La soluzione tecnica
Per realizzare tale infrastruttura SIEM, è stato necessario, innanzitutto, rivolgersi a esperti in architetture di rete e SIEM che progettassero e curassero il lancio dell’infrastruttura ArcSight a livello globale. I consulenti di Spike Reply hanno da subito guidato il processo e attualmente ne curano anche l’ampliamento presso le filiali nazionali della capogruppo.
Dopo l’implementazione, all’infrastruttura sono stati gradualmente collegati gli eventi relativi ai vari componenti IT. Gli sviluppatori di contenuti si sono assicurati che, da un lato, gli eventi venissero rilevati senza errori dall’infrastruttura e, dall'altro, che offrissero supporto al GSOC per quanto riguarda allarmi, ottimizzazione e risoluzione degli eventi. Fin dall’inizio, gli analisti dei diversi ambiti specialistici sono stati riuniti in un team con il compito di valutare la grande mole di occorrenze e classificarle in base alla loro criticità. Il passo successivo ha riguardato la creazione del settore IM (Incident Management) e del sotto-settore IR (Incident Response), responsabili della gestione operativa e tecnica degli incidenti di sicurezza IT. In caso di rilevazione di un incidente, il team, in collaborazione con i reparti aziendali interessati, ha il compito di contenere e neutralizzare, nonché documentare, l’evento critico. Gli esperti di Spike Reply coadiuvano queste attività fin dall’avvio del progetto presso tutte le filiali nazionali.