1 00:00:03,000 --> 00:00:05,040 Benvenuti al modulo cinque. 2 00:00:05,040 --> 00:00:07,920 Threat detection e incident response. 3 00:00:07,920 --> 00:00:11,520 Finora ci siamo concentrati sulla protezione dei sistemi e sulla riduzione del rischio. 4 00:00:12,040 --> 00:00:15,040 Ma cosa succede quando quelle difese falliscono? 5 00:00:15,360 --> 00:00:17,760 In questo modulo imparerai come fare detect 6 00:00:17,760 --> 00:00:20,760 delle minacce in anticipo e rispondere efficacemente. 7 00:00:20,760 --> 00:00:23,760 In questa prima lezione, definiremo la threat detection 8 00:00:23,960 --> 00:00:27,320 ed esploreremo come le organizzazioni identificano attività sospette. 9 00:00:27,600 --> 00:00:30,600 Prima che diventi un incident in piena regola, 10 00:00:30,960 --> 00:00:33,440 la threat detection è il processo di identificare 11 00:00:33,440 --> 00:00:36,600 potenziale malicious activity sui tuoi sistemi o network. 12 00:00:37,040 --> 00:00:40,000 Coinvolge il monitoraggio del traffico, 13 00:00:40,000 --> 00:00:43,000 l'analisi del comportamento, il rilevamento di anomalie. 14 00:00:44,280 --> 00:00:47,800 L'obiettivo è individuare segni di attacco prima che si verifichi un danno serio. 15 00:00:48,360 --> 00:00:51,360 È un passaggio critico dalla prevenzione alla difesa attiva 16 00:00:52,440 --> 00:00:53,640 per fare detect delle minacce. 17 00:00:53,640 --> 00:00:57,320 Gli analisti controllano gli indicators of compromise o IOCs. 18 00:00:57,840 --> 00:01:01,680 Esempi includono orari o luoghi di login insoliti, 19 00:01:02,320 --> 00:01:05,320 modifiche o eliminazioni di file inaspettate. 20 00:01:05,320 --> 00:01:08,280 Grande outbound traffic da un server. 21 00:01:08,280 --> 00:01:11,280 Malware signatures in memoria o su disco. 22 00:01:11,280 --> 00:01:13,640 Questi segni non significano sempre un attacco, 23 00:01:13,640 --> 00:01:16,320 ma spesso significano che qualcosa richiede attenzione immediata. 24 00:01:17,600 --> 00:01:20,600 Ci sono diversi metodi usati per fare detect delle minacce. 25 00:01:20,720 --> 00:01:22,680 Corrispondenze Signature based. 26 00:01:22,680 --> 00:01:25,520 Malware noti o pattern di attacco. 27 00:01:25,520 --> 00:01:26,880 Behavior based. 28 00:01:26,880 --> 00:01:29,880 Segnala comportamento sospetto o insolito. 29 00:01:29,880 --> 00:01:34,200 L'Anomaly detection usa baselines per individuare deviazioni. 30 00:01:34,920 --> 00:01:38,760 La Threat intelligence usa dati esterni sulle minacce attuali. 31 00:01:39,480 --> 00:01:43,080 Una rilevazione forte usa una combinazione di metodi per i migliori risultati. 32 00:01:44,440 --> 00:01:47,720 Le organizzazioni usano strumenti specializzati per monitorare le minacce. 33 00:01:48,760 --> 00:01:51,760 SIEM Security Information and Event Management 34 00:01:52,040 --> 00:01:55,040 raccoglie e analizza logs da tutti i sistemi. 35 00:01:55,600 --> 00:01:59,560 EDR Endpoint Detection and Response monitora 36 00:01:59,560 --> 00:02:03,360 dispositivi individuali IDS, IPS. 37 00:02:03,920 --> 00:02:06,640 Intrusion detection prevention systems. 38 00:02:06,640 --> 00:02:10,960 Monitorano i network SOC security operations center. 