Il dominio Detection del modello baseline NIS richiede ai soggetti di monitorare reti, servizi, endpoint e ambienti operativi per individuare tempestivamente eventi potenzialmente avversi. Per i team di implementazione, il rilevamento deve integrare acquisizione log, logiche di analisi, triage e escalation documentata.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Punti chiave
- I controlli DE sono orientati all’identificazione tempestiva degli eventi rilevanti per la sicurezza.
- Il monitoraggio deve includere log e segnali osservabili sui sistemi e servizi rilevanti.
- Il rilevamento dovrebbe combinare modalità proattive e reattive.
- Gli output del rilevamento devono alimentare risposta e notifica con evidenze tracciabili.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Modello operativo di rilevamento
1. Definizione del perimetro monitorato (DE.CM)
Definire quali reti, servizi, endpoint e sistemi sono monitorati per eventi potenzialmente avversi e anomalie.
2. Disponibilità di log e telemetria
Garantire che i log necessari al monitoraggio continuo siano generati, conservati e disponibili per l’analisi.
3. Logiche di rilevamento e tuning
Applicare logiche di rilevamento (ad esempio signature-based e anomaly-oriented) e ottimizzarle in base a falsi positivi/falsi negativi.
4. Processo di triage ed escalation
Classificare gli eventi rilevati, prioritizzare le analisi ed escalare quelli potenzialmente riconducibili a incidenti significativi.
5. Integrazione con la gestione incidenti
Gli esiti del rilevamento devono alimentare il processo di risposta, inclusa la raccolta evidenze per investigazione e possibili obblighi di notifica.
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Set minimo di evidenze per prontezza DE
| Area DE | Obiettivo pratico | Evidenze tipiche |
|---|---|---|
| Perimetro monitoraggio | Copertura chiara di asset e servizi rilevanti | Matrice copertura monitoraggio, registro perimetro |
| Prontezza log | Disponibilità log per monitoraggio continuo | Policy log, impostazioni retention, inventario sorgenti |
| Qualità rilevamento | Logiche efficaci e mantenute | Ruleset di detection, registri tuning, review qualità alert |
| Flusso triage | Gestione e prioritizzazione ripetibile | SOP triage, criteri escalation, registri casi |
| Handoff alla risposta | Trasferimento evidenze verso processo incidenti | Registri handoff investigazione, timeline eventi |
Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base
Checklist operativa per 90 giorni
- Validare il perimetro DE rispetto a sistemi e servizi critici.
- Riconciliare sorgenti log e retention per la telemetria rilevante agli incidenti.
- Introdurre tuning periodico delle logiche di detection e qualità alert.
- Formalizzare criteri di triage ed escalation per eventi potenzialmente significativi.
- Testare l’handoff tra rilevamento e risposta verificando integrità evidenze e timeline.
FAQ
La sola raccolta log è sufficiente per la conformità DE?
No. Il rilevamento richiede copertura monitorata, logica di analisi, triage e escalation operativa, non solo conservazione log. Fonte: Guida ACN gestione incidenti
Il rilevamento deve essere solo signature-based?
No. La guida supporta combinazione di metodi; approcci a regole e ad anomalie possono convivere in base al rischio e al contesto operativo. Fonte: Guida ACN gestione incidenti
Come si collega DE agli obblighi di notifica?
DE è la fase a monte: eventi identificati e correttamente escalati possono evolvere in incidenti soggetti a risposta e, se applicabile, notifica. Fonti: Guida ACN gestione incidenti, Determinazione ACN obblighi di base