Corso SOC, Incident Response e Threat Hunting
Il corso SOC, incident response e threat hunting di Innoform prepara chi difende l'azienda a rilevare, rispondere e cercare attivamente le minacce. Dalla struttura di un Security Operations Center alle metodologie di incident response, dal threat hunting proattivo alla protezione di ambienti cloud e identità: 12 ore di formazione avanzata, disponibili in e-learning o in presenza.
Richiedi il Programma DettagliatoPrevenire non basta: serve saper rilevare, rispondere e cacciare le minacce
Un alert che resta in coda per ore. Un sistema compromesso scoperto settimane dopo l'intrusione. Un attaccante che si muove lateralmente nella rete senza che nessuno lo rilevi. Quando la prevenzione non ferma l'attacco, la differenza la fa la capacità di risposta.
L'hardening e il monitoraggio riducono la superficie di attacco, ma non eliminano il rischio. Serve un team che sappia analizzare gli alert, condurre un triage efficace, isolare un sistema compromesso, raccogliere le evidenze e coordinare la risposta. Serve la capacità di non aspettare che gli alert arrivino, ma di andare a cercare le minacce prima che si manifestino.
Questo corso prepara chi difende l'azienda in prima linea. È il livello successivo alla cybersecurity tecnica e fa parte dei percorsi di formazione cybersecurity per aziende di Innoform.
Cosa si impara, modulo per modulo
Il corso copre l'intero ciclo della difesa attiva: dalla struttura di un SOC alla risposta agli incidenti, dalla ricerca proattiva delle minacce alla protezione degli ambienti cloud e delle identità. Il formato base prevede 6 moduli in 12 ore. Per le aziende che vogliono approfondire, sono disponibili moduli aggiuntivi.
Formato base (12 ore)
SOC e modelli operativi
Struttura e funzionamento di un Security Operations Center: ruoli, flussi di lavoro, livelli di analisi e modelli organizzativi. Come si costruisce un SOC efficace e come si integra con il resto dell'organizzazione.
Incident Response
Metodologie di risposta agli incidenti: le fasi operative dalla rilevazione al contenimento, dall'eradicazione al ripristino. Gestione delle prove digitali, documentazione e coordinamento del team durante un incidente.
Threat Hunting
Tecniche proattive di ricerca delle minacce all'interno dei sistemi aziendali. Come formulare ipotesi, dove cercare gli indicatori di compromissione e come trasformare i risultati del hunting in regole di rilevamento.
Cloud Security
Protezione degli ambienti cloud (IaaS, PaaS, SaaS): configurazioni sicure, controllo degli accessi, monitoraggio delle risorse e gestione delle responsabilità condivise con il provider.
IAM e PAM
Gestione delle identità e degli accessi privilegiati in ambienti complessi. Principi del minimo privilegio, separazione dei ruoli, monitoraggio degli account privilegiati e gestione del ciclo di vita delle credenziali.
Secure Architecture
Principi di progettazione sicura delle infrastrutture: Zero Trust, defense in depth, segmentazione di rete e micro-segmentazione. Come costruire un'architettura che limiti l'impatto di un'eventuale intrusione.
Moduli aggiuntivi (disponibili su richiesta)
Threat Intelligence operativa
Come raccogliere, valutare e utilizzare informazioni sulle minacce per anticipare gli attacchi. Introduzione ai framework di riferimento e alle fonti di threat intelligence applicabili al contesto aziendale.
Pensato per chi gestisce incidenti e minacce reali
Il corso è costruito su scenari che replicano situazioni operative reali. I partecipanti affrontano alert da analizzare, incidenti da gestire e tracce da seguire. L'approccio è quello del SOC: ricevi l'informazione, valuti la gravità, decidi come agire, documenti l'esito.
Il tuo team è pronto a gestire un incidente di sicurezza? Scopri come prepararlo.
ContattaciCosa sa fare il tuo team alla fine del corso
✓ Operare all'interno di un SOC seguendo ruoli, livelli e flussi di lavoro definiti
✓ Condurre il triage di un alert e decidere le azioni di risposta appropriate
✓ Gestire un incidente dalla rilevazione al contenimento, raccogliendo e preservando le prove digitali
✓ Formulare ipotesi di threat hunting e cercare indicatori di compromissione nei sistemi
✓ Proteggere ambienti cloud applicando configurazioni sicure e controlli sugli accessi
✓ Gestire identità e accessi privilegiati con il principio del minimo privilegio
✓ Applicare i principi di Zero Trust e defense in depth alla progettazione dell'infrastruttura
Cosa cambia dopo il corso
Gli alert non restano in coda senza risposta. Il team sa distinguere un falso positivo da un incidente reale, sa isolare il problema e sa documentare ogni passo. Le minacce non si cercano solo quando si manifestano: il team sviluppa la capacità di andare a cercarle prima che causino danni.
Il cambiamento più profondo è nel metodo: il team passa dalla difesa passiva alla difesa attiva. Non aspetta che qualcosa succeda. Rileva, risponde, caccia. E quando l'incidente arriva, sa cosa fare.
Un esempio concreto di cosa si fa durante il corso
Ecco un esempio di esercitazione che il corso può prevedere, a seconda della modalità scelta. Il team riceve un alert e deve gestire l'incidente dall'inizio alla chiusura:
Fase 1: Alert e triage
Il team riceve un alert dal SIEM che segnala un comportamento anomalo su un endpoint. Deve valutare la gravità, decidere se è un falso positivo o un incidente reale e assegnare la priorità.
Fase 2: Contenimento
Confermato l'incidente, il team isola il sistema compromesso per evitare la propagazione. Documenta le azioni intraprese e inizia la raccolta delle evidenze.
