Presidio e il progetto piu ambizioso che abbia mai costruito. Non e un singolo tool - e un ecosistema di sei sistemi che devono lavorare insieme senza soluzione di continuita: Wazuh per SIEM e detection, Velociraptor per EDR, Shuffle per orchestrazione SOAR, DFIR-IRIS per la gestione dei casi, MISP per la threat intelligence, e un portale SOC unificato basato su Grafana.
La prima decisione architetturale e stata critica: ogni componente gira su infrastruttura dedicata in Proxmox. Niente container condivisi, niente "facciamolo girare tutto su una macchina". Sembra overkill, ma quando Wazuh sta processando migliaia di eventi al secondo, l'ultima cosa che vuoi e che il tuo case manager si blocchi perche condivide la CPU con il SIEM.
Integrazione: il vero lavoro
Installare sei tool open source e facile. Farli comunicare tra loro e dove inizia il vero lavoro di ingegneria. Ho scritto bridge custom per connettere Wazuh a Shuffle, Shuffle a DFIR-IRIS, MISP a tutti. Ogni integrazione ha richiesto di capire profondamente le API di ogni componente, gestire formati di dati diversi, e implementare retry logic robusti.
I cinque playbook SOAR sono il cuore dell'automazione. Dal triage iniziale all'arricchimento automatico con MISP, dalla creazione automatica dei casi in DFIR-IRIS alla notifica, ogni playbook e stato testato su scenari reali. Il playbook di risposta a brute force SSH, ad esempio, correla gli eventi Wazuh con i dati MISP, crea un caso, e puo bloccare automaticamente l'IP - tutto in meno di 30 secondi.
Il portale Grafana al 95% di copertura non e nato in un giorno. Ogni dashboard e stata costruita iterativamente, parlando con chi avrebbe dovuto usarla. Metriche di sicurezza, non vanity metrics. Tempo medio di detection, tempo di response, top alert per severita, stato dei playbook - informazioni che servono davvero durante un turno SOC.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →