Microsoft Sentinel è il SIEM (Security Information and Event Management) cloud-native di Microsoft. Aggrega log da centinaia di sorgenti (Azure, Microsoft 365, on-premises, third-party), li correla con regole AI-based, genera incident per il SOC team. Posizionamento “SIEM + SOAR” enterprise grade.
La domanda ricorrente nelle PMI italiane: ne ho davvero bisogno? Microsoft Sentinel è eccellente ma non sempre proporzionato — soprattutto per chi ha già Microsoft 365 Business Premium con Defender XDR attivo. Questa analisi aiuta a decidere quando ha senso per una PMI italiana, qual è la soglia dimensionale e cosa considerare prima di adottarlo.
Cosa fa Microsoft Sentinel (in 30 secondi)
Sentinel è il “cervello” che osserva tutto quello che succede nell’ecosistema IT:
- Ingestion: raccoglie log da Azure, Microsoft 365 (Defender, Entra ID, Exchange, SharePoint), Windows Events, Linux Syslog, firewall (Fortinet, Palo Alto, Check Point), AWS, Google Cloud, hundreds of third-party connector
- Correlation: applica regole analitiche (pre-built da Microsoft + custom) per detection cross-source di attacchi multi-step
- AI: ML behaviorale identifica anomalie (User Entity Behavior Analytics, Fusion)
- Incident management: aggrega alert correlati in incident strutturati per il SOC
- SOAR: playbook automatici via Logic Apps (chiudi account compromesso, isola endpoint, notifica team, ecc.)
- Threat hunting: query KQL custom per investigare proattivamente
In sintesi: Sentinel è il single pane of glass per la cyber security operations enterprise.
Quando NON ha senso per una PMI italiana
Diciamo subito quando Sentinel è sovradimensionato. Tre scenari tipici:
Scenario 1 — PMI 30-100 utenti su Microsoft 365 Business Premium
Hai già Defender XDR incluso in M365 Business Premium: Defender for Endpoint + Defender for Office 365 + Defender for Cloud Apps + Defender for Identity. La console unificata Microsoft 365 Defender (security.microsoft.com) correlazione cross-product. Per la maggior parte delle PMI di questa fascia, Defender XDR copre il 70-80% degli scenari per cui si pensa a Sentinel — gratuitamente (incluso nella licenza già pagata).
Aggiungere Sentinel duplica costi e complessità senza vero gap di coverage.
Scenario 2 — Volumi log modesti senza SOC dedicato
Sentinel è tariffato per GB di log ingestion. Per PMI con 30-100 endpoint, il volume tipico Microsoft Defender + Entra ID log è 200-500 MB/giorno (~6-15 GB/mese). Costo Sentinel solo ingestion: ~30-75 €/mese. Aggiungi un firewall on-premises e arrivi a ~150-300 €/mese.
Il problema non è il costo — è che senza un SOC team che guarda gli incident e li lavora, Sentinel diventa un raccoglitore di alert che nessuno legge. Per PMI senza SOC interno o esternalizzato (MDR — Managed Detection and Response), Sentinel è investimento sprecato.
Scenario 3 — Stack security limitato e omogeneo Microsoft
Sentinel brilla quando aggrega log da molte fonti eterogenee (cloud + on-prem + multi-vendor). Se la tua azienda ha solo Microsoft 365 + 1 firewall e niente altro, il valore aggregazione è basso — i log Microsoft sono già aggregati in Microsoft 365 Defender.
Quando HA senso per una PMI italiana
Sentinel diventa razionale in tre scenari:
Scenario 1 — PMI mid-market 100-500 utenti con compliance NIS2
Se sei in scope NIS2 (sopra 50 dipendenti in settori essenziali/importanti), l’art. 21 del D.Lgs 138/2024 richiede valutazione efficacia delle misure, audit trail e incident response strutturato. Sentinel + retention log estesa + audit dashboard è il pattern naturale per dimostrare la conformità in audit ACN.
Scenario 2 — Stack security multi-vendor
PMI con stack eterogeneo: Microsoft 365 + AWS workload + firewall Fortinet/Palo Alto + EDR aggiuntivo (es. CrowdStrike) + SaaS B2B (Salesforce, HubSpot). Aggregare manualmente i log è impossibile. Sentinel è progettato esattamente per questo scenario.
Scenario 3 — SOC interno o MDR partner
PMI con team security 2+ persone (anche frazionali) che fa threat hunting proattivo, gestisce incident strutturati, sviluppa playbook custom. Oppure PMI con un MDR partner (Managed Detection and Response) — il partner usa Sentinel come piattaforma su cui erogare il servizio.
