Corso di formazione IBM QRadar SIEM: da Principiante a Esperto

Modulo 1: Fondamenti SIEM, Architettura e Panoramica dell'Ecosistema

Fornisce una comprensione completa dei fondamenti del SIEM (Security Information and Event Management), dell'architettura della piattaforma IBM QRadar, delle sue integrazioni ecosistemiche e del più ampio panorama delle analisi della sicurezza, inclusi XDR, SOAR e le piattaforme di threat intelligence.

1.1 Fondamenti delle Analisi della Sicurezza e SIEM

• Il panorama SIEM: evoluzione dalla gestione dei log alle analisi della sicurezza
• SIEM vs. SOAR vs. XDR: comprendere la convergenza degli strumenti di sicurezza
• Componenti core del SIEM: raccolta dei log, normalizzazione, correlazione e alerting
• Flusso di lavoro dell'analista SOC: rilevamento, triage, indagine e risposta
• Panoramica del framework MITRE ATT&CK e il suo ruolo nella mappatura SIEM

1.2 Architettura della Piattaforma IBM QRadar

• Architettura QRadar on-premises: Event Processor, Log Manager, Console e Flow Processor
• QRadar su Cloud: architettura multi-tenant, modelli di ingestione e scalabilità
• Distribuzione ibrida cloud QRadar: combinazione di funzionalità on-prem e cloud
• Opzioni di distribuzione: Virtual Appliances, Hardware Appliances e SaaS
• Alta Disponibilità (HA) e configurazioni Active-Passive vs. Active-Active

1.3 Componenti QRadar e Navigazione nella Console

• Console IBM QRadar: panoramica dell'interfaccia, workspace, dashboard e navigazione
• Apps complementari, QRadar App Framework e IBM App Exchange
• Context Explorer, Risk Analyzer e integrazione threat intelligence
• Modello dati: Hosts, Devices, Protocols e Categories in QRadar

1.4 L'Ecosistema QRadar

• IBM QRadar SOAR: integrazione di orchestrazione della sicurezza e risposta automatizzata
• IBM QRadar EDR: integrazione rilevamento e risposta endpoint
• Integrazione Threat Intelligence (feed VTI, feed di minacce personalizzati)
• Integrazione con strumenti SIEM: Splunk, Elastic SIEM, IBM QRadar (gestione delle sorgenti log)

1.5 Integrazione con la Suite di Sicurezza IBM

• Integrazione IBM QRadar SOAR per automazione e orchestrazione dei playbook
• Integrazione IBM QRadar EDR per telemetria endpoint
• Integrazione IBM QRadar VTI (Vulnerability and Threat Intelligence)
• Apps e add-on di IBM QRadar App Exchange
• Integrazione piattaforma di rete IBM QRadar (NFI)

Competenze Allineate al Mercato: Fondamenti SIEM, Security Information and Event Management, Architettura Piattaforma IBM QRadar, Distribuzione QRadar On-Prem, Architettura Cloud QRadar, Sicurezza Hybrid Cloud, Operazioni SOC e SIEM, Analisi della Sicurezza, Integrazione XDR, Integrazione Piattaforma SOAR, Piattaforma Threat Intelligence (TIP), Mappatura Framework MITRE ATT&CK, Convergenza Strumenti di Sicurezza, Architettura Sicurezza Enterprise, Gestione Log e Analytics, Scalabilità SIEM e Capacity Planning, Configurazione Alta Disponibilità (HA), Navigazione e Configurazione Console QRadar

Modulo 2: Gestione Sorgenti Log, Ingestione Dati e Normalizzazione

Approfondimento della configurazione delle sorgenti log, strategie di raccolta dati, normalizzazione dei log e protocolli essenziali per stabilire una visibilità di sicurezza aziendale trasversale negli ambienti on-prem, cloud e ibridi.

2.1 Configurazione Sorgenti Log e Protocolli

• Metodi di raccolta log: Syslog (RSYSLOG), Connessioni di Rete (CEF), Common Event Format (CEF) e QRadar Common Event Format (CEF)
• Protocollo CEF: header, nomi delle estensioni, estensioni personalizzate e mappatura CEF-to-CEF
• Raccolta log basata su rete: NetFlow v5/v9, IPFIX (sFlow)
• Raccolta basata su agent (IBM QRadar Agent) per la visibilità endpoint
• Configurazione sorgenti log Active Directory, DNS, DHCP, HTTP, SMTP e database
• Best practices per la distribuzione delle sorgenti log: sorgenti ad alto throughput, compressione e crittografia

2.2 Ingestione Dati e Capacity Planning

• Comprensione del volume giornaliero dei file log (GLP) e della capacità di ingestione dati eventi giornalieri
• Politiche di ritenzione dei dati e gestione della retention basata sulla conformità
• Priorizzazione delle sorgenti log e filtraggio eventi per controllare i costi
• Capacity planning per distribuzioni SIEM su scala enterprise
• Calcoli di sizing e ottimizzazione delle prestazioni per ambienti su larga scala

