GH GambleHub

Monitoraggio delle minacce e degli alert SOC

Breve riepilogo

L'efficiente SOC si basa su tre balene: la completezza della telemetria, i rilevamenti di qualità e la disciplina operativa (priorità, escalation, post-incidente e miglioramenti). Obiettivo: identificare rapidamente i malintenzionati attraverso indicatori comportamentali e di firma, reagire all'interno dello SLO e ridurre al minimo i falsi effetti senza perdere la copertura.

Architettura di monitoraggio SOC

SIEM - accettazione, normalizzazione e correlazione degli eventi dashboard, ricerca, alerting.
UEBA è un analista comportamentale di utenti/host, profili di base e anomalie.
SOAR - Automazione della risposta: arricchimento degli alert (TI, CMDB), orchestrazione delle azioni di containment.
TI (Threat Intelligence) - fidi IOC/TTP/vulnerabilità critiche; contesto per regole e arricchimento.
Il deposito è «caldo» 7-30 giorni per le indagini, «freddo» 90-365 + per la compilazione/retrospettiva.

Sorgenti di logi (minime)

Identità e accesso:
  • IdP/SSO (OIDC/SAML), MFA, PAM, VPN/ZTNA, directory (AD/AAD).
Punti finali:
  • EDR/AV, Sysmon/ETW (Windows), auditd/eBPF (Linux), MDM (telefoni).
Rete e perimetro:
  • Firewall (L3/L7), WAF/WAAP, bilanciatori (NGINX/Avvoy), DNS, proxy, NetFlow/sFlow/Zeek.
Cloud e piattaforme:
  • CloudTrail/Activity Logs, KMS/Key Vault, eventi IAM, Kubernets (audit, API server), sicurezza contenitori.
Applicazioni e database:
  • Ispezione ammiraglio, accesso ai pagamenti PII, DDL/diritti, eventi aziendali critici (withdraw, bonus, payout).
E-mail e collaudo:
  • Phishing/spam, DLP, clic URL, allegati.

Normalizzazione: formato unico (es. ECS/CEF), campi obbligatori: «timestamp», «src/dst ip», «user», «action», «resource», «sollest _ id/trace id».

Tassonomia delle minacce e mappatura ATT&CK

Costruisci regole e dashboard nel taglio MITRE ATT&CK: Iniziale Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, C2, Collezione/Exfiltration/Impatto.
Per ogni tattica, le rilevazioni minime e i pannelli di controllo «coverage vs. fidelity».

Criteri di alerting e priorità

Severity:
  • P1 (Critical): C2 attivo, ATC di successo/rapimento di token, crittografia, esfiltrazione dei pagamenti/PII.
  • P2 (High): implementazione nell'infrastruttura/cloud, escalation di privilegi, aggiramento MFA.
  • P3 (Medium) - Anomalia sospetta, ripetuti tentativi falliti, comportamento raro.
  • P4 (Low) - Rumore, ipotesi, corrispondenze TI senza conferma.
  • Escalation: P1 subito on-call (24 x 7), P2 ore di lavoro 1 ora, il resto è in coda.
  • Duplicazione: aggregare gli alert per oggetto/sessione per evitare la tempesta.

SLI/SLO/SLA SOC

SLI: tempo di rilevamento (MTTD), tempo di convalida (MTTA), tempo fino al containment (MTTC), percentuale di false patch (FP) e omessi (FN) nei cluster di script.

SLO (esempi):
  • MTTD P1 da 5 min; MTTC P1 da 30 minuti
  • FP-rate secondo le regole high-severity 2 %/giorno.
  • La copertura del motore ATT&CK è pari al 90% (con almeno una rilevazione).
  • SLA (esterna): accetta l'attività (ad esempio, notifica P1 ai proprietari da 15 min).

Regole di rilevamento: firme, euristica, comportamento

Sigma (esempio di accesso sospetto all'adminco fuori dal paese)

yaml title: Admin Panel Access Outside Allowed Country id: 5c6c9c1d-8f85-4a0e-8c3a-1b7cabc0b001 status: stable logsource:
product: webserver detection:
selection:
http. request. uri: /admin http. response. status: 200 filter_country:
geoip. country: /^(?!UA    PL    GE)$/
condition: selection and filter_country level: high fields: [user, ip, geoip. country, user_agent, trace_id]
falsepositives:
- Service connections from SOC/VPN (add allow-list)

KQL (esempio: aumento di login falliti + account diversi da un unico IP)

kusto
SigninLogs where ResultType!= 0 summarize fails=count(), users=dcount(UserPrincipalName) by bin(TimeGenerated, 10m), IPAddress where fails > 50 and users > 5

Applicazione (SQL, accesso al PII fuori dal grafico)

sql
SELECT user_id, count() AS reads
FROM audit_pii
WHERE ts > now() - interval '1 hour'
AND user_id NOT IN (SELECT user_id FROM roster WHERE role IN ('DPO','Support'))
AND extract(hour from ts) NOT BETWEEN 8 AND 21
GROUP BY 1 HAVING count() > 5;

UEBA e contesto

Profili di attività di base per utente/ruolo/servizio (orologio, ASN, dispositivi).
Anomalie: rari IP/ASN, nuovo device, sequenze API insolite, brusco cambio di tempo di attività.
Risk score evento = segnali (TI, anomalia, sensibilità della risorsa) x peso.

