Cosa fa#
Definisce la gerarchia operativa del SOC e gli strumenti (SIEM, EDR, Playbook) necessari per gestire il rilevamento e la risposta agli incidenti attraverso una struttura a tre livelli.
TL;DR#
graph TD
A[Log & Events] -->|SIEM| B[Tier 1: Monitor & Triage]
B -->|Playbook/AI| C{Triage}
C -->|Falso Positivo| D[Chiusura]
C -->|Escalation| E[Tier 2: Investigate & Respond]
E -->|EDR/Forensics| F[Contenimento & Recovery]
E -->|Caso APT| G[Tier 3: Hunt & Improve]
L'Evoluzione del SOC: Verso l'Analista 2.0 (Tier 2/Engineer)#
Il Tier 1 nell'era dell'AI#
Nel SOC moderno (2026), il Tier 1 "manuale" (occhi incollati ai monitor 24/7) è in via di estinzione.
- Automazione (SOAR): Le azioni ripetitive (bloccare IP, isolare host) sono delegate a script.
- AI Triage: Strumenti di AI filtrano il rumore iniziale, distinguendo tra errori utente e attacchi reali.
- Conseguenza: Il mercato non cerca più "operatori" ma Ingegneri capaci di configurare e supervisionare questi sistemi.
Il Vantaggio del Developer (Senior Engineer)#
Puntare direttamente al Tier 2/Detection Engineer è la strategia vincente per chi ha un background di sviluppo:
- Comprensione del Codice: Un analista junior segue un playbook; un developer capisce perché un exploit funziona e come bloccarlo a livello di codice.
- Automazione della Difesa: Invece di eseguire un task 100 volte, il developer scrive lo script (es.
log_analyzer_ai.py) per farlo in automatico. - Obiettivo Finale: Profilo da Purple Team Specialist (Attacco + Difesa + Automazione).
Livelli e Attività Operative#
Tier 1 — Monitor & Triage Specialist#
Il primo punto di contatto. L'obiettivo è la velocità e la pulizia del rumore.
- Focus: Monitoraggio continuo e filtraggio degli alert.
- Attività chiave:
- Controllo alert da SIEM ed EDR.
- Classificazione True/False Positive.
- Applicazione di Playbook base.
- Escalation: Passaggio al Tier 2 per casi dubbi o complessi.
Tier 2 — Incident Responder#
L'investigatore tecnico. Interviene quando l'alert è confermato o sospetto.
- Focus: Indagine approfondita e risposta attiva agli incidenti.
- Attività chiave:
- Analisi tecnica dettagliata ed escalation dal Tier 1.
- Correlazione log da fonti multiple (Network, Endpoint, Cloud, AD).
- Gestione delle fasi di Incident Response (Contenimento, Eradicazione, Recovery).
- Tuning delle regole e miglioramento dei playbook.
Tier 3 — Threat Hunter / Forensics Expert#
L'esperto senior proattivo.
- Focus: Threat Hunting, casi complessi e miglioramento strutturale.
- Attività chiave:
- Threat Hunting: Ricerca di minacce non rilevate dai sistemi automatici (IOA).
- Analisi malware e Reverse Engineering.
- Digital Forensics: Ricostruzione timeline e analisi esfiltrazione dati.
- Studio delle TTP di gruppi APT.
Strumenti Fondamentali del SOC#
SIEM (Security Information and Event Management)#
Raccoglie e correla log da tutta l'infrastruttura per generare alert centralizzati (es: wazuh).
EDR (Endpoint Detection and Response)#
Monitora le attività interne agli host. Permette al Tier 2 di ricostruire la timeline esatta delle azioni dell'attaccante.
Playbook#
Procedura operativa standard (SOP) che guida l'analista nella risposta. Fondamentale per l'automazione.
SIEM#
(Security Information and Event Management): Software centrale che raccoglie, correla e analizza i log dell'infrastruttura (es: wazuh, Splunk).
Glossario Sigle SOC (BTL1 Focus)#
| Sigla | Significato |
|---|---|
| MTTD | Mean Time to Detect — Tempo medio per accorgersi di un attacco. |
| MTTR | Mean Time to Respond — Tempo medio per isolare o risolvere la minaccia. |
| IOA | Indicators of Attack — Comportamenti sospetti in corso. |
| IOC | Indicators of Compromise — Tracce di un attacco avvenuto (IP, Hash). |
| TTP | Tactics, Techniques, Procedures — Il modus operandi dell'attaccante. |
Collegato a#
- observability — Hub Categoria
- incident-response-lifecycle — Processo operativo
- mitre-attack — Framework TTP
