Partner MDR · Microsoft Defender XDR

Microsoft MDR: Defender XDR operato dagli analisti del SOC italiano, non solo allarmi inoltrati.

SOC italiano Fortgale 24·7·365 sulla console Defender + Sentinel. 287 tool e attori ostili profilati contro l'Italia, contenimento mediano <30 min, risposta nativa Defender + AAD.

<30 minContenimento mediano
24·7·365SOC italiano
5 dominiEndpoint · Email · ID · Cloud · SaaS
Fortgale × Defender
MDR · live
Sensore Defender attivoTelemetria endpoint · cloud · identità
Defender
SOC italiano 24·7·365Analisti L2/L3 · interlocuzione diretta
Fortgale
Tier-zero AI multidominioRumore ridotto >90% entro il giorno 30
Fortgale
Risposta nativa DefenderIsolamento host in pochi secondi
Live
Intelligence proprietaria34 000+ IOC settimanali · attori italiani
Fortgale
MDR operativo, Defender + Fortgale SOC attivi
Conformità
ISO/IEC 27001
NIS2 ready
DORA aligned
GDPR · ACN
Partnership tecnologica
Microsoft Defender XDR
MITRE ATT&CK aligned
OpenCTI
Perché Fortgale + Microsoft

Lo stack M365 nativo, operato sul vostro fuso orario.

Microsoft Defender XDR copre endpoint, email, identità, cloud, SaaS nativamente. Fortgale lo opera con un SOC italiano che parla la vostra lingua, conosce NIS2 e profila quotidianamente gli attori che colpiscono il mercato italiano.

01 ·

Microsoft Defender XDR · 5 domini

Endpoint, email/Office 365, identità (Azure AD/AD on-prem), cloud workload (Azure/AWS/GCP), SaaS apps. Console unificata, telemetria normalizzata, automated investigation & response (AIR) inclusa. Fortgale eroga detection e response sui moduli Microsoft Defender for Endpoint · Defender for Identity · Defender for Office 365 · Defender for Cloud Apps · Microsoft Sentinel della piattaforma.

02 ·

Microsoft Sentinel SIEM/SOAR

KQL detection rules mappate MITRE ATT&CK, playbook Logic Apps per orchestrazione, integrazione con Defender XDR, retention configurabile. Tutto operato dal SOC italiano Fortgale.

03 ·

SOC italiano · runbook M365

Analisti L2/L3 con esperienza in incident response su BEC, ransomware, AAD compromise. Triage in <15 min sugli alert Defender. Threat hunting via Advanced Hunting KQL. 34 000+ IOC settimanali contestualizzati.

Come funziona · architettura

Quattro blocchi, un unico ciclo MDR su M365.

Dalla telemetria Defender alla risposta automatica via Logic Apps, tutto sotto un unico interlocutore italiano. Nessuna traduzione tra prodotti M365.

01 ·
01 · Ingestione

Defender XDR + Sentinel attivi

Defender for Endpoint/Office/Identity/Cloud configurato. Sentinel workspace con connettori, retention 90+ gg, integrazione Defender XDR via Microsoft 365 Defender connector.

02 ·
02 · Tier-zero

KQL detection AI-augmented

Detection rules custom mappate MITRE, anomaly detection ML-based, fusion alerts. Rumore ridotto di oltre il 90% prima del tier-zero umano. AIR per remediation automatica low-risk.

03 ·
03 · Analisti

I nostri L2/L3 sulla console M365

SOC italiano con mandato di decidere. Triage incidenti, investigazione cross-domain (Defender XDR), attribuzione all'attore, escalation a IR Fortgale per critici.

04 ·
04 · Response

Defender + Logic Apps + AAD

Isolamento device ~8 s, contenimento mediano <30 min. AAD lockout, email purge, network containment via API native. Logic Apps playbooks orchestrano la response.

Proof · metriche del servizio

Quattro numeri che reggono l'MDR su Defender.

Metriche misurate sulla telemetria reale dei nostri clienti, Q1 2026, aggiornate trimestralmente.

<30 min
Contenimento mediano
dall'alert Defender confermato
>90 %
Rumore ridotto
dal tier-zero AI
5
Domini Defender XDR
coperti end-to-end
12 gg
Onboarding completo
servizio MDR operativo
I problemi che l'MDR deve risolvere

Cinque ragioni per cui Defender da solo non basta.

La piattaforma produce telemetria. Quello che manca sono le persone che la leggono 24·7, la prioritizzano e la trasformano in decisioni.