SOAR e automazione delle risposte

Arricchimento: TI-reputazione IP/dominio/hashtag, CMDB (chi possiede host/servizio), HR (status di dipendente), ruolo IAM.
Azioni: isolamento host (EDR), blocco IP/ASN/JA3, ritiro temporaneo di token/sessioni, rotazione forzata dei segreti, impedimento di prelievi o congelamento dei bonus.
Sentinelle di guardia: per le azioni critiche, apripista a due fattori; La TTL è bloccata.

Processi SOC

1. Triage: verifica del contesto, deduplicazione, riconciliazione TI, classificazione primaria per ATT&CK.
2. Indagine: raccolta di manufatti (PCAP/EDR/logi), ipotesi, timeline, valutazione dei danni.
3. Containment/Eradication - Isolamento, ritiro chiavi/token, patching, blocchi.
4. Ripristino: controllo della purezza, rotazione, monitoraggio della ripetizione.
5. RCA/Lezioni: post-incidente, aggiornamento delle regole/dashboard, aggiunta di valigette di prova.

Sintonizzazione e qualità delle rilevazioni

Modalità Shadow per le nuove regole: conta ma non blocca.
Regolution pack è una libreria di eventi buoni/cattivi per i test ICI delle regole.
Rimediazione FP: eccezioni per percorsi/ruoli/ASN; la regola «cattiveria predefinita» è solo dopo i canarini.
Monitoraggio drive - Modifica dell'attività di base, adattamento delle soglie/modelli.

Dashboard e recensioni

Operativo: alert attivi, P1/P2, mappa degli attacchi (geo/ASN), «top talkers», nastro di corrispondenza TI.
Tattica: copertura ATT&CK, trend FP/FN, MTTD/MTTC, sorgenti «rumorose».
Business: incidenti per prodotto/regione, impatto su KPI (conversione, Time-to-Wallet, rifiuti di pagamento).

Conservazione, privacy e compliance

Retenschn: almeno 90 giorni di ≥ caldi, 1 anno di archivio dove richiesto (fintech/regolatori).
PII/segreti: tornizzazione/occultamento, accesso ai ruoli, crittografia.
Requisiti legali: segnalazione degli incidenti, conservazione delle catene decisionali, coerenza oraria (NTP).

Purple Team e controllo della copertura

Threat hunting: ipotesi per TTP (ad esempio T1059), richieste ad hoc per SIEM.
Purple Team - Red + Blue Spring congiunti - Avvio TTP, controllo dei trigger, perfezionamento delle regole.
I dettagli automatici sono eventi di riferimento periodici re-play (atomic test) in prod non-prod e shadow.

Specifica iGaming/Fintech

Domini critici: login/registrazione, depositi/conclusioni, promo, accesso a PII/fine. ai rapporti.
Script: ATO/credential stuffing, card testing, bonus-abuse, accesso privilegiato ai pagamenti.
Regole: velocity su '/login ', '/withdraw', idampotenza e HMAC, mTLS su PSP, rilevazioni di accesso a tabelle con PAN/PII.
I trigger aziendali sono un forte aumento dei mancati pagamenti e dei proveback, anomalie nelle conversioni, picchi di depositi «zero».

Esempi di runbook-a (abbreviato)

P1: ATO confermato e ritiro

1. SOAR blocca la sessione, ritira i token refresh, congela le conclusioni (TTL 24 ore).
2. Informare il proprietario del prodotto/finanza; avviare password reset/2FA-rebind.
3. Controllare gli account adiacenti tramite il grafico device/IP/ASN; espandere il blocco di cluster.
4. RCA: aggiungere rilevatori di ripetizione, rafforzare la soglia velocity su «/withdraw ».

P2: Exchange sul server (T1059)

1. Isolamento EDR, rimozione memoria/manufatti.
2. L'inventario degli ultimi deploy/segreti; rotazione delle chiavi.
3. Caccia IOC al Fleet; controllo C2 in DNS/Proxy.
4. Post-incidente: Rule «Parent = nginx → bash» + Sigma per Sysmon/Linux-audit.

Errori frequenti

Sovraccarica SIEM con rumore senza normalizzazione e TTL.
Rilevamenti senza mupping su ATT&CK → «zone cieche».
Niente SOAR/arricchimento - MTTA lungo, routine manuali.
Ignora l'UEBA/comportamento - omissione degli insider lenti.
I blocchi TI globali rigidi senza TTL tagliano il traffico aziendale.
Nessun test di regressione delle regole.

Road map di implementazione

1. Inventario e normalizzazione (ECS/CEF), set minimo.
2. Matrice di rivestimento ATT&CK e rilevazioni di base high-risk.
3. SLO e code: P1-P4, on-call e escalation.
4. playbook SOAR: arricchimento, attività containment, blocchi TTL.
5. UEBA e risk-screen: profili, anomalie, controllo alla deriva.
6. Purple Team/test dei dettagli: modalità shadow, canarini, regolution pack.
7. Rendicontazione e compilazione: retensioni, privacy, business dashboard.

Totale

Il SOC maturo è la telemetria completa + rilevazioni di qualità + disciplina di risposta. Collegare le regole a MITRE ATT&CK, automatizzare l'arricchimento e il containment in SOAR, misurare il risultato con SLO, controllare regolarmente la copertura in Purple Team - e il monitoraggio sarà resistente al rumore, rispondere rapidamente alle minacce reali e mantenere le metriche aziendali.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.