Il tuo firewall blocca le minacce, l'antivirus protegge gli endpoint, l'MFA verifica le identita. Ma chi correla tutto? Chi vede l'attacco che attraversa piu livelli della tua infrastruttura? Per le grandi aziende, la risposta e un SOC con analisti dedicati. Per le PMI, la risposta e WatchGuard ThreatSync XDR: una piattaforma che raccoglie, correla e risponde automaticamente alle minacce che i singoli componenti non vedrebbero. In questa guida ti spieghiamo come funziona, la differenza tra EDR e XDR, e perche per una PMI italiana e la soluzione piu sensata nel 2026. Noi di BullTech Informatica, Gold Partner WatchGuard da Vimercate (MB), lo gestiamo per decine di clienti.
Definizione
WatchGuard ThreatSync XDR (Extended Detection and Response) e una piattaforma di sicurezza unificata che raccoglie telemetria da firewall Firebox, endpoint (EPDR), AuthPoint MFA e access point Wi-Fi WatchGuard, correla gli eventi tramite un motore di intelligenza artificiale e risponde automaticamente agli incidenti di sicurezza. A differenza di un EDR (che vede solo gli endpoint) o di un SIEM (che raccoglie log ma richiede analisti per interpretarli), ThreatSync XDR offre detection, correlazione e response automatica in un'unica piattaforma integrata, pensata per le PMI senza SOC interno.
Fatti chiave — ThreatSync XDR 2026
- XDR: Extended Detection and Response — visibilita su rete + endpoint + identita
- Incluso nella Total Security Suite dei Firebox (correlazione rete)
- Correlazione automatica: eventi firewall + endpoint + MFA in un unico incidente
- Risposta automatica: blocco IP, isolamento endpoint, blocco utente
- WatchGuard Cloud: dashboard incidenti con timeline e severity scoring
- Alternativa a SIEM per PMI: stesse funzionalita core senza costi e complessita
Il problema che XDR risolve
La sicurezza informatica tradizionale funziona a silos: il firewall protegge il perimetro, l'antivirus protegge gli endpoint, l'MFA protegge gli accessi. Ogni componente fa il suo lavoro ma non parla con gli altri. Il risultato: nessuno vede il quadro completo.
Facciamo un esempio concreto. Un dipendente riceve un'email di phishing ben fatta (supera l'antispam) e clicca sul link. Il firewall registra la connessione a un dominio sospetto (evento 1). Il malware si scarica sull'endpoint e l'antivirus blocca il primo payload (evento 2). Ma un secondo payload, offuscato in modo diverso, passa il controllo e stabilisce una connessione con un server di command & control (evento 3). Intanto, il malware tenta un movimento laterale verso un server interno (evento 4).
Senza XDR: ogni evento viene gestito separatamente. Il firewall logga un warning. L'antivirus segnala un rilevamento. Nessuno li collega. Il team IT (se c'e) deve manualmente correlare log da console diverse. Nel frattempo, l'attaccante e gia dentro la rete.
Con ThreatSync XDR: gli eventi 1-4 vengono correlati automaticamente in un singolo incidente con severity critica. La risposta automatica scatta: l'IP del C2 viene bloccato sul firewall, l'endpoint compromesso viene isolato dalla rete, il team IT riceve una notifica con la timeline completa dell'attacco. Tempo totale: secondi, non ore.
EDR vs XDR: qual e la differenza
Questi acronimi si confondono facilmente. Chiariamoli una volta per tutte.
| Aspetto | EDR | XDR |
|---|---|---|
| Scope | Solo endpoint | Endpoint + rete + identita + Wi-Fi |
| Fonti dati | Agent su PC/server | Agent + firewall + MFA + AP Wi-Fi |
| Correlazione | Solo eventi endpoint | Cross-layer (rete + endpoint + identita) |
| Risposta automatica | Isolamento endpoint | Blocco IP + isolamento + blocco utente |
| Visibilita attacco | Parziale (solo endpoint) | Completa (kill chain intera) |
| Esempio WatchGuard | WatchGuard EPDR (solo) | ThreatSync = EPDR + Firebox + AuthPoint |
In sintesi: l'EDR vede un pezzo del puzzle, l'XDR vede tutto il puzzle. Per una PMI che vuole visibilita reale sulle minacce senza un SOC dedicato, l'XDR e la scelta naturale.
Come funziona ThreatSync: il motore di correlazione
ThreatSync raccoglie telemetria da tre fonti principali:
Firebox (Rete)
Traffico di rete, connessioni bloccate, IPS alerts, domini visitati, tentativi VPN, traffic anomaly. Tutto cio che transita dal perimetro.
EPDR (Endpoint)
Processi in esecuzione, file sospetti, tentativi di escalation, movimenti laterali, connessioni outbound anomale. Cio che succede su ogni PC.
AuthPoint (Identita)
Tentativi di autenticazione, MFA rifiutati, accessi da location insolite, brute-force su credenziali. Chi tenta di accedere e da dove.
Il motore di correlazione analizza questi eventi in tempo reale usando regole predefinite e machine learning. Quando identifica un pattern di attacco (es. phishing → malware download → lateral movement), crea un incidente con:
- Severity score — Da critico a informativo, basato sulla gravita e sul contesto.
