Cos'è un SOC gestito (Managed SOC)?

Un Security Operations Center gestito è un servizio di monitoraggio h24 della sicurezza informatica aziendale. Il SOC Fidem include analisti dedicati, triage AI e risposta agli incidenti, conforme ai requisiti NIS2 Art. 21.

Qual è la differenza tra SOC e MDR?

Il SOC monitora e analizza gli alert di sicurezza. Il Managed Detection & Response (MDR) aggiunge la capacità di risposta attiva agli incidenti. Il servizio Fidem include entrambi: monitoraggio continuo più incident response operativo.

Il SOC Fidem è conforme alla NIS2?

Sì. Il SOC soddisfa i requisiti dell'Art. 21 NIS2 per il rilevamento e la gestione degli incidenti, con notifica entro 24 ore all'ACN e report dettagliato entro 72 ore, come previsto dalla direttiva.

Come funziona il triage AI del SOC?

Il sistema AI analizza e classifica automaticamente gli alert in base a gravità, contesto e pattern storici. Tre modalità operative: Manual (solo analisti umani), Hybrid (AI + supervisione umana) e Full AI (per ambienti ad alto volume di alert).

Defensio SOC: Managed Detection & Response 24/7

Esperienza, tecnologia e sicurezza per i tuoi dati per la tua infrastruttura per i tuoi clienti per il tuo business per il tuo futuro digitale

Il Cuore Operativo dell’Ecosistema Defensio

Il Defensio SOC (Security Operations Center) è il servizio MDR (Managed Detection & Response) di Fidem che fornisce monitoraggio 24/7/365 e risposta gestita agli incidenti. A differenza dei singoli componenti standalone (Sensor, XT, SaaS), chi sceglie il SOC ottiene l’intero ecosistema Defensio in un’unica soluzione gestita.

Il Pacchetto Completo

Il Defensio SOC include di default tutti i componenti del framework:

Defensio Sensor — sensori di rete deployati nell’infrastruttura del cliente per monitoraggio interno (Threat detection, vulnerability assessment, NetFlow, web application testing, digital identity protection)
DENG (Dedicated Engine) — motori di scansione esterna dedicati con IP pubblico separato, minimo 2 istanze per ridondanza e distribuzione del carico. Eseguono l’intero stack di motori di analisi sugli asset Internet-facing
Defensio XT — scansione combinata Internet-facing + Digital Identity Protection (breach monitoring, credenziali compromesse, email violate)
Defensio SaaS — piattaforma cloud white-label, personalizzabile con il proprio branding (logo, colori, nome prodotto) per chi vuole offrire il servizio sotto il proprio marchio
Nodi AI — hardware GPU dedicato per il triage automatizzato a 4 livelli (Tier 0 ML Gatekeeper → Tier 1 Fast Triage 8B LLM → Tier 1.5 — Cross-Validation (GPU): gli alert con confidence score tra 50-79% ricevono una seconda opinione da un modello MoE indipendente (30B parametri totali, 5.9B attivi per token). Se i due modelli concordano, il verdetto è definitivo. Se discordano, escalation automatica a Tier 2. Latenza: ~80ms. Tier 2 Deep Analysis 14-32B LLM)
NG-Reporting — motore di reportistica Next Generation per generazione automatizzata di report compliance-ready ad alta fedeltà (Executive, Tecnico, Compliance, Weekly TDE, Custom)
Infrastruttura di supporto — server VPN per connettività sicura ai sensori remoti, jump host RDP per gestione, database centralizzato MariaDB
Analisti 24/7 — team di analisti Fidem nella control room per valutazione tattica, escalation strategica e incident response

I Moduli del SOC

Administration

Resources Monitor: gestione centralizzata dell’intera flotta di sensori con monitoraggio dello stato di salute hardware (scala a 5 colori: critico, warning, ok, good, excellent)
Manage Customers: onboarding, configurazione e gestione dei clienti monitorati
Email Settings: configurazione notifiche e distribuzione automatizzata dei report
Superadmin Settings: configurazione globale della piattaforma e branding dinamico

Cyber Threat Intelligence

TDE Real-time: dashboard di triage in tempo reale con severity strip, 5 red flag cards, trending analysis, blast radius, 15 pattern scenarios predefiniti (Normal Load, DDoS, Brute Force, Port Scan, Lateral Movement, C2, Web Attack, Malware, ecc.), Known Alerts System con soppressione intelligente (1-14 giorni o permanente), raggruppamento per signature e/o cliente, IP/Signature Profile Viewer, esportazione Excel/CSV. CTI Enrichment manuale tramite correlazione, analisi IP, geolocalizzazione e timeline
TDE History: archivio storico trimestrale con finestra di investigazione rolling di ~15 mesi (5 selettori trimestrali)
CTI Correlation: correlazione multi-dimensionale degli eventi: aggregazione per cliente, IP e categoria di minaccia. Interroga feed TI multipli: Neutrino (10 flag: DShield, Exploit Bot, Hijacked, Malware, Proxy, Spam Bot, Spider, Spyware, Tor, VPN), AlienVault OTX, AbuseIPDB, GreyNoise, VirusTotal. Analisi IP, geolocalizzazione e timeline delle minacce – CTI Analyzer: analisi statistica dei pattern di attacco con distribuzione temporale e anomaly detection – CTI IP Geo: geolocalizzazione interattiva delle sorgenti di attacco con mappa globale – CTI IP Threat: profilo di rischio per singolo IP con enrichment multi-source – CTI Log by Customer: vista log filtrata per cliente con timeline eventi – CTI Threat by Customer: analisi minacce aggregata per cliente con trending cross-customer – CTI Timeline: visualizzazione temporale multi-serie per correlazioni e campagne distribuite

