1 00:00:03,000 --> 00:00:04,280 Bentornati. 2 00:00:04,280 --> 00:00:07,280 Avete imparato come individuare gli Indicators of Compromise. 3 00:00:07,440 --> 00:00:10,040 Ora vediamo come le organizzazioni monitorano i sistemi 4 00:00:10,040 --> 00:00:13,040 continuamente per rilevare le minacce mentre accadono. 5 00:00:13,400 --> 00:00:17,400 In questa lezione introdurremo i sistemi Security Information and Event Management 6 00:00:17,760 --> 00:00:21,280 (SIEM) piattaforme potenti che raccolgono, 7 00:00:21,440 --> 00:00:24,840 analizzano e inviano alert su eventi di sicurezza in tutta l'azienda. 8 00:00:26,160 --> 00:00:29,480 Il Security monitoring è la pratica di tracciare continuamente 9 00:00:29,480 --> 00:00:33,440 l'attività attraverso il tuo network, i sistemi e le applicazioni. 10 00:00:34,040 --> 00:00:37,040 Aiuta a rilevare login sospetti, 11 00:00:37,320 --> 00:00:39,040 traffico insolito, 12 00:00:39,040 --> 00:00:40,880 comportamento di malware, 13 00:00:40,880 --> 00:00:42,760 abuso interno. 14 00:00:42,760 --> 00:00:46,080 Il Monitoring ti dà real time visibility su ciò che sta accadendo 15 00:00:46,080 --> 00:00:49,080 e aiuta a rilevare le minacce prima che si diffondano. 16 00:00:49,720 --> 00:00:53,320 Un sistema SIEM sta per Security Information and Event Management. 17 00:00:53,760 --> 00:00:57,080 È una piattaforma centrale che raccoglie logs e dati 18 00:00:57,080 --> 00:01:00,720 da molteplici fonti, correla gli eventi per trovare pattern, 19 00:01:01,320 --> 00:01:04,320 genera alert per attività sospette o ad alto rischio. 20 00:01:04,920 --> 00:01:07,360 Strumenti SIEM popolari includono Splunk, 21 00:01:07,360 --> 00:01:10,280 QRadar, ArcSight, e Microsoft Sentinel. 22 00:01:11,520 --> 00:01:12,520 Un SIEM raccoglie 23 00:01:12,520 --> 00:01:16,680 dati da molte fonti, inclusi firewalls e routers, 24 00:01:17,120 --> 00:01:19,920 sistemi operativi, e file servers, 25 00:01:19,920 --> 00:01:22,560 antivirus e strumenti EDR, 26 00:01:22,560 --> 00:01:25,600 applicazioni come email e cloud platforms. 27 00:01:26,360 --> 00:01:28,600 Più dati immetti nel sistema, 28 00:01:28,600 --> 00:01:31,600 più completa diventa la tua visibilità. 29 00:01:32,000 --> 00:01:35,000 Ecco come un SIEM potrebbe rilevare un attacco. 30 00:01:35,240 --> 00:01:39,200 1. Un login avviene da un nuovo paese alle 3:12 del mattino. 31 00:01:39,720 --> 00:01:42,080 2. Dieci minuti dopo, 32 00:01:42,080 --> 00:01:45,080 lo stesso utente accede a dati sensibili. 33 00:01:45,720 --> 00:01:49,760 3. Il SIEM correla questi eventi e attiva un alert. 34 00:01:50,520 --> 00:01:53,160 L'analista vede il quadro completo in un unico posto, 35 00:01:53,160 --> 00:01:56,160 investiga e fa escalate se necessario. 36 00:01:56,320 --> 00:02:00,480 Senza un SIEM, questi indizi potrebbero perdersi tra logs non connessi. 37 00:02:01,720 --> 00:02:03,360 Nella maggior parte delle organizzazioni, 38 00:02:03,360 --> 00:02:07,200 i SIEM sono il sistema nervoso centrale del Security Operations Center (SOC). 