- Timeline — Sequenza cronologica di tutti gli eventi correlati, dalla prima anomalia all'ultimo evento.
- Entita coinvolte — IP, utenti, endpoint, domini, file hash. Tutto cio che e coinvolto nell'incidente.
- Azioni raccomandate — Cosa fare per contenere e risolvere l'incidente.
- Azioni automatiche — Se configurate, la risposta automatica scatta immediatamente.
Risposta automatica: cosa puo fare ThreatSync
La detection senza response e un allarme che suona in una stanza vuota. Il valore di ThreatSync e che non si limita a segnalare: agisce.
Le azioni di risposta automatica configurabili:
- Blocco IP sul firewall — L'IP sorgente dell'attacco viene aggiunto alla blocklist del Firebox. Effetto immediato su tutto il perimetro.
- Isolamento endpoint — Il PC compromesso viene tagliato dalla rete aziendale. Mantiene solo la connessione con ThreatSync per permettere il remediation remoto.
- Blocco processo — Il processo malevolo viene terminato e il file messo in quarantena sull'endpoint.
- Blocco utente — L'account dell'utente compromesso viene disabilitato, impedendo ulteriori accessi.
- Notifica e ticket — Email/webhook al team IT o all'MSP con tutti i dettagli dell'incidente.
Automatico non significa incontrollato
Le policy di risposta automatica vanno configurate con attenzione. Non vuoi che un falso positivo isoli il PC del CEO durante una riunione con i clienti. BullTech configura le policy in modo graduale: prima solo notifiche per 2-4 settimane (periodo di tuning), poi azioni automatiche per severity critica e alta, con approvazione manuale per severity media. Questo minimizza i falsi positivi senza rallentare la risposta agli attacchi reali.
Use case: ThreatSync per le PMI italiane
Vediamo tre scenari reali (anonimizzati) dalla nostra esperienza come MSP WatchGuard:
Caso 1: Studio legale con 15 postazioni
Minaccia: phishing mirato (spear phishing) con allegato Excel contenente macro malevola. L'email sembrava provenire da un tribunale.
ThreatSync: il Firebox ha loggato il download del file dal dominio sospetto. EPDR ha rilevato l'esecuzione della macro e il tentativo di connessione a un C2. ThreatSync ha correlato i due eventi, bloccato l'IP del C2 sul firewall e isolato l'endpoint. Tempo totale: 8 secondi. Senza ThreatSync: il ransomware avrebbe cifrato i dati dello studio in 20 minuti.
Caso 2: PMI manifatturiera con 60 postazioni
Minaccia: brute-force RDP dall'esterno su un server esposto per errore. L'attaccante ha indovinato le credenziali di un account di test dimenticato.
ThreatSync: AuthPoint ha registrato tentativi MFA falliti ripetuti (l'account non aveva MFA attivo). Il Firebox ha loggato connessioni RDP anomale. ThreatSync ha correlato e generato un incidente critico. L'IP e stato bloccato, l'account disabilitato, il team IT notificato. Il giorno dopo, BullTech ha attivato AuthPoint su tutti gli account con accesso RDP.
Caso 3: Azienda di servizi con smart working al 70%
Minaccia: laptop aziendale collegato a Wi-Fi pubblica in un coworking. Tentativo di man-in-the-middle per intercettare credenziali.
ThreatSync: EPDR ha rilevato il certificato SSL anomalo (tentativo di spoofing). La connessione VPN aveva AuthPoint attivo, quindi l'MFA ha bloccato l'accesso dell'attaccante anche se avesse intercettato le credenziali. ThreatSync ha creato un incidente di severity media e notificato il team. Nessun dato compromesso.
ThreatSync vs SIEM: cosa conviene alla PMI
La domanda che ci fanno spesso: “ma non dovremmo avere un SIEM?”. La risposta: dipende.
Un SIEM (Security Information and Event Management) raccoglie log da tutte le fonti della rete, li normalizza e permette di fare query e correlazioni. E lo strumento dei SOC enterprise. Pero: costa decine di migliaia di euro/anno, richiede storage per i log, e soprattutto richiede analisti SOC dedicati per interpretare i dati. Un SIEM senza analisti e un data lake inutile.
ThreatSync per le PMI offre il 90% del valore di un SIEM:
- Correlazione eventi cross-layer (come un SIEM)
- Detection automatica di minacce (come un SIEM con regole preconfigurate)
- Risposta automatica (cosa che un SIEM puro non fa senza un SOAR aggiuntivo)
- Dashboard incidenti leggibile (senza bisogno di analisti)
- Incluso nella licenza WatchGuard (costo aggiuntivo zero per la componente rete)
Cosa manca rispetto a un SIEM: la capacita di raccogliere log da fonti non-WatchGuard (server Linux, applicazioni custom, cloud provider) e la retention a lungo termine dei log grezzi. Se hai questi requisiti (PCI-DSS, ambienti regolamentati), serve un SIEM. Per il 90% delle PMI italiane, ThreatSync + monitoraggio MSP BullTech e la soluzione giusta.