La maggior parte delle organizzazioni adotta soluzioni EDR per proteggere gli endpoint. Ciò che spesso passa inosservato è che CrowdStrike Falcon EDR include nativamente una piattaforma SIEM di nuova generazione, disponibile fin dal primo giorno e senza costi aggiuntivi.
Ogni implementazione di Falcon EDR include automaticamente 10 GB di ingestione dei log e 7 giorni di retention su Falcon LogScale (NG-SIEM). Non si tratta di una prova, di una promozione temporanea o di un componente aggiuntivo a pagamento: è una funzionalità permanente, integrata direttamente nella piattaforma Falcon.
Perché questo è importante
Tradizionalmente, EDR e SIEM sono state tecnologie separate. Le organizzazioni implementano prima la protezione degli endpoint, poi si rendono conto di non avere visibilità oltre gli endpoint e infine avviano un progetto SIEM lungo e costoso, che coinvolge nuovi strumenti, integrazioni complesse e mesi di tuning.
CrowdStrike elimina completamente questa tempistica. Nel momento stesso in cui Falcon EDR viene distribuito, le organizzazioni dispongono già di un NG-SIEM pienamente operativo, senza la necessità di un prodotto separato, di un nuovo contratto o di un progetto di implementazione dedicato.
Cosa rende diverso Falcon NG-SIEM
Falcon LogScale (precedentemente Humio) non è un SIEM tradizionale con un’interfaccia moderna. È stato progettato fin dall’inizio per l’analisi in streaming ad alta velocità su larga scala, con un’architettura profondamente diversa.
Ingestione senza indicizzazione
I SIEM tradizionali indicizzano i dati al momento dell’ingestione, aumentando i costi di storage e rallentando le ricerche. Falcon LogScale esegue ricerche in tempo reale su dati grezzi e compressi. Di conseguenza, 10 GB di ingestione offrono un volume di log utilizzabile significativamente superiore rispetto a 10 GB su un SIEM tradizionale.
Modello di dati unificato
Tutti i dati — telemetria di Falcon EDR, log di firewall, eventi di identità e infrastruttura cloud — risiedono nello stesso namespace. Non ci sono query federate né dataset “ricuciti”. Questa scelta architetturale rende la correlazione rapida, intuitiva e semplice dal punto di vista operativo.
Rilevamenti preconfigurati
Il livello da 10 GB include la logica di rilevamento costantemente aggiornata di CrowdStrike, la stessa utilizzata per proteggere le organizzazioni Fortune 500. Non si tratta di regole generiche che richiedono continui aggiustamenti, ma di rilevamenti collaudati, affinati analizzando ogni giorno trilioni di eventi attraverso la rete globale di sensori CrowdStrike.
Correlazione XDR nativa
Poiché la telemetria degli endpoint e i log esterni convivono sulla stessa piattaforma, le attività di investigazione correlano automaticamente attività sugli endpoint, comportamento di rete, identità e threat intelligence. Non è “XDR tramite integrazione”, ma una vera convergenza architetturale.
Da funzionalità inclusa a valore dimostrato
La strategia di CrowdStrike non consiste nel “regalare” funzionalità SIEM, ma nel dimostrare il valore attraverso l’utilizzo reale.
Nella pratica, le organizzazioni seguono spesso un percorso naturale:
- Nei primi mesi, i team distribuiscono Falcon EDR e iniziano a esplorare le funzionalità NG-SIEM incluse.
- Vengono ingestiti log di firewall o proxy, coprendo le esigenze immediate entro il limite dei 10 GB.
- Le investigazioni che prima richiedevano più strumenti avvengono ora all’interno di un’unica interfaccia.
- Quando i primi incidenti reali vengono individuati grazie alla correlazione tra endpoint e rete, il valore diventa evidente.
- Al raggiungimento del limite di ingestione, la decisione di espandere la capacità nasce dall’esperienza concreta, non dalla pressione commerciale.
Questo è l’opposto dello shelfware. È valore dimostrato attraverso le operazioni quotidiane.
