01 ·
Splunk ES · SIEM enterprise
Notable events framework, asset & identity correlation, risk-based alerting, threat intelligence framework. ES Content Update con detection rules pre-built. Splunk Cloud o on-prem.
MDR su Splunk Enterprise Security: SIEM leader operato da italiani.
SOC italiano Fortgale 24·7·365 sulla console Splunk ES. SPL detection rules custom, integrazione Splunk SOAR per orchestrazione, contenimento mediano ~11 min, intelligence proprietaria 34k+ IOC settimanali.
Fortgale × Splunk
MDR · live
Sensore Splunk attivoTelemetria endpoint · cloud · identità
Splunk SOC italiano 24·7·365Analisti L2/L3 · interlocuzione diretta
Fortgale Tier-zero AI multidominioRumore ridotto del 94%
Fortgale Risposta nativa SplunkIsolamento host mediano ~8 s
Live Intelligence proprietaria34 000+ IOC settimanali · attori italiani
Fortgale MDR operativo — Splunk + Fortgale SOC attivi
Conformità
ISO/IEC 27001
NIS2 ready
DORA aligned
GDPR · ACN
Partnership tecnologica
Splunk Enterprise Security
MITRE ATT&CK aligned
OpenCTI
Perché Fortgale + Splunk
Il SIEM leader, operato da analisti italiani con detection engineering attiva.
Splunk Enterprise Security è il SIEM #1 in Gartner Magic Quadrant. Fortgale lo opera con un SOC italiano che sviluppa detection rules SPL custom, mappate MITRE, e consegna ownership al cliente.
02 ·
SOC italiano · detection engineering
Analisti L2/L3 con esperienza in SPL detection engineering, sigma-to-SPL conversion, threat hunting query. Triage in <15 min, runbook MITRE-mapped, ownership rules consegnata al cliente.
03 ·
Splunk SOAR (opzionale)
Orchestrazione playbook via Splunk SOAR: integrazione con EDR (CrowdStrike, SentinelOne, Defender), firewall, identity provider. Response automation governata dal SOC.
Come funziona · architettura
Quattro blocchi, un unico ciclo MDR su Splunk.
Dall'ingestion log al containment via SOAR — tutto sotto un unico interlocutore italiano. Detection rules vostre, ownership completa.
01 ·
01 · Ingestione
Splunk indexers + Universal Forwarders
Cluster Splunk dimensionato sui volumi reali. Universal Forwarders, HTTP Event Collector, syslog, technology add-ons. Ingestion da endpoint, network, cloud, app.
02 ·
02 · Tier-zero
ES correlation searches + RBA
Notable events framework, risk-based alerting (RBA) per riduzione FP, ML Toolkit per anomaly detection. Detection rules custom in SPL mappate MITRE.
03 ·
03 · Analisti
I nostri L2/L3 su Splunk ES
SOC italiano con mandato di decidere. Triage notable events, hunting via Splunk Search, attribuzione all'attore, escalation a IR Fortgale per critici.
04 ·
04 · Response
SOAR playbooks + EDR integration
Isolamento host ~8 s, contenimento mediano ~11 min. Splunk SOAR playbook custom orchestrano response cross-tool (EDR, firewall, IAM).
Proof · metriche del servizio
Quattro numeri che reggono l'MDR su Splunk.
Metriche misurate sulla telemetria reale dei nostri clienti — Q1 2026, aggiornate trimestralmente.
~11 min
Contenimento mediano
dall'alert Splunk confermato
dall'alert Splunk confermato
94 %
Rumore ridotto
dal RBA + tier-zero
dal RBA + tier-zero
100 %
Ownership rules SPL
al cliente a fine contratto
al cliente a fine contratto
14 gg
Onboarding completo
servizio MDR operativo
servizio MDR operativo
Cosa include il servizio
MDR su Splunk Enterprise Security, nel dettaglio.
Ogni componente del servizio MDR sfrutta il notable events framework di Splunk ES sotto la governance del SOC italiano Fortgale.
01
Splunk ES gestito
Cluster Splunk Cloud/on-prem dimensionato sui volumi reali. Indexer cluster, search head, deployment server, ES, technology add-ons. Manutenzione e tuning a carico Fortgale.
