Cos'è la threat detection?

La threat detection è il processo di identificazione delle minacce informatiche in tempo reale attraverso l'analisi del traffico di rete, dei log di sistema e dei comportamenti anomali. È il cuore operativo di un Security Operations Center (SOC).

Come funziona il SOC di Fidem?

Il SOC Fidem opera h24 con analisti dedicati e triage AI. Raccoglie dati da Sensor (rete interna), XT (superficie esterna), endpoint e log applicativi. Ogni alert viene classificato per priorità e gestito secondo procedure di incident response.

Che cos'è il triage AI?

Il triage AI è il sistema di intelligenza artificiale che pre-analizza e classifica automaticamente gli alert di sicurezza, distinguendo i falsi positivi dalle minacce reali. Riduce il tempo di risposta e permette agli analisti umani di concentrarsi sugli incidenti critici.

Il SOC sostituisce il reparto IT interno?

No. Il SOC si occupa specificamente di sicurezza: monitoraggio minacce, incident response e analisi forense. Il reparto IT interno continua a gestire infrastruttura, help desk e operatività quotidiana. I due team collaborano.

01 INTRUSION DETECTION

Servizio CSOC Managed

Esperienza, tecnologia e sicurezza per i tuoi dati per la tua infrastruttura per i tuoi clienti per il tuo business per il tuo futuro digitale

Sicurezza managed
per la Tua Infrastruttura.

Il nostro servizio di Intrusion Detection, gestito dal nostro CSOC e integrato con il framework Defensio®, offre protezione continua per l’infrastruttura IT. Monitoriamo la rete in tempo reale, rilevando minacce con tecnologie avanzate, analisi comportamentale e intelligence sulle minacce, garantendo un approccio proattivo alla sicurezza informatica.

la tua Difesa Ibrida.

Grazie alla nostra metodologia ibrida, uniamo tecnologie avanzate e supervisione umana per distinguere minacce reali da falsi positivi, rilevando comportamenti anomali, tentativi di intrusione e attività dannose. Questo approccio garantisce una difesa completa, superando le limitazioni delle soluzioni automatizzate e assicurando risposte precise agli incidenti di sicurezza.

la tua Difesa stratificata.

l servizio di Intrusion Detection, combinato con i nosri servizi di Email Security e Endpoint Protection, offre una difesa stratificata per proteggere l’infrastruttura aziendale. Monitorato dal nostro CSOC, questo approccio integrato garantisce una protezione continua contro le minacce informatiche, superando le soluzioni automatizzate.

Quali minacce rileviamo?

Attività sospette e minacce interne: Comportamenti anomali di dispositivi ed utenti che potrebbero indicare una compromissione
Attacchi alla rete: Port scanning, tentativi di intrusione, attacchi DDoS, exploit di vulnerabilità note.
Botnets e C2: Reti di computer o dispositivi infetti utilizzati per lanciare attacchi.
Malware: Virus, trojan, ransomware, spyware e altre forme di software malevolo.
Esfiltrazione di dati: Tentativi non autorizzati di trasferire dati verso internet.

Come funziona?

Intelligence sulle minacce: I nostri sistemi si aggiornano in tempo reale tramite database online, garantendo protezione continua contro le minacce più recenti e gli attacchi mirati
Analisi approfondita del traffico: I nostri sistemi analizzano ogni pacchetto di dati in entrata e in uscita dalla tua rete per identificare traffico anomalo e potenziali minacce.
Analisi comportamentale: I nostri esperti ed i nostri sistemi analizzano il comportamento degli utenti e dei sistemi per identificare attività sospette e anomalie.
Rilevamento delle firme: Utilizziamo database aggiornati delle firme di attacchi noti per identificare rapidamente le minacce comuni.

Threat Detection di Nuova Generazione

Il servizio Next-Gen Threat Detection & SOC di Fidem rappresenta l’evoluzione del tradizionale SIEM (Security Information and Event Management) verso un modello di detection proattiva basato sull’intelligenza artificiale. A differenza dei sistemi rule-based tradizionali che possono rilevare solo minacce note, il nostro motore di detection combina signature matching, analisi comportamentale e machine learning per identificare anche le minacce zero-day e le tecniche di evasione più sofisticate.

Architettura di Detection

Il motore di Threat Detection Defensio opera su tre dimensioni parallele: Detection basata su signature (regole Sigma/YARA allineate a MITRE ATT&CK per coprire le TTP note), Detection comportamentale (baseline del traffico normale e alerting su deviazioni statisticamente significative), e Detection ML (modelli di machine learning addestrati su dataset di minacce reali per identificare anomalie che sfuggono alle prime due dimensioni).

Sorgenti di Dati

Il sistema raccoglie e normalizza dati da molteplici sorgenti: firewall log, syslog dei dispositivi di rete, Windows Event Log degli endpoint, flow data (NetFlow/sFlow), DNS query log, proxy log, email gateway log, e i dati provenienti dai sensori Defensio Sensor deployati nella rete aziendale.

Correlazione Multi-Sorgente

Il valore aggiunto del nostro servizio risiede nella capacità di correlare eventi provenienti da sorgenti diverse per ricostruire la kill chain completa di un attacco. Un singolo evento sospetto in isolamento potrebbe essere un falso positivo, ma quando correlato con altri indicatori provenienti da sorgenti diverse, rivela il quadro completo della minaccia.

Risposta Automatizzata

Per le minacce ad alta confidenza, il sistema può attivare risposte automatizzate: isolamento dell’endpoint, blocco dell’IP sorgente, quarantena della mail sospetta, notifica al team SOC. Le policy di auto-response sono configurabili per cliente e per tipo di minaccia, garantendo un equilibrio tra velocità di risposta e rischio di falsi positivi.

Per attivare il servizio di Threat Detection, contattaci.

Next-Gen SOC e Conformità NIS2 (D.Lgs. 138/2024)

Il servizio Next-Gen Threat Detection & SOC di Fidem soddisfa direttamente gli obblighi dell’Art. 21 del D.Lgs. 138/2024 (NIS2) relativi al monitoraggio continuo e alla gestione degli incidenti:

Monitoraggio continuo h24: il CSOC Fidem monitora la tua infrastruttura 24 ore su 24, 365 giorni l’anno — requisito esplicito dell’Art. 21 per i soggetti essenziali e importanti.
Rilevamento e risposta agli incidenti: il motore di detection multi-strato (signature + comportamentale + ML) identifica le minacce significative e avvia la procedura di incident response gestita, incluso il supporto alla notifica obbligatoria al CSIRT Italia entro 24 ore.
Correlazione multi-sorgente: la raccolta centralizzata di log da firewall, endpoint, DNS, email e sensori di rete risponde all’obbligo di gestione centralizzata degli eventi di sicurezza.
Evidence pack per ACN: il servizio genera documentazione continua degli alert gestiti, delle risposte agli incidenti e delle attività di monitoraggio — essenziale per le ispezioni dell’Agenzia per la Cybersicurezza Nazionale previste da fine 2026.

Stai valutando l’adeguamento NIS2? Scopri il percorso completo di adeguamento NIS2 con Fidem — dalla Gap Analysis all’implementazione operativa.

01

INTRUSION DETECTION