Cos'è la log analysis nella cybersecurity?

La log analysis è l'analisi sistematica dei registri di eventi generati da sistemi, applicazioni, firewall e dispositivi di rete. Permette di identificare anomalie, tentativi di intrusione e comportamenti sospetti in tempo reale o in fase forense.

Che differenza c'è tra SIEM e log analysis?

Il SIEM (Security Information and Event Management) è la piattaforma che raccoglie, correla e analizza i log da diverse fonti. La log analysis è l'attività di interpretazione dei dati. Il SIEM automatizza la log analysis su scala enterprise.

Fidem offre un servizio SIEM gestito?

Sì. Il SOC Fidem include un SIEM gestito che raccoglie i log da firewall, endpoint, server e applicazioni del cliente, li correla in tempo reale e genera alert prioritizzati con triage AI per gli analisti.

La log analysis è obbligatoria per la NIS2?

L'Art. 21 NIS2 richiede capacità di rilevamento degli incidenti e monitoraggio continuo. La raccolta e analisi strutturata dei log è il prerequisito tecnico fondamentale per soddisfare questo requisito normativo.

Log Analysis e Security Information Management

L’analisi dei log è il fondamento di qualsiasi strategia di threat detection efficace. Ogni sistema IT genera milioni di eventi al giorno — server, firewall, endpoint, applicazioni, database — e la capacità di raccogliere, normalizzare, correlare e analizzare questi dati in tempo reale è ciò che distingue un’organizzazione resiliente da una vulnerabile.

Il Ruolo della Log Analysis nella Cybersecurity Moderna

La Log Analysis nel contesto della sicurezza informatica va ben oltre il semplice archiviazione dei log. Si tratta di un processo strutturato che trasforma dati grezzi in intelligence azionabile, permettendo ai team di sicurezza di identificare pattern anomali, ricostruire la catena di attacco durante un incidente e dimostrare la compliance con le normative vigenti come GDPR e NIS2.

Fidem integra la Log Analysis all’interno del proprio SOC gestito, utilizzando il motore proprietario Defensio per la correlazione degli eventi e l’AI Triage a 3 livelli per la classificazione automatica delle anomalie.

Architettura del Servizio

Raccolta e Normalizzazione

Implementiamo collector dedicati per ogni tipo di sorgente: syslog per dispositivi di rete, Windows Event Log per gli endpoint, audit log delle applicazioni, flow data (NetFlow/sFlow) per il traffico di rete. Tutti i dati vengono normalizzati in un formato unificato per consentire la correlazione cross-source.

Correlazione e Detection

Il motore di correlazione Defensio applica regole statiche (signature-based), analisi comportamentale (baseline deviation) e modelli di machine learning per identificare le minacce. Le regole sono allineate al framework MITRE ATT&CK per garantire una copertura completa delle tattiche e tecniche avversarie.

Anomaly Detection basata su AI

Il nostro sistema di AI Triage utilizza un modello XGBoost come gatekeeper per il filtraggio iniziale degli eventi, seguito da LLM specializzati (8B/32B parametri) per l’analisi approfondita dei casi complessi. Questo approccio a 3 livelli riduce drasticamente i falsi positivi mantenendo un’altissima sensibilità.

Archiviazione e Compliance

I log vengono archiviati in conformità con i requisiti normativi (GDPR art. 30, NIS2), con retention policy configurabili, cifratura at-rest e chain of custody verificabile. La piattaforma supporta la generazione automatica di report per audit di compliance e indagini forensi.

Integrazione con l'Ecosistema Fidem

La Log Analysis è una componente fondamentale del servizio di Threat Detection e si integra nativamente con gli altri servizi Fidem:

Defensio Sensor — agisce come sensore EDR per la raccolta dei log endpoint
Defensio XT Online — fornisce dati di Attack Surface Management per la correlazione esterna
Vulnerability Assessment — i finding VAPT vengono correlati con gli eventi operativi

Per una valutazione iniziale gratuita delle tue esigenze di log management, contattaci.