Quanto costa realmente Sentinel per una PMI italiana
Pricing Sentinel 2026 — modello capacity reservation o Pay-as-you-Go:
| Volume log | Pay-as-you-Go | Reserved 100 GB/giorno | Reserved 500 GB/giorno |
|---|---|---|---|
| 0-100 GB | ~2,80 €/GB | — | — |
| Tier 100 GB | — | ~165 €/giorno (~5.000 €/mese) | — |
| Tier 500 GB | — | — | ~800 €/giorno (~24.000 €/mese) |
Stime concrete per PMI italiane:
- PMI 50 utenti M365 + 1 firewall: ~10-20 GB/mese log → ~30-60 €/mese
- PMI 100 utenti + firewall + EDR aggiuntivo: ~30-60 GB/mese → ~85-170 €/mese
- PMI mid-market 300 utenti multi-cloud: ~100-300 GB/mese → ~280-840 €/mese
A questi costi vanno aggiunti i log workspace storage (~0,12 €/GB/mese retention extra oltre i 90 giorni inclusi) e eventuali playbook Logic Apps (tariffati a esecuzione).
Costo nascosto principale: il tempo del team per scrivere regole analitiche custom, tunare alert per ridurre falsi positivi, sviluppare playbook SOAR. Settimane di lavoro al setup iniziale, ore continuative ogni mese per manutenzione. Senza questo investimento di tempo, Sentinel è solo una bolletta — non un valore security.
Alternative da considerare prima di Sentinel
Tre alternative tipiche per PMI italiane:
Microsoft 365 Defender (già pagato)
Per PMI Business Premium / E3 / E5, Microsoft Defender XDR è la console security unificata che copre Endpoint + Email + Identity + Cloud Apps. Correlation cross-product nativa. Gratuito (incluso nella licenza). Per PMI 30-100 utenti, copre la maggior parte dei use case Sentinel.
MDR (Managed Detection and Response) di terze parti
Provider come Sophos MDR, Arctic Wolf, eSentire, Red Canary offrono SOC-as-a-service. Tu paghi un canone mensile (~10-30 €/utente/mese a seconda del provider), loro gestiscono detection + response. La piattaforma SIEM sotto è loro (spesso Sentinel o Splunk), tu vedi solo gli incident finali. Adatto a PMI senza skill SOC interno.
Sentinel + MDR partner italiano
Pattern intermedio: SynSphere o altro partner italiano configura Sentinel sul tuo tenant e gestisce SOC operations come servizio gestito. Ottiene il vantaggio Sentinel + l’expertise del partner. Costo tipico: ~15-40 €/utente/mese per PMI 100-300 dipendenti, comprensivo di licensing + SOC.
Roadmap di valutazione Sentinel per PMI italiana
Tre step prima di adottare Sentinel:
-
Inventario fonti log e volumi: quanti GB/mese genera la tua infrastruttura? Microsoft 365 + firewall + endpoint + cloud apps. Stima realistica con tool free (Log Analytics calculator).
-
Valuta Defender XDR: hai già attivato Microsoft 365 Defender con tutti i workload Premium? Se no, prima ottimizza Defender XDR — gratis e copre molto. Se sì e hai ancora gap, considera Sentinel.
-
Decidi modello operativo: chi guarderà gli incident Sentinel? Team interno con almeno 1 FTE security dedicato? MDR partner? Senza un modello operativo chiaro, Sentinel non produce ROI.
Decisione: matrice rapida
| Profilo PMI | Raccomandazione |
|---|---|
| 20-50 utenti, M365 Business Standard, no IT interno | Defender XDR (richiede upgrade a Business Premium) |
| 50-150 utenti, M365 Business Premium, IT manager senza skill SOC | Defender XDR + Defender Vulnerability Management |
| 50-200 utenti in scope NIS2, IT manager con skill security base | Defender XDR + valutare MDR partner italiano |
| 100-500 utenti multi-vendor, team security 1-2 FTE | Sentinel + MDR partner (o team interno) |
| 200+ utenti, regolamentati (financial, healthcare), SOC interno | Sentinel full deployment con playbook custom |
Per la maggior parte delle PMI italiane sotto i 200 utenti su stack Microsoft, Defender XDR è sufficiente. Sentinel è il prossimo step quando lo stack si complica o quando NIS2 / compliance specifica lo richiede.
Per un assessment dello stack security attuale, valutazione tra Defender XDR, Sentinel e MDR partner, e business case quantificato per la tua specifica realtà aziendale, contattaci: valutazione gratuita iniziale, roadmap di adozione prioritizzata.