← avanzati.it · PSA SIEM Wazuh + PAM · 01 / 10
§ Deck prodotto · v1.0 · 2026

Log che parlano
tra loro.

Wazuh SIEM integrato col nostro PAM: correlazione eventi, alert real-time, risposta automatica. Personale on-call reale, non dashboard che nessuno guarda.

Progetti e Servizi Avanzati S.r.l. · Torino · AS42425 Avanti →
§ 01 / Il problema 02 / 10

Un SIEM senza contesto è rumore a pagamento.

Migliaia di alert al giorno, falsi positivi ovunque, il critico vero sepolto sotto. Wazuh + PAM incrocia i log con le sessioni privilegiate reali.

SIEM senza contesto

Alert che nessuno guarda

  • Migliaia di eventi al giorno, zero triage reale
  • Falsi positivi in tasso tale da desensibilizzare il SOC
  • Burnout degli operatori, alert silenziati uno per uno
  • Regole statiche scritte una volta e mai più riviste
  • Il critico vero si perde nel rumore di fondo
Wazuh + PAM integrato

Alert con contesto reale

  • Eventi correlati con sessioni privilegiate PAM attive
  • Solo alert dove il contesto manca o è incoerente
  • Tuning continuo delle regole da parte del NOC
  • Risposta automatizzata per pattern noti (ban, isolate)
  • Chi è on-call riceve allarmi che hanno senso
Contesto02 / 10
§ 02 / Architettura 03 / 10

Cinque layer dal log all'intervento umano.

Dall'agent sull'host fino al turno di reperibilità. Nessun passaggio cieco, ogni layer è verificabile.

HOST 01 · Agent

Wazuh agent

  • Linux / Windows / BSD
  • Syscheck · rootcheck
  • App log · netdev log
INGEST 02 · Manager

Wazuh manager

  • Parsing · decoder
  • Rule matching
  • Storage indicizzato
CORRELATE 03 · Correlation

PAM lookup

  • Sessioni privilegiate
  • Match user+time+host
  • Gap detection
ROUTE 04 · Alert pipeline

Slack · mail · hook

  • Routing per severità
  • Paging on-call
  • Webhook per automazioni
HUMAN 05 · NOC 24/7

Persona + runbook

  • Triage reale
  • Escalation se serve
  • Tuning retroattivo
Dall'host al NOC03 / 10
§ 03 / Correlazione 04 / 10

PAM risponde al SIEM, in tempo reale.

Ogni evento privilegiato che Wazuh cattura passa per un lookup sul PAM: se c'è una sessione attiva coerente è normale operatività, altrimenti è un accesso non tracciato. Alert critico.

01
Evento SSH acquisito da Wazuh agent.
Sessione root, sudo, comando sensibile su host Linux.
02
Query real-time al PAM.
Sessione attiva per quell'utente, su quell'host, in quel momento?
03
Match trovato → evento normale.
Logged, indicizzato, nessun alert. Forensics se serve.
04
Nessun match → alert critico.
Accesso non tracciato: possibile compromissione, paging.
wazuh · correlation.live
# correlation engine · stream · pam lookup
[EVENT] sshd · user=admin · host=db-prod-01 · t=09:17:23Z
[PAM-LOOKUP] active session · match? YES · session_id=a3f
→ event normal · logged
 
[EVENT] sudo · user=admin · cmd=systemctl restart nginx
[PAM-LOOKUP] active session · match? YES · session_id=a3f
→ event normal · logged
 
[EVENT] sshd · user=root · host=app-web-07 · t=03:42:11Z
[PAM-LOOKUP] no active session · ALERT CRITICAL
[ACTION] ban IP · notify NOC · page on-call
→ runbook R-07 triggered
 
[STAT] events 12,438 · pam-matched 98.7% · critical 3 · t=24h
Il SIEM chiede, il PAM risponde04 / 10
§ 04 / Rule set & tuning 05 / 10

Trenta giorni di alert, per classe di severità.

Tuning continuo: regole aggiunte o ritirate dal NOC ogni settimana in base ai falsi positivi reali. Un SIEM che non si adatta in un mese smette di essere utile.

3-5
Critici / mese
10-20
Warning / giorno
Info (storage)
ULTIMI 30 GIORNI · 1 CELLA = 1 GIORNO (ESEMPIO INDICATIVO)
Critico
Warning
Info / routine
Tracked · ok Critico · alert nuovo Warning · routine Manutenzione · silenced
Tuning settimanale05 / 10
§ 05 / Log forensics 06 / 10

Cosa è successo il 15 marzo alle 14:30?

I log sono lì. Retention minima 13 mesi, estesa a 24 su richiesta, storage WORM append-only. Nessuno può riscrivere la storia dopo i fatti.

