Con il lancio di Falcon Adversary OverWatch Next-Gen SIEM, presentato ufficialmente al RSA Conference 2025, Crowdstrike segna una svolta operativa: per la prima volta, la caccia alle minacce gestita e guidata da esperti viene applicata anche a sorgenti dati esterne, integrando informazioni di terze parti direttamente all’interno del proprio ecosistema Falcon. La novità risiede nella capacità di OverWatch di operare su un perimetro dati esteso, andando oltre il tracciamento tradizionale di endpoint, identità e ambienti cloud gestiti. Grazie all’integrazione con Falcon Next-Gen SIEM, i threat hunter possono ora operare 24/7 anche su flussi informativi provenienti da infrastrutture esterne e questo significa includere nel perimetro difensivo asset spesso esclusi dalla visibilità tradizionale: dispositivi edge, firewall legacy, VPN, mail gateway e apparati OT. In particolare, l’identificazione di gruppi come FAMOUS CHOLLIMA e OPERATOR PANDA, noti per l’impiego di insider e per l’abuso di infrastrutture isolate, diventa ora possibile anche in assenza di agenti locali installati.
Architettura SIEM evoluta e visibilità unificata
Il cuore tecnologico della nuova soluzione è rappresentato da Falcon Next-Gen SIEM, un motore di correlazione che aggrega in tempo reale sia i log nativi della piattaforma Falcon, sia quelli esterni, sfruttando AI nativa e automazione operativa. Questa architettura consente un’analisi trasversale delle superfici d’attacco, producendo alert ad alta precisione ed eliminando silos informativi. La threat hunting esperta su questa base dati consente di risalire a catene di compromissione altrimenti invisibili, collegando eventi su sistemi disgiunti con rapidità operativa e contesto.
Un altro tassello della trasformazione operativa riguarda l’introduzione del modulo UEBA (User and Entity Behavior Analytics), integrato in Next-Gen SIEM. Basato su modelli di machine learning avanzato, il motore UEBA consente il rilevamento di minacce comportamentali e l’attribuzione di punteggi di rischio in tempo reale. Le entità sospette vengono automaticamente correlate e analizzate in un contesto unificato, abilitando una gestione dei casi centralizzata. I flussi investigativi diventano così più agili, con workflow automatizzati che riducono drasticamente i tempi tra rilevazione e mitigazione.
Difesa delle identità e automazione full-stack
L’integrazione tra Falcon Identity Protection e Next-Gen SIEM introduce una difesa in tempo reale focalizzata sulle minacce basate su identità. La priorità di risposta è gestita attraverso Falcon Fusion SOAR che automatizza reazioni come il blocco degli account compromessi su Active Directory, la forzatura della MFA e l’isolamento degli utenti ad alto rischio. Questa sinergia consente non solo di contenere l’avversario all’interno della rete, ma anche di prevenirne i movimenti laterali, spesso il vero vettore di escalation nei moderni attacchi multistadio.
A complemento dell’architettura tecnologica, CrowdStrike introduce anche un layer consulenziale modulare chiamato Pulse Services. Questo insieme di servizi professionali è progettato per rafforzare il SOC attraverso interventi mirati: simulazioni di attacco ransomware, piani di risposta per asset critici, assessment di resilienza e supporto operativo nella gestione di incidenti complessi. Il valore aggiunto risiede nella capacità di tradurre la threat intelligence in azioni concrete di hardening e ottimizzazione, garantendo tempi di reazione allineati alla velocità dell’attacco.