Grafana e conosciuto come tool di monitoring e osservabilita. Ma quando ho iniziato a progettare il portale SOC per Presidio, mi sono reso conto che Grafana poteva essere molto di piu di un semplice dashboard di metriche. Con la giusta configurazione, puo diventare l'interfaccia unificata attraverso cui un analista SOC vede tutto: alert, casi aperti, stato dei playbook, intelligence feed, e metriche di performance.
Il segreto e nei datasource. Grafana puo connettersi a praticamente tutto: Elasticsearch (dove Wazuh scrive gli alert), PostgreSQL (dove DFIR-IRIS gestisce i casi), le API REST di Shuffle e MISP. Ogni pannello del portale mostra dati live da una fonte diversa, ma l'analista vede un'interfaccia unica e coerente.
Dashboard che contano
La tentazione con Grafana e creare dashboard bellissime ma inutili. Grafici colorati con numeri che non servono a nessuno. Ho imparato a costruire dashboard partendo dalla domanda: "Cosa deve sapere l'analista nei primi 30 secondi del suo turno?" La risposta: alert attivi per severita, casi aperti e loro stato, playbook in esecuzione o falliti, e trend delle ultime 24 ore.
Ogni dashboard in Presidio serve uno scopo specifico. L'Executive Dashboard mostra KPI per il management - MTTD, MTTR, volume alert, compliance status. L'Analyst Dashboard mostra il lavoro da fare - alert non triaggiati, casi in progress, enrichment pendenti. L'Incident Dashboard si attiva durante un incidente - timeline eventi, IOC correlati, azioni in corso.
Al 95% di copertura, il portale SOC copre quasi ogni aspetto delle operazioni di sicurezza. Il restante 5% sono edge case che richiedono accesso diretto ai singoli tool. Ma per le operazioni quotidiane, l'analista non deve mai lasciare Grafana. E questo riduce drasticamente il context switching, che e il killer silenzioso della produttivita SOC.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →