Vai al contenuto
BastionSec
Contattaci
Managed · Rileva & Rispondi

Monitoraggio continuo e risposta agli incidenti su retainer. Onesti su cosa è e cosa non è.

Centralizziamo i log, configuriamo regole di detection e teniamo un retainer di incident response per quando qualcosa va storto. Non vendiamo un SOC 24/7 finché non abbiamo la capacità reale di gestirlo: partiamo da qui, con una roadmap chiara verso quello.

  • Monitoraggio continuo + alerting + IR su retainer. Senza promesse di copertura 24/7.
  • Log centralizzati e SIEM-lite: visibilità reale, non una dashboard vuota.
  • Detection e playbook IR mappati su MITRE ATT&CK.
ContattaciSicurezza continua
Diciamolo subito, per onestà: oggi NON offriamo un SOC con copertura 24/7/365. Vendere un SOC che non si ha la capacità di presidiare è il tipo di promessa di facciata che evitiamo. Offriamo monitoraggio continuo, alerting e risposta agli incidenti su retainer, con una roadmap dichiarata verso capacità SOC man mano che cresciamo.

Cosa intendiamo per Detection & Response

Prevenire non basta: prima o poi qualcosa supera le difese. Detection & Response è la capacità di accorgersene in fretta e reagire in modo ordinato, invece di scoprire l'incidente settimane dopo da un cliente o da un riscatto.

Concretamente: raccogliamo e centralizziamo i log delle fonti che contano (identità, endpoint, rete, cloud), configuriamo regole di rilevamento, generiamo alert utili (non rumore) e teniamo pronti playbook di incident response per contenere e rimediare.

Le due metà del servizio

Detection senza response è solo allarme; response senza detection è solo pompieri. Servono entrambe.

Detection: monitoraggio continuo

Ingestione log centralizzata (SIEM-lite), regole di correlazione, alerting su segnali rilevanti, dashboard di stato e revisione periodica delle detection.

Response: IR su retainer

Playbook di incident response pronti, ruoli e canali definiti in anticipo, contenimento e rimedio quando scatta un incidente, post-mortem e lezioni apprese.

Cosa include

  • Centralizzazione dei log delle fonti chiave: identità/SSO, endpoint/EDR, firewall e rete, cloud e SaaS critici.
  • SIEM-lite: aggregazione, normalizzazione e ricerca dei log, con conservazione adeguata.
  • Regole di detection mappate su MITRE ATT&CK: tecniche e tattiche degli attaccanti come riferimento, non firme generiche.
  • Alerting tarato: soglie e correlazioni per ridurre i falsi positivi e far emergere ciò che conta.
  • Playbook di incident response: procedure per scenari tipici (account compromesso, ransomware, data exfiltration, accesso anomalo).
  • Retainer IR: ore dedicate alla risposta, con tempi di reazione concordati per gravità (severità/SLA definiti nel retainer).
  • Post-incident: analisi della causa radice, rimedio e aggiornamento delle detection.
  • Reportistica periodica su eventi, alert e stato della copertura.

Onestà sui confini

Per non venderti aria, ecco cosa questo servizio è e cosa non è, oggi.

Non è un SOC 24/7 (oggi)

Non presidiamo h24 con turni notturni. Il monitoraggio è continuo come raccolta e regole; la risposta umana avviene in finestre e tempi concordati nel retainer. La copertura 24/7 è sulla roadmap, non un claim attuale.

Non sostituisce le difese di base

Detection & Response presuppone igiene già fatta: MFA, patching, backup, hardening. Se mancano, partiamo da lì: il monitoraggio non tappa buchi strutturali.

Non garantiamo zero incidenti

Nessuno può. Riduciamo il tempo di scoperta e l'impatto, ma la sicurezza assoluta non esiste: diffida di chi te la promette.

Non è forense d'aula

Facciamo analisi tecnica e contenimento; perizie legali e catena di custodia forense per il tribunale sono un'altra disciplina, che eventualmente coordiniamo con specialisti.

Come ci arriviamo

Dalla visibilità alla risposta, con la maturità che cresce nel tempo. Le persone tarano le detection e gestiscono gli incidenti; l'automazione abbatte il rumore.

