Corso di Security Operations Center (SOC) e Threat Detection

Modulo 1: Security Operations Center (SOC) Cos'è un SOC e quale ruolo svolge nella sicurezza informatica Struttura e funzioni principali di un SOC Differenza tra SOC centralizzati e distribuiti I principali attori e ruoli all’interno di un SOC (analisti, ingegneri, manager) Modulo 2: Architettura e Componenti di un SOC Componenti hardware e software di un SOC Strumenti essenziali: SIEM (Security Information and Event Management), IDS/IPS, firewalls, ecc. Sistemi di monitoraggio e gestione delle minacce Il flusso delle informazioni all’interno di un SOC Modulo 3: Funzionamento di un SOC: Processi e Fasi Le fasi operative di un SOC: rilevamento, risposta, gestione e recupero Il ciclo di vita degli eventi di sicurezza Le principali attività quotidiane in un SOC: monitoraggio, analisi, escalation L’importanza di una buona gestione dei dati e delle informazioni Modulo 4: la Threat Detection Cos'è la threat detection e perché è cruciale in un SOC Tipologie di minacce (interni, esterni, APT, ransomware, ecc.) La differenza tra detection e prevenzione Tecniche di threat detection: analisi dei log, correlazione degli eventi, monitoraggio in tempo reale Modulo 5: Indicatori di Compromissione (IoC) e Indicatori di Attività Anomala (IoA) Cos'è un IoC e come vengono generati Differenza tra IoC e IoA e come utilizzarli nella threat detection Tipi di IoC: indirizzi IP, URL, hash di file, ecc. Utilizzo degli IoC per rilevare compromissioni e attacchi Modulo 6: Tecniche di Rilevamento delle Minacce Rilevamento basato su signature vs rilevamento basato su comportamenti Come analizzare i dati di log per individuare attività sospette Tecniche di rilevamento avanzato (anomalie, machine learning, intelligenza artificiale) Implementazione di regole di correlazione in un SIEM Modulo 7: Strumenti e Tecnologie di Threat Detection I principali strumenti di threat detection (SIEM, IDS/IPS, antivirus, etc.) Caratteristiche, vantaggi e limiti degli strumenti Come scegliere e implementare strumenti di rilevamento delle minacce Monitoraggio e gestione degli strumenti di sicurezza Modulo 8: Gestione degli Incidenti di Sicurezza nel SOC Le fasi di gestione degli incidenti (identificazione, contenimento, mitigazione, recupero) Come il SOC gestisce gli incidenti di sicurezza La documentazione e il reporting durante e dopo un incidente Coinvolgimento delle parti interessate e escalation Modulo 9: Threat Intelligence e il SOC Cos'è la Cyber Threat Intelligence e come si integra nel SOC Come utilizzare la threat intelligence per migliorare la detection delle minacce Fonti di threat intelligence: open-source, feed commerciali, dark web Applicazioni pratiche della CTI nel monitoraggio e nella rilevazione Modulo 10: Analisi e Correlazione degli Eventi di Sicurezza Come eseguire la correlazione tra eventi di sicurezza Utilizzo di un SIEM per analizzare e correlare i log Tecniche di correlazione avanzata: regole basate su pattern, sequenze temporali, anomalie Best practices nella gestione dei falsi positivi e negativi Modulo 11: Le Operazioni di Monitoraggio in Tempo Reale La rilevazione in tempo reale: come funziona nel SOC Il monitoraggio continuo delle reti e dei sistemi Analisi degli allarmi e gestione delle notifiche La gestione del rischio durante il monitoraggio attivo Modulo 12: Gestione delle Vulnerabilità nel SOC Rilevamento e gestione delle vulnerabilità Come le vulnerabilità vengono integrate nel flusso di lavoro del SOC Tecniche di scanning delle vulnerabilità e patch management Analisi di rischio per determinare priorità di intervento Modulo 13: Rilevamento di Minacce Avanzate (APT) e Tecniche di Evasione Cos'è un Advanced Persistent Threat (APT) e come viene rilevata Tecniche avanzate per l'evitamento della rilevazione (es. steganografia, offuscamento) Metodologie per l'individuazione di APT: analisi comportamentale, signatureless detection Il ruolo della threat intelligence nella rilevazione di APT Modulo 14: La Gestione dei Falsi Positivi e Falsi Negativi Cos'è un falso positivo e un falso negativo Strategie per ridurre i falsi positivi nelle operazioni del SOC Tecniche di tuning del SIEM per migliorare l’accuratezza Il bilanciamento tra sensibilità e precisione nella rilevazione Modulo 15: Reporting e Comunicazione nel SOC L'importanza della reportistica nell'ambito SOC Creazione di report per la gestione e la documentazione degli incidenti La comunicazione con altri dipartimenti aziendali e con le autorità competenti Come condividere informazioni con il team esecutivo e altre funzioni aziendali