Retention
13 mesi default · 24 mesi su richiesta · WORM append-only
Query
Per IP, user, host, time range, severity · indice distribuito
Export
JSON / CSV firmato · chain-of-custody per audit e incident report
wazuh · query · time=2026-03-15T14:25..14:35
14:25:02INFOagent heartbeat · host=app-web-03
14:27:14INFOsshd login · user=deploy · host=app-web-03
14:28:41DEBUGpam-lookup match · session=7c2a
14:29:03WARNsudo · user=deploy · cmd=systemctl
14:30:17CRITfile integrity · /etc/passwd modified · host=app-web-03
14:30:18CRITpam-lookup · no active session for root · alert
14:30:19CRITauto-response · isolate-host target=app-web-03
14:30:22WARNnoc-page sent · runbook=R-12 · on-call=eng-3
14:31:40INFOsnapshot taken · host=app-web-03 · forensics=yes
14:32:51INFOnoc-ack · eng-3 · investigating
14:34:08WARNincident opened · id=INC-2026-0342
Retention · query · export06 / 10
§ 06 / Alert pipeline 07 / 10

Quattro classi, quattro destinazioni.

Il critico non si mischia col log di routine. Ogni classe ha il suo canale, la sua SLA di risposta, il suo runbook.

Routing
Severità → canale · niente un unico firehose
SLA
Critico minuti · warning ore · info solo storage
Runbook
Ogni alert critico è legato a procedura scritta e testata
Severità · critico
Critico R-red
data breach · escalation privilegi slack · #oncall sms · paging on-call
RISPOSTA · MINUTI
Severità · warning
Warning R-amber
brute force · port scan slack · #soc triage in turno
RISPOSTA · ORE
Severità · info
Info log only
patch applicate · login ok storage indicizzato no notifica
OK · STORAGE
Severità · manutenzione
Manutenzione flagged
scheduled work window silenced · tagged audit ok · no alert
OK · SILENCED
Routing per severità07 / 10
§ 07 / Risposta automatica 08 / 10

Active response: il SIEM agisce per primo.

Pattern noti non aspettano il NOC. Wazuh active-response esegue azioni pre-autorizzate (ban IP, isolate host, rollback config, snapshot) e lascia la firma in log.

01
Ban IP automatico su pattern.
Brute force SSH, port scan, dictionary attack noti.
02
Quarantena host compromesso.
Detach rete, keep alive solo verso management per forensics.
03
Rollback config non autorizzato.
Se un change non ha ticket e sessione PAM, torna allo stato noto.
04
Snapshot immediato per forensics.
Disco, memoria, conn attive · sigillato e archiviato WORM.
wazuh · active-response.log
# active-response · playbook executions
[AUTO-RESPONSE] ban-ip src=185.X.X.X for=24h
reason=brute-force-ssh attempts=47 window=60s
 
[AUTO-RESPONSE] host-isolate target=web-app-12
reason=suspicious-egress bytes=1.2GB dst=unknown-asn
 
[AUTO-RESPONSE] config-rollback target=fw-edge-03
reason=change-without-ticket delta=12-lines
 
[AUTO-RESPONSE] snapshot target=db-prod-01
reason=forensics-pre-investigation size=40GB worm=yes
 
[STAT] auto-actions 24h · 31 ban · 2 isolate · 1 rollback · 2 snapshot
Playbook pre-autorizzati08 / 10
§ 08 / NIS2 & ISO 27001 09 / 10

Controlli reali, non caselle spuntate.

Il SIEM non fa compliance — fa le cose che la compliance chiede, in modo che l'audit diventi una query, non un progetto.

A · Cosa copriamo

Controlli che tocchiamo

  • NIS2 art. 21 · obblighi di monitoring e detection continui
  • ISO 27001 A.16 · incident management end-to-end
  • ISO 27001 A.12.4 · logging, review e protezione dei log
  • GDPR art. 33 · breach notification entro 72h con evidenze
  • Tracciabilità forense per audit · chain-of-custody WORM
  • Runbook testati e versionati · non solo scritti
Audit = query, non emergenza
B · Cosa non siamo

Quello che resta fuori scope

  • Consulenza legale post-breach (serve un avvocato)
  • Offerta di cyber-insurance (parliamo col broker)
  • Penetration testing continuo (servizio separato, su richiesta)
  • Formazione end-user sui rischi phishing / social
  • Certificazione ISO / audit esterni (noi forniamo dati)
  • Policy aziendali e governance della sicurezza
Noi diamo dati · voi decidete processo
Compliance09 / 10
§ 09 / Adozione 10 / 10

Gli alert che arrivano, arrivano per un motivo.

Integriamo il SIEM nella vostra infra in 3-5 giorni. Tuning iniziale: 2-4 settimane. Al NOC diventa routine, non allarme continuo.
PSA S.r.l. · Torino · AS42425 · SIEM Wazuh + PAMFine