Customer Control Center

Engines: panoramica motori di scansione attivi per ciascun cliente
Tasks Overview: vista centralizzata dei task di scansione attivi e completati
Reporting: generazione report personalizzati (Full, Executive, Technical, Weekly TDE, Custom)
XT: accesso diretto e gestione delle istanze XT per scansioni esterne dedicate – DENG Engines: gestione e monitoraggio delle istanze DENG attive con Tasks Board e Tasks Diary

Tre Modalità di Triage

Il SOC supporta tre modalità operative selezionabili:

Modalità 1 — Manuale (Entry Tier)

L’analista SOC gestisce interamente il triage attraverso la dashboard di correlazione proprietaria: severity strip, red flags, known alerts system, pattern scenarios (15 scenari predefiniti), raggruppamento intelligente per signature e per cliente, esportazione Excel/CSV. CTI Enrichment manuale tramite correlazione, analisi IP, geolocalizzazione e timeline.

Modalità 2 — Ibrida (Balanced Tier)

Il Tier 0 (gatekeeper algoritmico) filtra automaticamente il rumore, mentre l’analisi e la correlazione finale restano a responsabilità degli analisti umani. Se le metriche AI scendono sotto soglia, il sistema degrada automaticamente a modalità manuale (kill switch). Gli alert ESCALATE (score 61-80) vengono accodati per revisione analista, i CRITICAL (81-100) generano notifica immediata. L’analista può sovrascrivere qualsiasi decisione AI, creando un feedback loop per il miglioramento continuo.

Modalità 3 — Full AI (Elite Tier)

L’intera pipeline AI a 4 livelli è attiva:

Tier 0 — ML Gatekeeper (CPU): modello XGBoost a 42 feature, filtra il 95% del rumore noto in <1ms
Tier 1 — Fast Triage (GPU): LLM 8B specializzato SOC, classificazione e ragionamento veloce in ~100ms
Tier 1.5 — Cross-Validation (GPU): gli alert con confidence score tra 50-79% ricevono una seconda opinione da un modello MoE indipendente. Se i due modelli concordano, il verdetto è definitivo. Se discordano, escalation automatica a Tier 2. Latenza: ~80ms
Tier 2 — Deep Analysis (GPU): LLM 14-32B avanzato, ragionamento complesso con mapping MITRE ATT&CK in 2-5 secondi

L’AI opera anche come VA/PT assistito: information gathering intelligente, vulnerability assessment contestuale, penetration testing guidato e reportistica narrativa automatica.

CTI Enrichment Automatizzato

9 sorgenti di Cyber Threat Intelligence integrate: abuse.ch, CISA KEV, FIRST EPSS, AbuseIPDB, AlienVault OTX, NVD 2.0, VirusTotal, GreyNoise e MISP. Storage IOC a 4 livelli: Redis (hot, 24h) → MariaDB (warm, 30gg) → RocksDB (cold, 1 anno).

Privacy by Design — AI Completamente On-Premise

L’architettura AI del SOC è progettata per operare in modalità completamente air-gapped. I modelli LLM vengono eseguiti localmente su hardware proprietario dedicato (bare metal, nessun hypervisor per le GPU). Nessun dato di rete del cliente lascia mai il perimetro dell’infrastruttura. Conformità GDPR assoluta.

Attiva Defensio SOC per la Tua Azienda

Defensio SOC è pensato per le organizzazioni che vogliono esternalizzare completamente la sicurezza informatica affidandosi a Fidem come partner MDR. Dalla PMI al settore enterprise, finance, healthcare e PA — il SOC si adatta al volume e alla complessità.

Contattaci per una consulenza del SOC o per valutare come Defensio SOC può proteggere la tua organizzazione.

Non ti serve il pacchetto completo? I singoli componenti sono acquistabili separatamente: Sensor · XT · SaaS · Framework Overview

Defensio SOC come Soluzione NIS2 Operativa

Il D.Lgs. 138/2024 non si soddisfa con documentazione: richiede infrastruttura operativa reale. Defensio SOC è la risposta gestita agli obblighi tecnici dell’Art. 21, componente per componente:

Defensio Sensor → monitoraggio continuo della rete interna, vulnerability assessment e rilevamento delle anomalie (Art. 21 §2 lett. b)
DENG + Defensio XT → monitoraggio della superficie di attacco esterna e della supply chain digitale (Art. 21 §2 lett. d)
AI Triage a 4 livelli → capacità di identificare e classificare gli incidenti significativi entro i tempi richiesti per la notifica al CSIRT (24h pre-notifica, 72h notifica formale)
NG-Reporting → generazione automatizzata di report compliance-ready per le ispezioni ACN (evidence pack documentale)
Analisti 24/7 → presidio umano continuo richiesto per i soggetti essenziali nei settori critici
Privacy by Design AI on-premise → tutti i dati restano su infrastruttura italiana, nessun dato di rete trasmesso a cloud stranieri (requisito data residency NIS2 + GDPR)

Per le organizzazioni che devono adeguarsi entro ottobre 2026: scopri il percorso di adeguamento NIS2 con Fidem, dalla Gap Analysis all’attivazione del SOC.