10 casi d'uso di SOAR con esempi di flussi di lavoro reali

I casi d'uso SOAR generici raramente si rivelano efficaci nella pratica; l'automazione corretta dipende interamente dal tuo ambiente, dal volume degli avvisi e dalla struttura del tuo SOC. I casi d'uso descritti di seguito sono pensati per scenari specifici e includono una descrizione dettagliata del flusso di lavoro.

I flussi di lavoro descritti di seguito rispecchiano il modello SOAR tradizionale; le piattaforme agentiche gestiscono molti di questi stessi casi senza passaggi predefiniti.

1. Rilevamento e risposta al phishing

Problema: Gli analisti incontrano difficoltà nella gestione manuale degli avvisi di phishing, principalmente a causa dell'elevato volume di falsi positivi e della natura ripetitiva delle azioni di triage. Gli attacchi di phishing generati dall'intelligenza artificiale sono aumentati del 703% tra il 2024 e il 2025, rendendo il triage automatizzato una necessità piuttosto che un miglioramento della produttività per la maggior parte dei SOC. ¹

In che modo SOAR può essere d'aiuto:

• Fase di triage: SOAR riceve gli avvisi di phishing e li classifica automaticamente in base a gravità, fonte e livello di rischio.
• Estrazione e validazione degli indicatori: gli indicatori chiave (URL, indirizzi IP, hash dei file) vengono estratti dal file di phishing.
• Attività dannosa o meno: se viene rilevata un'attività dannosa, il playbook attiva una risposta: blocca il mittente, isola gli endpoint o elimina il file dannoso. Se non vengono rilevati indicatori chiari, il sistema convalida ulteriormente l'avviso per escludere falsi positivi.
• Analisi dei falsi positivi: il file dannoso viene eseguito in una sandbox per analizzare il comportamento del malware. Il dominio del mittente viene controllato per verificarne la somiglianza con domini attendibili.

Video: Dimostrazione pratica: demo di un manuale di phishing.

Fonte: Palo Alto Networks ²

Esempio concreto: il team di sicurezza informatica di Zensar utilizza SOAR per la valutazione e la risposta agli incidenti di phishing, avvalendosi di playbook senza codice, oltre 200 integrazioni e informazioni sulle minacce via e-mail. Charlotte Agentic SOAR di CrowdStrike gestisce ora le indagini sul phishing in tempo reale senza playbook precompilati, vantando un'accuratezza decisionale del 98% sugli avvisi analizzati. ³

Gli strumenti SOAR si basano su dati accurati degli endpoint e su un controllo efficace dei dispositivi. Scopri come il software di gestione degli endpoint rafforza la risposta automatizzata alle minacce alla sicurezza.

2. Rilevamento e risposta degli endpoint (EDR)

Problema: Sebbene gli strumenti EDR aiutino a rilevare attività sospette sugli endpoint, spesso generano un elevato volume di avvisi, molti dei quali potrebbero essere falsi positivi.

In che modo SOAR può essere d'aiuto:

Acquisizione dei dati dagli endpoint: SOAR preleva i dati dagli strumenti EDR (antivirus, agenti EDR) per monitorare l'attività in tempo reale.

Controllo SIEM: verifica se i file sono stati precedentemente identificati nel SIEM. Notifica agli analisti: se viene rilevata una potenziale minaccia, SOAR avvisa gli analisti fornendo contesto e livello di gravità.

Risposta automatizzata e pulizia dell'endpoint: se confermato come falso positivo, SOAR pulisce l'endpoint e rimuove automaticamente i file sospetti.

3. Rilevamento di accessi utente sospetti da indirizzi IP

Problema: gli accessi sospetti sono difficili da individuare su larga scala perché il comportamento degli utenti è variabile, le organizzazioni hanno più ambienti cloud da monitorare e il monitoraggio manuale è lento.

In che modo SOAR può essere d'aiuto:

• Acquisizione di anomalie comportamentali: SOAR raccoglie i dati di accesso da SIEM o sistemi di autenticazione per identificare attività insolite.
• Arricchisci le informazioni sull'utente: SOAR recupera la cronologia degli accessi precedenti, il ruolo e le autorizzazioni per valutare se il comportamento è legittimo.
• Arricchisci l'intelligence IP: SOAR confronta gli indirizzi IP con i database di intelligence sulle minacce per identificare le fonti dannose note.
• Determinazione del livello di minaccia: in base al comportamento dell'utente e ai dati IP, SOAR decide se l'accesso è probabilmente dannoso.

Video: Indagine sugli indirizzi IP con SOAR

Fonte: Palo Alto Networks ⁴

Risposta automatica:

— Nessuna minaccia: SOAR chiude automaticamente l'incidente.

— Minaccia rilevata: SOAR blocca l'indirizzo IP dannoso e blocca l'account.