2.3 Normalizzazione e Classificazione dei Log

• Il Motore di Normalizzazione QRadar: mappatura dei formati log nativi ai protocolli QRadar
• Gestore Proprietà Sorgente Log e mappatura dei protocolli
• Creazione di sorgenti log personalizzate per log proprietari
• Mappaggio eventi, flussi e sorgenti log
• Regole di normalizzazione e risoluzione dei problemi di parsing

Competenze Allineate al Mercato: Gestione Sorgenti Log, Configurazione Syslog, Protocollo CEF, Connessioni di Rete (CEF), Distribuzione Agent QRadar, Raccolta Log Active Directory, Raccolta Log DNS e DHCP, Raccolta Log HTTP/S e SMTP, Integrazione Raccolta Log Database (CEF), Raccolta NetFlow e IPFIX, Distribuzione SIEM Senza Agent, Strategia Enterprise di Raccolta Log, Normalizzazione Log, Mappatura Protocolli, Configurazione Sorgenti Log Personalizzate, Parsing e Classificazione Eventi, Stima Volume Log Giornaliero (DLV), Capacity Planning SIEM, Ottimizzazione Prestazioni per SIEM su Grande Scala, Retention Dati Guidata dalla Conformità

Modulo 3: Rilevamento, Correlazione e Sviluppo di Regole

Il cuore delle operazioni SIEM: creazione, test e gestione delle regole di rilevamento, dalle semplici regole di evento alle complesse regole di correlazione composta che identificano attacchi, anomalie e violazioni delle policy.

Il cuore delle operazioni SIEM: creazione, test e gestione delle regole di rilevamento, dalle semplici regole di evento alle complesse regole di correlazione composta che identificano attacchi, anomalie e violazioni delle policy.

3.1 Regole Evento e Regole di Aggregazione

• Regole Evento: filtraggio, estrazione dei campi e creazione di attributi personalizzati dagli eventi grezzi
• Regole di Aggregazione: conteggio e raggruppamento degli eventi per IP, protocollo, utente, ecc.
• Azioni delle regole di aggregazione: notifiche, soglie del contatore e proprietà personalizzate
• Attivazione regola, ordinamento regola e logica di esecuzione regola

3.2 Regole di Correlazione Composta

• Creazione di regole di correlazione composta: unione dei dati da più sorgenti
• Tipi di regola: Evento, Aggregazione e Correlazione Composta
• Componenti della regola composta: trigger, aggregazioni, correlazioni e azioni
• Logica di correlazione: correlazione temporale, soglia di correlazione e correlazione contestuale
• Proprietà delle regole di previsione e correlazione: livelli di confidenza, severità ed escalation
• Scrittura efficace delle regole di correlazione: evitare il fatigue degli alert e garantire la qualità del segnale

3.3 Regole di Rilevamento per Tecniche MITRE ATT&CK

• Regole mappate alle tecniche MITRE ATT&CK: Accesso Iniziale, Esecuzione, Persistenza, Escalation dei Privilegi, Evasione Difesa, Accesso Credenziali, Scoperta, Movimento Laterale, Raccolta, Comando e Controllo (C2), Esfiltrazione
• Rilevamenti personalizzati per specifiche categorie di attacco:
• Regole per: Brute Force, Port Scanning, Comunicazione Malware, Minaccia Interna, Movimento Laterale, Escalation dei Privilegi, Esfiltrazione Dati, Comando e Controllo (C2)
• Regole per: Fallimenti Autenticazione Brute-Force, Port Scanning, SQL Injection, DNS Tunneling, Escalation dei Privilegi, Movimento Laterale tramite Pass-the-Hash

3.4 Threat Hunting con le Regole QRadar

• Metodologia proattiva di threat hunting utilizzando QRadar
• Creazione di regole per il rilevamento di minacce sconosciute/zero-day
• Analisi comportamentale e rilevamento delle deviazioni dalla baseline

Competenze Allineate al Mercato: Sviluppo Regole Evento, Creazione Regole di Aggregazione, Sviluppo Regole Correlazione Composta, Progettazione Regole Correlazione Personalizzate, Mappatura MITRE ATT&CK, Ingegneria Rilevamento Minacce, Mappatura Tecniche di Attacco (Accesso Iniziale, Esecuzione, Persistenza, Escalation dei Privilegi, Evasione Difesa, Accesso Credenziali, Scoperta, Movimento Laterale, Raccolta, Comando e Controllo, Esfiltrazione), Rilevamento Comunicazione Malware, Rilevamento SQL Injection, Rilevamento DNS Tunneling, Regola Escalation Privilegi, Rilevamento Brute Force, Rilevamento Movimento Laterale, Rilevamento Minaccia Interna, Rilevamento Esfiltrazione Dati, Rilevamento Comando e Controllo (C2), Gestione Alert Fatigue, Ottimizzazione e Sintonizzazione Regole, Ingegneria Regole di Rilevamento SOC, Threat Hunting Proattivo

Modulo 4: Motore Offense QRadar e Investigazione Incidenti

Approfondimento del motore offense di QRadar: creazione degli offense, flussi di lavoro investigativi, analisi contestuale, gestione dei falsi positivi, triage e gestione degli incidenti.