  1. 1

    Assessment delle fonti

    Quali log esistono, quali mancano, cosa è davvero monitorabile oggi.

  2. 2

    Centralizzazione log

    Colleghiamo le fonti chiave a un SIEM-lite, con conservazione adeguata.

  3. 3

    Detection & tuning

    Regole mappate su MITRE ATT&CK e taratura per ridurre i falsi positivi.

  4. 4

    Playbook IR

    Procedure, ruoli e canali definiti prima che serva un incidente.

  5. 5

    Operatività su retainer

    Monitoraggio continuo, alert gestiti e risposta nei tempi concordati.

  6. 6

    Roadmap verso SOC

    Aumentiamo copertura e automazione man mano che cresce l'esigenza e la capacità.

Stack & metodologie

Lavoriamo a livello di categoria, integrando le fonti che già hai: provider di identità/SSO, EDR sugli endpoint, firewall NGFW, log di cloud e SaaS. Il SIEM-lite aggrega e correla; non ti vincoliamo a un singolo prodotto.

Metodo di riferimento: MITRE ATT&CK per modellare tecniche e detection, principi NIST per il ciclo di incident response (preparazione, rilevamento, contenimento, eradicazione, ripristino, lezioni apprese), e coerenza con i controlli di logging e gestione incidenti dell'Annex A di ISO/IEC 27001:2022.

Modello e prezzo

Setup iniziale a progetto (centralizzazione log, detection, playbook), poi retainer mensile per monitoraggio continuo e ore di incident response. Il retainer definisce severità e tempi di reazione.

Per ambienti complessi e per esigenze che richiedono copertura estesa, il modello è su richiesta. Vedi la pagina prezzi per le fasce.

Domande frequenti

Offrite un SOC 24/7?

Non oggi, e non lo spacciamo per tale. Offriamo monitoraggio continuo (raccolta log e detection sempre attive) e risposta agli incidenti su retainer, con tempi di reazione concordati. La copertura 24/7 presidiata è sulla nostra roadmap: te lo diciamo chiaro, non te lo vendiamo prima di poterlo erogare.

Cosa significa 'monitoraggio continuo' allora?

Significa che raccolta dei log, regole di detection e alerting sono attivi senza interruzione. La parte di analisi e risposta umana avviene nelle finestre e nei tempi di reazione definiti nel retainer, in base alla gravità.

Cos'è il SIEM-lite?

Una raccolta e correlazione log dimensionata per startup/PMI: centralizza le fonti che contano e ti dà ricerca e alert, senza il costo e la complessità di un SIEM enterprise che non ti serve ancora.

Perché citate MITRE ATT&CK?

È il framework che cataloga tattiche e tecniche reali degli attaccanti. Mappiamo le detection su ATT&CK per coprire comportamenti concreti, non solo firme generiche, e per ragionare sulle lacune di copertura.

Cosa succede quando scatta un incidente?

Parte il playbook: contenimento, indagine tecnica, eradicazione e ripristino, con ruoli e canali già definiti. A freddo facciamo un post-mortem con causa radice e aggiorniamo le detection per evitare che si ripeta.

Ci garantite che non subiremo attacchi?

No, e diffida di chi lo promette. Riduciamo drasticamente il tempo di scoperta e l'impatto di un incidente, ma il rischio zero non esiste. Per questo l'IR su retainer è parte integrante del servizio.

Servizi collegati

Zero Trust

Riducendo la superficie d'attacco, Zero Trust rende il monitoraggio più efficace e gli alert più significativi.

Scopri

Dispositivi gestiti

L'EDR sugli endpoint è una delle fonti chiave del monitoraggio: lo configuriamo e lo gestiamo.

Scopri

Sicurezza continua

Detection & Response vive dentro un retainer più ampio che tiene viva la tua postura nel tempo.

Scopri il retainer

Te ne accorgeresti se ti attaccassero adesso?

Raccontaci la tua esigenza: guardiamo quali log e quale visibilità hai oggi e ti diciamo, onestamente, dove sei scoperto.

Contattaci