4. Risposta alle minacce zero-day

Problema: gli attacchi zero-day sfruttano falle di sicurezza precedentemente sconosciute prima che sia disponibile una soluzione. Gli strumenti antivirus non li rilevano, quindi aggirano le difese tradizionali. È proprio qui che i playbook statici incontrano un limite invalicabile: nessuna regola predefinita può prevedere uno exploit sconosciuto.

In che modo SOAR può essere d'aiuto:

Raccogli indicatori di compromissione (IOC) e file: estrai gli hash dei file, gli URL dannosi e gli indirizzi IP dall'avviso.

Estrarre e verificare gli indicatori:

• Analizza i log degli endpoint alla ricerca di hash dannosi: esamina i log EDR per individuare prove dell'esecuzione o del download di hash identificati.
• Analizza i log del firewall alla ricerca di host compromessi: cerca traffico da o verso indirizzi IP noti per essere dannosi o movimenti laterali sospetti.
• Collegamento a incidenti precedenti: confronta i dati esistenti per identificare tattiche, tecniche e procedure (TTP) simili a quelle riscontrate in eventi passati.
• Block endpoint infetti: implementa regole di blocco su firewall, gateway web e filtri e-mail.
• Chiudi il playbook: invia le regole aggiornate o gli IOC alla piattaforma EDR.

L'IA agentica affronta direttamente il problema delle vulnerabilità zero-day. Invece di confrontare gli indicatori con regole predefinite, analizza i comportamenti nuovi, risultando più adatta a tipologie di minacce mai viste prima nell'ambiente. ⁵

5. Gestione delle vulnerabilità

Problema: i test manuali di vulnerabilità richiedono molto tempo, producono falsi positivi e spesso non offrono visibilità sulle risorse non gestite.

• Difficoltà nella raccolta dei dati relativi alle vulnerabilità
• Falsi positivi sulle vulnerabilità.
• Mancanza di visibilità della rete (ad esempio, risorse non gestite)

In che modo SOAR contribuisce alla gestione delle vulnerabilità :

• Raccolta dei dati sulle vulnerabilità: SOAR raccoglie i dati sulle vulnerabilità da strumenti esterni e database CVE.
• Enrich: SOAR aggiunge dettagli sugli endpoint interessati, sulla criticità delle risorse e sulle unità aziendali coinvolte.
• Aggiungi contesto di vulnerabilità: SOAR aggiunge la cronologia degli attacchi e il contesto delle minacce attive note ai dati dell'incidente.
• Calcolo dei rischi: SOAR combina la gravità delle CVE con il contesto di sistema per calcolare il rischio complessivo per ciascuna vulnerabilità.

Risanamento:
— Revisione da parte dell'analista per gli elementi ad alto rischio
— Correzione automatizzata per i risultati noti a basso rischio

6. Automatizzazione della creazione di nuovi account

Problema: la gestione manuale degli accessi è soggetta a errori. Gli errori nell'assegnazione dei permessi portano a un'eccessiva assegnazione di permessi (violazione del principio del minimo privilegio) o a un'insufficiente assegnazione di permessi (impedendo al nuovo assunto di iniziare a lavorare).

In che modo SOAR può essere d'aiuto:

• Ottieni i dettagli del ticket: recupera la richiesta di provisioning dalla piattaforma ITSM.
• Crea un utente nel servizio di directory: si connette ad Active Directory o equivalente.
• Aggiungi l'utente agli strumenti richiesti in base al ruolo: assegna l'accesso a e-mail, piattaforme HR e altri strumenti specifici del ruolo. Invia e-mail di benvenuto: invia le credenziali di accesso e le istruzioni di configurazione.
• Distribuisci il software necessario all'endpoint: avvia la distribuzione del software tramite gli strumenti di gestione dell'endpoint.
• Notifica alle parti interessate: avvisa le risorse umane, l'IT e i responsabili al termine del processo di onboarding.

7. Gestione del caso del ciclo di vita dell'incidente

Problema: la continuità operativa si interrompe lungo tutto il ciclo di vita dell'incidente perché i prodotti di sicurezza sono isolati, i processi non sono standardizzati e i passaggi di consegne tra i team rallentano il tempo medio di risposta.

In che modo SOAR può essere d'aiuto:

• Recupera gli avvisi dalle fonti dati: SOAR recupera continuamente gli avvisi da SIEM, firewall e altre fonti.
• Playbook di attivazione: alla ricezione di un avviso, SOAR attiva il playbook appropriato per quel tipo di incidente.
• Assegna gli incidenti agli analisti: SOAR instrada gli incidenti arricchiti con il contesto allegato.
• Estrai e verifica gli IOC con l'intelligence sulle minacce: hash dei file, indirizzi IP e domini vengono controllati automaticamente.
• Verifica la presenza di attività dannose: SOAR determina se l'attività è dannosa e interviene bloccando l'indirizzo IP o isolando il file.

