la pubblica sicurezza
Quanto possono portarci lontano gli standard internazionali?
Come scrivere una politica di cybersecurity per l'intelligenza artificiale generativa
Attacchi dannosi potenziati dall'intelligenza artificiale tra i principali rischi
Minaccia crescente delle identità Deepfake

Trend Vision One™ - La sicurezza proattiva inizia da qui.

Risorse

Assistenza

Informazioni su Trend

Sede legale nazionale

  • Trend Micro - Italy (IT)
  • Edison Park Center
    Viale Tomas Edison 110 — Edificio C
    20099, Sesto San Giovanni MI, Italia
  • Phone: +39 02 925931

Select a language

close

Prova gratuitamente la nostra piattaforma di cybersecurity aziendale

Copyright ©2025 Trend Micro Incorporated. All rights reserved.