01 ·

Alert fatigue

Il tier-zero AI filtra, gli analisti decidono: rumore ridotto >90% entro il giorno 30. Ogni alert che vi arriva è già un caso qualificato.

02 ·

Competenza Defender

Analisti L2/L3 che operano la console Defender ogni giorno: tuning della detection, runbook mappati MITRE, risposta nativa sulla vostra piattaforma.

03 ·

Esperienza operativa

SOC di Milano, attivo dal 2017, 24·7·365: TTD mediano <15 minuti, TTC mediano <30 minuti. Team italiano, stesso fuso e stesse regole dei clienti.

05 ·

Intelligence Fortgale

CTI proprietaria su 287 tra gruppi avversari e strumenti d'attacco tracciati: advisory, IOC e profili degli attori alimentano direttamente la detection sulla vostra piattaforma.

Confronto · modello di servizio

Cosa significa Microsoft MDR gestito, non solo allarmi inoltrati.

Molti servizi MDR si fermano a inoltrare l'allarme. Noi entriamo nella console Microsoft Defender, la teniamo gestita e portiamo l'incidente fino alla chiusura: contenimento mediano <30 min. Un attacco non è un evento, è qualcuno: va fermato, non solo segnalato.

Cosa cambia davvero Fortgale, MDR gestito Altri provider MDR
Accesso alla piattaforma Operiamo dentro la console Microsoft Defender, non ci limitiamo a ricevere gli allarmi in un sistema esterno. Acquisiscono solo gli alert via connettore, senza presidiare la piattaforma.
Gestione degli allarmi Triage e chiusura degli alert dentro Defender: la coda resta sempre gestita, niente accumulo. Gli alert restano nella vostra console e si accumulano: la gestione torna a voi.
Perimetro gestito Configurazione, tuning, policy e manutenzione dell'intera piattaforma Microsoft Defender (5 domini). Coprono il solo flusso di alert, non la piattaforma.
Gestione dell'incidente Conteniamo e gestiamo l'incidente reale fino alla remediation, con mandato di decidere. Si fermano alla notifica dell'allarme: la risposta resta a voi.

Confronto sul modello operativo tipico dei servizi MDR che integrano Microsoft Defender per sola acquisizione di alert. Conoscere, anticipare, fermare: il presidio è sulla piattaforma, non solo sulla coda.

Threat intelligence · attacchi rilevati con Defender XDR

Identity-first attacks contenuti su Defender XDR dal SOC italiano.

Selezione di minacce identity & cloud-native osservate sui tenant M365 dei clienti Fortgale. Defender XDR è la nostra console di prima linea per phishing AiTM, OAuth abuse e lateral movement post-Entra ID.

Phishing kit · AiTM

Tycoon

Vector Adversary-in-the-Middle con session cookie hijack · bypass MFA · landing page brand-impersonation

Detection · Defender Defender for Office 365 Safe Links + Entra ID risky sign-in alert · correlazione SOC su geo-anomaly.

Phishing kit · OAuth

Eviltokens

Vector Consent phishing · OAuth token exchange · persistent access alla mailbox via Graph API anche dopo password reset

Detection · Defender Entra ID consent grant audit + Defender for Cloud Apps anomalous OAuth detection · runbook nominativo Fortgale.

Threat Actor

Scattered Spider

Vector Help-desk social engineering · push fatigue MFA · device registration su Entra ID · lateral via Intune

Detection · Defender Microsoft Defender for Identity (MDI) + Entra ID Conditional Access · hunting query su pattern DPapi e Pass-the-Cookie.

C2 Framework · PowerShell

Empire

Vector Post-exploit PowerShell stager · AMSI bypass · keylogger module · token impersonation

Detection · Defender Defender for Endpoint EDR + Antimalware Scan Interface + custom IOA su <em>encoded command-line</em>.

Cosa include il servizio

MDR su Microsoft Defender XDR, nel dettaglio.

Ogni componente del servizio MDR copre i 5 domini Defender, dall'endpoint all'identità, sotto un unico SOC italiano.

01

Defender XDR gestito

Defender for Endpoint, Office 365, Identity, Cloud, Cloud Apps. Configurazione policy, tuning, manutenzione continua a carico Fortgale. Licensing E5/Defender disponibile come parte del servizio.

02

Sentinel SIEM/SOAR

Workspace Sentinel con connettori M365, KQL detection rules custom mappate MITRE, playbook Logic Apps per orchestrazione, retention compliant NIS2.

03

Threat hunting su Advanced Hunting

Sessioni mensili di hunting via Defender Advanced Hunting (KQL). Lateral movement, AAD anomalies, mailbox compromise non rilevati dalle detection automatiche.