39 00:02:07,640 --> 00:02:11,640 I SOC analysts monitorano la SIEM dashboard 40 00:02:12,240 --> 00:02:15,240 revisionando alert, investigando anomalie, 41 00:02:15,600 --> 00:02:18,600 facendo escalate di minacce reali all'Incident Response Team. 42 00:02:19,320 --> 00:02:23,040 Un SIEM ben calibrato aiuta a ridurre il rumore, far emergere rischi reali, 43 00:02:23,320 --> 00:02:25,600 e guidare decisioni veloci. 44 00:02:25,600 --> 00:02:27,760 Pronto per un piccolo quiz di riepilogo? 45 00:02:27,760 --> 00:02:30,840 Domanda uno qual è lo scopo di un sistema SIEM? 46 00:02:31,840 --> 00:02:34,840 A archivia password in modo sicuro. 47 00:02:35,360 --> 00:02:38,280 B ospita siti web aziendali. 48 00:02:38,280 --> 00:02:41,960 C raccoglie e analizza eventi di sicurezza. 49 00:02:42,680 --> 00:02:45,680 D elimina file inutilizzati. 50 00:02:45,960 --> 00:02:48,960 Pausa. 51 00:02:51,920 --> 00:02:52,800 La risposta corretta 52 00:02:52,800 --> 00:02:55,800 è C. Un SIEM raccoglie e correla 53 00:02:55,800 --> 00:02:58,960 eventi da molteplici fonti per rilevare attività sospette. 54 00:03:00,240 --> 00:03:03,880 Domanda due perché è importante il security monitoring continuo? 55 00:03:04,880 --> 00:03:07,760 A per ridurre il tempo di avvio del sistema. 56 00:03:07,760 --> 00:03:10,760 B per rilevare minacce prima che si intensifichino. 57 00:03:11,040 --> 00:03:13,720 C per comprimere file di log. 58 00:03:13,720 --> 00:03:16,720 D per disinstallare vecchio software. 59 00:03:16,800 --> 00:03:19,800 Riflettici. 60 00:03:22,920 --> 00:03:23,960 La risposta corretta è 61 00:03:23,960 --> 00:03:28,800 B. Il Security monitoring aiuta a cogliere attacchi in corso prima che si verifichino danni maggiori. 62 00:03:29,560 --> 00:03:32,400 Domanda finale quale fonte dati viene 63 00:03:32,400 --> 00:03:35,800 comunemente immessa in un SIEM? A livelli 64 00:03:35,800 --> 00:03:36,960 di inchiostro della stampante. 65 00:03:36,960 --> 00:03:39,480 B orari di pranzo dei dipendenti. 66 00:03:39,480 --> 00:03:42,480 C firewall logs ed eventi di sistema. 67 00:03:42,720 --> 00:03:44,720 D inviti di calendario. 68 00:03:44,720 --> 00:03:47,720 Pausa e pensa. 69 00:03:51,120 --> 00:03:51,600 La scelta 70 00:03:51,600 --> 00:03:55,440 corretta è C. I SIEM acquisiscono logs da sistemi, 71 00:03:55,440 --> 00:03:58,520 app, firewalls, e altro per rilevare problemi di sicurezza. 72 00:03:59,760 --> 00:04:00,960 Ottimo lavoro. 73 00:04:00,960 --> 00:04:04,600 Ora sai come i SIEM e gli strumenti di security monitoring danno ai difensori 74 00:04:04,600 --> 00:04:08,280 real time visibility e aiutano gli analisti a rilevare le minacce velocemente. 75 00:04:08,880 --> 00:04:11,880 Dopo, passiamo dalla detection alla response. 76 00:04:12,200 --> 00:04:15,200 Cosa succede dopo che una minaccia è confermata? 77 00:04:15,440 --> 00:04:17,440 Iniziamo la nostra prossima fase. 78 00:04:17,440 --> 00:04:19,320 Fondamenti di Incident response.