02
SPL detection engineering
Sviluppo continuo detection rules in SPL mappate MITRE. ES Content Update tuning, sigma-to-SPL conversion, RBA risk scoring. Ownership consegnata al cliente.
03
Threat hunting su Splunk
Sessioni mensili via Splunk Search. Hunting query custom su 90+ giorni di telemetria, ricerca lateral movement, persistence, data staging.
04
Intelligence proprietaria
Feed IOC da OpenCTI Fortgale (34 000+ indicatori settimanali) integrati come threat lookup in Splunk ES Threat Intelligence Framework.
05
Splunk SOAR (opzionale)
Splunk SOAR (Phantom) con playbook custom mappati sui runbook Fortgale. Integration cross-tool con EDR, firewall, IAM. Response automation governata.
06
Reportistica & governance
Report mensili executive con MTTD, MTTR, alert volume, RBA scores. Documentazione audit NIS2, ISO 27001, GDPR. Dashboard ES custom su portale dedicato.
Per chi · due angolazioni
Stesso MDR su Splunk, due angolazioni.
Il CISO decide sul rischio. Il responsabile IT decide sul runbook. MDR Fortgale produce evidenze per entrambi.
Per il CISO
Un runbook nominativo per attore, su stack Splunk.
Il CISO riceve ogni mese il profilo dei 3 attori più probabili contro il proprio settore, con il runbook MDR Fortgale già mappato sulla telemetria Splunk Enterprise Security.
- Threat briefing mensileAttori, TTP osservate, campagne in corso sul vostro settore.
- Runbook su SplunkPlaybook vivi mappati MITRE, eseguibili sulla console Splunk Enterprise Security.
- Reporting board-readyRischio · impatto · decisione. Niente tecnologia da slide.
Per il responsabile IT
Zero handover traduttore. Analisti italiani sulla vostra console Splunk.
Quando l'alert Splunk è reale, il tempo di decisione è il tempo di contenimento. I nostri analisti L2/L3 conoscono la console Splunk Enterprise Security e hanno mandato di decidere.
- Contenimento mediano ~11 minDall'alert confermato alla remediation in produzione.
- Risposta nativa SplunkKill processi, isolamento host, network containment via API Splunk Enterprise Security.
- Integrazione end-to-endTelemetria Splunk ingerita nella nostra data fabric multidominio.
FAQ · domande frequenti
Tutto quello che serve sapere prima di parlare con i nostri analisti.
Cos'è il servizio MDR su Splunk Enterprise Security?
Combina Splunk Enterprise Security (SIEM leader Gartner) con il SOC italiano Fortgale 24·7·365. Analisti L2/L3 sviluppano detection rules SPL custom mappate MITRE, monitorano notable events ES, orchestrano response via Splunk SOAR e applicano runbook proprietari.
Devo già avere Splunk?
No. Fortgale gestisce l'intero ciclo: licensing Splunk Cloud o on-prem, deployment indexer/search head, integrazione data sources, ES content packs, tuning. Disponibile sia su istanza esistente, sia come parte del servizio.
Il servizio include anche Splunk SOAR?
Su richiesta sì. Splunk SOAR (formalmente Phantom) è disponibile come modulo aggiuntivo per orchestrazione playbook, integration cross-tool e response automation. Il SOC Fortgale sviluppa playbook custom mappati sui runbook.
Il servizio è compatibile con NIS2?
Sì. Supportiamo i requisiti NIS2 (D.Lgs. 138/2024): monitoraggio continuo, raccolta IOC per notifica CSIRT Italia entro 24 ore, documentazione tecnica per le notifiche 72 ore. La retention configurabile di Splunk supporta i requisiti di conservazione log NIS2.
Splunk è solo per log o ha capacità XDR/EDR?
Splunk Enterprise Security è SIEM. Per XDR/EDR si combina con Splunk Attack Analyzer e add-on/integrazioni con EDR di terze parti (CrowdStrike, SentinelOne, Defender). Fortgale orchestra l'intero stack.
Parla con il presidio
Un incontro. Un NDA. Un runbook reale su Splunk.
Ti portiamo il Report sul tuo settore con gli attori più probabili e un runbook MDR concreto sulla tua console Splunk Enterprise Security.