SentinelOne ha annunciato la disponibilità di Purple AI Agentic Investigation, nuova funzionalità integrata nella piattaforma Singularity progettata per condurre indagini di sicurezza completamente automatizzate. SentinelOne descrive Purple AI come un sistema capace di rilevare, investigare, validare e rispondere autonomamente agli incidenti informatici senza richiedere approvazioni manuali continue. Quando una minaccia supera determinate soglie di rischio, l’AI avvia automaticamente un’indagine, correla i dati disponibili, formula un giudizio operativo e può persino bloccare l’attacco alla velocità della macchina.

È un cambio di paradigma significativo rispetto ai modelli tradizionali di sicurezza informatica, nei quali il rilevamento automatico rappresentava soltanto il primo stadio di un processo ancora fortemente dipendente dagli analisti umani. Il problema, secondo SentinelOne, è che l’esplosione della telemetria e degli strumenti di monitoraggio ha creato una sproporzione ingestibile tra il numero di alert generati e la capacità reale dei team SOC di esaminarli.

Chris Corde, Chief Product Officer dell’azienda, identifica proprio nella scala investigativa il principale limite operativo della cybersecurity moderna. Le piattaforme rilevano sempre di più, ma le decisioni continuano a dipendere dalla disponibilità di personale qualificato. Durante le ore notturne, nei weekend o nei momenti di saturazione operativa, la qualità della risposta tende inevitabilmente a deteriorarsi e l’arrivo di minacce costruite con AI avanzata rischia inoltre di amplificare ulteriormente questo squilibrio.

Purple AI nasce precisamente per affrontare questo problema. La nuova funzionalità di Agentic Investigation si inserisce direttamente all’interno della piattaforma Singularity, sfruttando i dati di telemetria già presenti senza richiedere integrazioni esterne o deployment dedicati. Endpoint, identità, workload cloud e feed provenienti da strumenti di sicurezza di terze parti vengono analizzati nativamente dall’AI attraverso workflow già esistenti nell’infrastruttura del cliente.

Dal punto di vista operativo, SentinelOne cerca chiaramente di eliminare uno dei principali ostacoli all’adozione dell’intelligenza artificiale nei SOC rappresentato dalla complessità implementativa. L’azienda insiste molto sul concetto di attivazione immediata, sostenendo che Purple AI possa essere operativo dal primo giorno con un semplice clic, senza necessità di tuning avanzato o nuove pipeline di integrazione.

La promessa più interessante riguarda però la capacità di trasformare il ruolo dell’analista umano. Purple AI non si limita infatti a segnalare un alert, ma costruisce direttamente il contesto investigativo. Il sistema raccoglie evidenze, mette in correlazione eventi apparentemente scollegati, ricostruisce la cronologia dell’attacco e presenta all’operatore una valutazione già strutturata. In altre parole, l’analista non parte più dal sintomo, ma da un quadro investigativo quasi completo.

purple ai sentinel one

SentinelOne sottolinea inoltre che Purple AI non nasce per sostituire gli analisti, ma per amplificarne la capacità operativa. Uno degli elementi più delicati dell’intero progetto riguarda infatti la fiducia nelle decisioni prese autonomamente dall’AI. Per questo SentinelOne insiste sul concetto di verificabilità completa. Ogni decisione prodotta da Purple AI viene documentata e tracciata, consentendo agli analisti di verificare il percorso logico seguito dal sistema durante l’indagine.

 

L’autonomia operativa può inoltre essere regolata in funzione della maturità del SOC e del livello di confidenza dell’organizzazione verso l’automazione. Alcuni clienti potranno scegliere workflow completamente autonomi per specifiche tipologie di minacce, mentre altri manterranno approvazioni umane prima dell’esecuzione delle contromisure. La governance rimane controllata dagli amministratori attraverso policy granulari e sistemi di autorizzazione basati sui ruoli.

A livello tecnologico, Purple AI utilizza un approccio multimodello piuttosto interessante. SentinelOne combina infatti i modelli Claude di Anthropic, GPT di OpenAI e il proprio modello proprietario Ultraviolet. L’obiettivo è sfruttare capacità differenti di ragionamento, contestualizzazione e interpretazione all’interno di un’unica architettura decisionale.