39 00:02:11,640 --> 00:02:14,720 Le piattaforme combinano tutto quanto sopra per una difesa in tempo reale. 40 00:02:15,600 --> 00:02:18,600 Esplorerai molti di questi strumenti più avanti in questo modulo. 41 00:02:19,560 --> 00:02:22,440 In molte organizzazioni, la threat detection è gestita 42 00:02:22,440 --> 00:02:25,440 da un Security Operation Center o SOC. 43 00:02:26,200 --> 00:02:29,720 I SOC analysts monitorano dashboards e alerts, 44 00:02:30,320 --> 00:02:32,920 investigano comportamenti sospetti, 45 00:02:32,920 --> 00:02:35,920 fanno escalate di incidenti confermati ai team di risposta. 46 00:02:36,280 --> 00:02:38,760 Documentano e riportano i risultati. 47 00:02:38,760 --> 00:02:42,680 È un ruolo ad alta pressione ma essenziale, ed è dove la teoria incontra la realtà. 48 00:02:43,400 --> 00:02:45,600 Pronto per un piccolo quiz di riepilogo? 49 00:02:45,600 --> 00:02:48,600 Domanda uno cosa comporta la threat detection? 50 00:02:49,200 --> 00:02:52,200 A programmare aggiornamenti software settimanali 51 00:02:52,480 --> 00:02:55,480 B prevedere quando gli utenti dimenticheranno le password. 52 00:02:55,880 --> 00:02:59,520 C identificare segni di malicious activity sui sistemi. 53 00:03:00,000 --> 00:03:02,200 D cambiare le regole del firewall. 54 00:03:02,200 --> 00:03:03,920 Pausa mensile. 55 00:03:09,160 --> 00:03:11,040 La risposta corretta è C. 56 00:03:11,040 --> 00:03:14,880 La Threat detection riguarda l'individuazione di segni che un attacco potrebbe essere in corso. 57 00:03:16,120 --> 00:03:19,120 Domanda due quale dei seguenti è un IOC? 58 00:03:19,760 --> 00:03:21,480 A una password forte? 59 00:03:21,480 --> 00:03:23,280 B uno schermo bloccato. 60 00:03:23,280 --> 00:03:26,160 C un login insolito da un paese straniero. 61 00:03:26,160 --> 00:03:28,280 D archiviazione criptata. 62 00:03:28,280 --> 00:03:31,280 Pensaci attentamente. 63 00:03:34,440 --> 00:03:35,800 La risposta corretta è C. 64 00:03:35,800 --> 00:03:38,800 Login inaspettati possono segnalare un account compromesso. 65 00:03:39,360 --> 00:03:42,800 Domanda finale cosa aiuta i team di sicurezza a fare un SIEM? 66 00:03:43,680 --> 00:03:46,560 A creare password più forti. 67 00:03:46,560 --> 00:03:50,240 B monitorare e analizzare logs da sistemi multipli. 68 00:03:50,600 --> 00:03:53,400 C resettare le user credentials. 69 00:03:53,400 --> 00:03:56,400 D aggiornare il software antivirus. 70 00:03:56,480 --> 00:03:59,480 Pensaci attentamente. 71 00:04:02,600 --> 00:04:05,360 La scelta corretta è B, SIEM. 72 00:04:05,360 --> 00:04:09,360 Gli strumenti centralizzano e analizzano i dati per aiutare a rilevare le minacce velocemente. 73 00:04:10,560 --> 00:04:11,880 Ottimo lavoro! 74 00:04:11,880 --> 00:04:15,720 Ora capisci le basi della threat detection, perché è importante, 75 00:04:16,040 --> 00:04:19,760 e come i team usano strumenti e tecniche per trovare i primi segni di attacco. 76 00:04:20,600 --> 00:04:24,400 Dopo, faremo un'immersione più profonda negli indicators of compromise. 77 00:04:24,800 --> 00:04:29,640 IOCs, che aspetto hanno, come vengono trovati, e come rispondere. 78 00:04:30,400 --> 00:04:32,600 Continuiamo a costruire le tue abilità di rilevamento.