Progettazione e implementazione di un SIEM aziendale: dalla modellazione alla costruzione

The objective of this thesis is to analyze the usefulness, implementation and adaptation of a SIEM for enterprise use, which is in line with what are the main market needs and current regulations at the Italian and European level, taking a look at the architecture of such a tool. A SIEM, an acronym for Security Information and Event Management, is an IT system implemented to monitor events generated by an organization's hardware machines and network to detect threats that could compromise the entire infrastructure as quickly as possible. In the field of cybersecurity, a SIEM is a useful and effective tool, which can be coupled with other tools, for example, for malware detection or network flow analysis; and it is essential to adapt this tool to as many attack scenarios as possible that could occur. One specific attack is analyzed in the paper: the Golden Ticket attack. The stages of the attack are presented in detail and what events it generates are highlighted, so as to understand how to best configure SIEM to be able to detect such an attack.

L’obiettivo della presente tesi è quello di analizzare l’utilità, l’implementazione e l’adattamento di un SIEM per uso aziendale, che sia in linea con quelle che sono le principali esigenze del mercato e le normative vigenti a livello italiano ed europeo. Un SIEM, acronimo di Security Information and Event Management, è un sistema informatico attuo a monitorare gli eventi generati dalle macchine hardware e la rete di un’organizzazione per rilevare in modo più rapido possibile le minacce che potrebbero compromettere l’intera infrastruttura. Nel campo della sicurezza informatica un SIEM è uno strumento utile ed efficace, che può essere affiancato ad altri tool, ad esempio, per il rilevamento di malware o per l’analisi del flusso di rete; ed è fondamentale adattare questo strumento al maggior numero possibile di scenari di attacco che si potrebbero verificare. Nel documento si analizza un attacco specifico: il golden ticket attack. Vengono presentate in dettaglio le fasi di attacco e si evidenzia quali eventi esso genera, in modo da capire come configurare al meglio il SIEM per poter rilevare tale attacco.