Aggiornamento sull'integrazione di LLM : un MSSP ha documentato un aumento del 60% nella risoluzione automatizzata di incidenti di bassa gravità dopo aver integrato modelli linguistici di grandi dimensioni nei propri flussi di lavoro SOAR. Gli analisti hanno interrogato la piattaforma in linguaggio naturale per ottenere riepiloghi delle minacce e hanno modificato i playbook in tempo reale senza bisogno di programmazione. ⁶

8. Automatizzare le richieste di modifica delle policy del firewall

Problema: la gestione manuale delle richieste di modifica del firewall è lenta, incoerente e difficile da verificare. I team gestiscono un elevato volume di richieste ogni settimana, con regole sovrapposte e visibilità limitata sulle approvazioni.

Come SOAR aiuta ad automatizzare le richieste di modifica delle policy del firewall:

SOAR semplifica il processo di modifica del firewall automatizzando approvazioni, convalide e implementazione delle policy tramite playbook integrati.

• Richiesta di modifica delle policy del firewall : avviata da una piattaforma ITSM, ad esempio ServiceNow.
• Manuale operativo Trigger SOAR
• Esistono ruoli e indirizzi per gli endpoint?
  • SÌ: Aggiungi l'indirizzo IP al gruppo di endpoint esistente
  • ALTRIMENTI: Chiama il playbook "nuova policy": SOAR esegue un playbook separato per creare una regola personalizzata.
• Applicare la configurazione tramite il sistema di gestione del firewall.
• Chiudere il ticket ITSM.

9. Monitoraggio della scadenza del certificato SSL

Problema: i certificati scaduti attivano avvisi di sicurezza del browser, riducono la fiducia dei visitatori e possono causare una perdita di traffico. Il monitoraggio manuale dei certificati in ambienti di grandi dimensioni non è affidabile.

In che modo SOAR può essere d'aiuto:

• Verifica lo stato del certificato: SOAR monitora i certificati SSL su tutti i domini e segnala quelli in scadenza.
• Allerta e segnalazione: SOAR avvisa il team responsabile con sufficiente anticipo per consentirgli di intervenire.
• Automatizzate il rinnovo ove possibile: per le piattaforme con accesso API, SOAR può attivare direttamente il flusso di lavoro di rinnovo.
• Registrazione e chiusura: SOAR registra l'azione intrapresa e chiude il ticket.

10. Gestione delle minacce Intelligence

Problema: i dati di intelligence sulle minacce provengono da diverse fonti e in formati differenti. L'acquisizione manuale, la deduplicazione e il confronto con gli incidenti attivi sono processi lunghi e incoerenti.

In che modo SOAR può essere d'aiuto:

• Acquisizione di feed di intelligence sulle minacce: SOAR raccoglie automaticamente indicatori (indirizzi IP, domini, hash di file, CVE) da più fonti.
• Eliminazione dei duplicati e normalizzazione: SOAR rimuove i duplicati e converte i dati in un formato coerente.
• Correlazione con incidenti attivi: SOAR verifica le informazioni in arrivo confrontandole con i casi aperti e gli avvisi in tempo reale.
• Arricchisci gli incidenti: gli indicatori pertinenti vengono aggiunti automaticamente ai ticket aperti e alle code degli analisti.
• Distribuzione agli strumenti di blocco: gli IOC ad alta affidabilità vengono inviati a firewall, EDR e filtri antispam.

FAQ

Collegamenti di riferimento

1.

Top 10 Agentic SOC Platforms for 2026

Stellar Cyber

2.

The Evolving SOAR: What's Next? - Palo Alto Networks

3.

CrowdStrike Evolves Security Automation with Charlotte Agentic SOAR

CrowdStrike

4.

Palo Alto Networks: Resource Center Webcasts - Palo Alto Networks

5.

AI Agents in Cybersecurity and Cyber Risk Management: 5 Critical Trends for 2026

6.

Next-Gen SOAR with AI: redefining Cyber Security orchestration

Telefónica Tech S.L.U.

Adil Hafa

Consulente tecnico

Segui

Adil è un esperto di sicurezza con oltre 16 anni di esperienza nei settori della difesa, della vendita al dettaglio, della finanza, dei cambi, degli ordini di cibo e della pubblica amministrazione.

Visualizza il profilo completo

Ricercato da

Sena Sezer

Analista di settore

Segui

Sena è un'analista di settore presso AIMultiple. Ha conseguito la laurea triennale presso l'Università di Bogazici.

Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori.

Nome

Indirizzo e-mail

Commento

0/450

Pubblica un commento