04

Intelligence proprietaria

Feed IOC da OpenCTI Fortgale (34 000+ indicatori settimanali) integrati come Indicators in Defender e Custom Detections in Sentinel. Focus attori italiani.

05

Reportistica & governance

Report mensili executive con MTTD, MTTR, alert volume. Documentazione audit NIS2, ISO 27001, GDPR. Workbook Sentinel su portale dedicato.

06

AAD/Entra ID hardening

Defender for Identity integrato: rilevazione anomalie Kerberos, Pass-the-Hash, Golden Ticket. Conditional Access policies tuning. Privileged Identity Management governance.

Per chi · due angolazioni

Stesso MDR su Defender, due angolazioni.

Il CISO decide sul rischio. Il responsabile IT decide sul runbook. MDR Fortgale produce evidenze per entrambi.

Per il CISO

Un runbook nominativo per attore, su stack Defender.

Il CISO riceve ogni mese il profilo dei 3 attori più probabili contro il proprio settore, con il runbook MDR Fortgale già mappato sulla telemetria Microsoft Defender XDR.

  • Threat briefing mensileAttori, TTP osservate, campagne in corso sul vostro settore.
  • Runbook su DefenderPlaybook vivi mappati MITRE, eseguibili sulla console Microsoft Defender XDR.
  • Reporting board-readyRischio · impatto · decisione. Niente tecnologia da slide.
Richiedi il threat briefing →
Per il responsabile IT

Zero handover traduttore. Analisti italiani sulla vostra console Defender.

Quando l'alert Defender è reale, il tempo di decisione è il tempo di contenimento. I nostri analisti L2/L3 conoscono la console Microsoft Defender XDR e hanno mandato di decidere.

  • Contenimento mediano ~11 minDall'alert confermato alla remediation in produzione.
  • Risposta nativa DefenderKill processi, isolamento host, network containment via API Microsoft Defender XDR.
  • Integrazione end-to-endTelemetria Defender ingerita nella nostra data fabric multidominio.
Vedi un runbook reale →
FAQ · domande frequenti

Tutto quello che serve sapere prima di parlare con i nostri analisti.

Cos'è il servizio MDR su Microsoft Defender XDR di Fortgale?

Combina Microsoft Defender XDR (endpoint, email, identità, cloud, SaaS) e Microsoft Sentinel (SIEM/SOAR) con il SOC italiano Fortgale 24·7·365. Gli analisti L2/L3 monitorano la console M365 Defender, applicano runbook MITRE-mapped e attivano la risposta nativa.

Devo già avere Microsoft Defender XDR?

No. Fortgale gestisce l'intero ciclo: licensing E5/Defender, deployment, integrazione Sentinel, tuning detection. Se avete già la licenza, integriamo il SOC sulla vostra istanza. Altrimenti la forniamo come parte del servizio.

Quanto tempo serve per attivare il servizio MDR?

L'onboarding di Microsoft Defender for Endpoint richiede minuti per device. L'attivazione completa del servizio MDR, connettori Sentinel, KQL detection rules, playbook Logic Apps, monitoraggio 24·7·365, si completa in 7-12 giorni lavorativi.

Il servizio è compatibile con NIS2?

Sì. Supportiamo i requisiti NIS2 (D.Lgs. 138/2024): monitoraggio continuo, raccolta IOC per notifica CSIRT Italia entro 24 ore, documentazione tecnica per le notifiche 72 ore e report finale 30 giorni, audit di conformità.

Defender XDR copre anche email e identità?

Sì. Microsoft Defender XDR è una piattaforma unificata: endpoint, email (Defender for Office 365), identità (Defender for Identity, Azure AD), cloud (Defender for Cloud), SaaS (Defender for Cloud Apps). Il servizio MDR Fortgale copre tutti questi domini in console unificata.

Che differenza c'è tra Microsoft Defender Experts e l'MDR Fortgale?

Defender Experts è il servizio gestito di Microsoft. L'MDR Fortgale aggiunge un SOC italiano sul vostro fuso orario che opera la piattaforma, tiene la coda alert sempre gestita e porta l'incidente fino alla remediation, con intelligence proprietaria sugli attori attivi in Italia. Non solo allarmi: contenimento mediano <30 min.

Parla con il presidio

Un incontro. Un NDA. Un runbook reale su Defender.

Ti portiamo il Report sul tuo settore con gli attori più probabili e un runbook MDR concreto sulla tua console Microsoft Defender XDR.

Tempo di risposta: < 1 giorno lavorativo.