Fase 3: Analisi e risposta
Il team analizza i log per ricostruire la timeline dell'attacco: da dove è entrato l'attaccante, cosa ha fatto, quali sistemi sono stati coinvolti. Sulla base dell'analisi, decide le azioni di eradicazione.
Fase 4: Debrief
Il formatore guida la revisione dell'intero processo: cosa ha funzionato, dove si poteva intervenire prima, quali procedure vanno aggiornate. Il team discute le lezioni apprese e le azioni di miglioramento.
Nei percorsi in presenza, la simulazione può essere svolta su ambienti di laboratorio dedicati. Nella versione e-learning, gli scenari sono integrati nella piattaforma.
A chi si rivolge questo corso
Il corso è pensato per chi ha la responsabilità della sicurezza attiva dell'azienda. Serve una base tecnica solida e familiarità con i concetti di amministrazione di sistemi, reti e monitoraggio. Per chi si occupa anche di governance e conformità normativa, è disponibile il corso Cyber Risk Management e Compliance NIS2.
SOC analyst e incident responder
Chi lavora già nella rilevazione e nella risposta, o vuole iniziare. Il corso struttura le competenze di triage, analisi e gestione degli incidenti in un metodo operativo completo.
Security engineer
Chi progetta e mantiene le difese tecniche dell'azienda. Il corso approfondisce le architetture Zero Trust, la gestione delle identità privilegiate e la protezione degli ambienti cloud, completando il profilo con le competenze di risposta agli incidenti.
Team di sicurezza IT
Chi fa parte del team che gestisce la sicurezza operativa dell'infrastruttura. Il corso allinea le competenze del gruppo sulle metodologie di rilevazione, risposta e threat hunting.
Chi tiene il corso
Formatore specializzato in SOC e incident response
Il corso è condotto da un professionista con esperienza diretta nella gestione di incidenti di sicurezza e nelle operazioni di un SOC. Il profilo include: conduzione di incident response in contesti aziendali, attività di threat hunting, progettazione di architetture di sicurezza e gestione di identità e accessi privilegiati.
L'approccio è operativo: simulazioni di incidenti, analisi di scenari reali e discussione delle decisioni critiche che un team di sicurezza deve prendere sotto pressione.
Come si svolge il corso
Il corso è disponibile in due modalità: e-learning (fruibile in autonomia da qualsiasi dispositivo) oppure in presenza presso la sede dell'azienda. In entrambi i casi la durata base è di 12 ore.
La modalità e-learning consente a ogni partecipante di seguire il corso con i propri tempi, senza interrompere le attività operative. La modalità in presenza permette di lavorare su simulazioni di incidenti e scenari calati nel contesto specifico dell'azienda.
Il corso può rientrare nei piani finanziati dai fondi interprofessionali. Il nostro team ti supporta nella verifica dei requisiti e nella gestione della pratica.
Materiali forniti al termine del corso
Attestato di partecipazione
Ogni partecipante riceve un attestato nominativo al termine del corso, utile per la documentazione formativa interna dell'azienda.
Playbook di incident response
Tra i materiali che possono essere forniti: un modello di playbook con le fasi operative della risposta agli incidenti, adattabile alle procedure aziendali esistenti.
Checklist di triage
Su richiesta, è possibile ricevere una checklist operativa per il triage degli alert: cosa verificare, come classificare la gravità e quando attivare la procedura di risposta.
Domande frequenti sul corso
Il corso è adatto a chi non ha mai lavorato in un SOC?
Sì, a condizione di avere una base tecnica solida. Il corso parte dalla struttura e dal funzionamento di un SOC prima di affrontare incident response e threat hunting. Non serve esperienza pregressa in un SOC, ma è necessaria familiarità con l'amministrazione di sistemi, reti e log.
Che differenza c'è con il corso di hardening e monitoraggio?
Il corso di hardening e monitoraggio si concentra sulla prevenzione: ridurre la superficie di attacco e configurare il logging. Questo corso parte da dove finisce quello: rilevazione delle minacce, triage degli alert, risposta agli incidenti e ricerca proattiva delle minacce.
Si lavora su incidenti simulati durante il corso?
Nella modalità in presenza, il corso può prevedere la simulazione di un incidente end-to-end. Nella versione e-learning, gli scenari sono integrati nella piattaforma. Contattaci per verificare le opzioni disponibili.
Il corso copre la cloud security?
Sì. Uno dei moduli è dedicato alla protezione degli ambienti cloud (IaaS, PaaS, SaaS), con focus su configurazioni sicure e controllo degli accessi. Il corso tratta il cloud come parte dell'infrastruttura da difendere, non come tema a sé.
Il corso si integra con le procedure aziendali già esistenti?
Sì. Le metodologie di incident response e i flussi operativi trattati nel corso sono progettati per essere adattabili alle procedure già in uso nell'azienda. L'obiettivo è rafforzarle, non sostituirle.
Il corso è finanziabile con fondi interprofessionali?
In molti casi sì. I percorsi di formazione avanzata sulla cybersecurity possono rientrare nei piani finanziati dai fondi interprofessionali. Il nostro team ti supporta nella verifica dei requisiti e nella gestione della pratica. Contattaci per verificare le opportunità disponibili.
Gli altri percorsi di cybersecurity
SOC, incident response e threat hunting sono il cuore della difesa attiva. Per costruire un programma completo, dalla consapevolezza dei dipendenti alla governance del rischio, sono disponibili percorsi dedicati:
Scopri tutti i percorsi nella pagina Formazione Cybersecurity per Aziende.
Prepara il Tuo Team a Rilevare e Rispondere alle Minacce
Contattaci per ricevere il programma dettagliato del corso e scegliere la modalità più adatta al tuo team di sicurezza: e-learning o in presenza.