4.1 Il Motore Offense

• Creazione delle offense, aggregazione e gestione del ciclo di vita
• Proprietà dell'offense: severità, confidenza, stato e attribuzione
• Logica di aggregazione offense: raggruppamento degli eventi correlati in incidenti significativi
• Escalation delle offense, assegnazione e gestione del flusso di lavoro

4.2 Investigazione Incidenti e Analisi Contestuale

• Context Explorer per l'analisi approfondita degli eventi e la ricostruzione della timeline
• Analisi timeline evento: ricostruzione cronologica degli incidenti di sicurezza
• Analizio IP e arricchimento reputazione (Threat Intel)
• Contesto Utente e Asset: attività utente, inventario host e analisi rischio asset
• Eventi correlati nelle viste dettagliate offense ed evento
• Correlazione eventi, raggruppamento eventi e raccolta prove

4.3 Integrazione Threat Intelligence

• Integrazione feed Vulnerability and Threat Intelligence (VTI)
• Arricchimento automatizzato threat intelligence con IBM QRadar VTI
• Upload feed di minacce personalizzati e profili threat actor
• Contesto threat intelligence nelle offense e analisi del rischio

4.4 Gestione Falsi Positivi e Sintonizzazione Regole

• Identificazione e classificazione dei falsi positivi nel Motore Offense
• Regole di soppressione falsi positivi e flussi di lavoro di soppressione
• Sintonizzazione delle regole: riduzione del rumore mantenendo la sensibilità di rilevamento
• Documentazione degli incidenti falsi positivi per il miglioramento continuo

Competenze Allineate al Mercato: Gestione Motore Offense QRadar, Investigazione e Analisi Incidente, Investigazione Minacce, Utilizzo Context Explorer, Analisi Timeline Evento, Analisi Reputazione IP, Analisi Rischio Asset, Arricchimento Threat Intelligence, Integrazione Feed VTI, Gestione Falsi Positivi, Sintonizzazione Alert e Riduzione Rumore, Flusso di Lavoro Risposta Incidente SOC, Ciclo di Vita Incidente Sicurezza, Analisi Indicatori di Compromissione, Attribuzione Cyber Threat

Modulo 5: Gestione Vulnerabilità QRadar (QVM) e Risk Manager (QRM)

Approfondimento di IBM QVM: integrazione scansione vulnerabilità, priorizzazione vulnerabilità basata sul rischio, configurazioni gestione del rischio e valutazione postura sicurezza guidata dal rischio.

5.1 IBM QRadar Vulnerability Manager (QVM)

• Architettura QVM: integrazione con scanner Nessus, Qualys e Rapid7


• Flussi di lavoro scansione vulnerabilità e pianificazione scan
• Parsing risultati valutazione vulnerabilità e integrazione QRadar
• Correlazione punteggio CVSS e classificazione severità vulnerabilità
• Analisi trend vulnerabilità e priorizzazione remediation

5.2 IBM QRadar Risk Manager (QRM)

• Architettura QRM: motore calcolo rischio e metodologia scoring rischio
• Configurazione regole rischio: criticità asset, probabilità sfruttamento vulnerabilità, profili rischio asset
• Calcolo punteggio rischio: combinazione dati vulnerabilità, threat intel, dati offense e valore asset
• Classificazione asset basata sul rischio e configurazione dashboard rischio
• Priorizzazione asset guidata dal rischio e priorizzazione remediation guidata dal rischio

Competenze Allineate al Mercato: Valutazione e Gestione Vulnerabilità, IBM QRadar Vulnerability Manager (QVM), Correlazione Punteggio CVE, Integrazione Scansione Vulnerabilità, Integrazione Qualys/Nessus, Priorizzazione Vulnerabilità Basata sul Rischio, IBM QRadar Risk Manager (QRM), Calcolo Punteggio Rischio, Valutazione Criticità Asset, Remediation Guidata dal Rischio, Configurazione Dashboard Rischio, Analisi Trend Vulnerabilità, Gestione Vulnerabilità Enterprise, Valutazione e Gestione Rischio Enterprise

Modulo 6: QRadar SOAR, Automazione e Risposta Incidenti

Copre IBM QRadar SOAR (Security Orchestration, Automation, and Response), orchestrazione playbook, automazione runbook e automazione risposta incidenti essenziali per le moderne operazioni SOC.

6.1 Panoramica IBM QRadar SOAR

• Orchestrazione sicurezza e risposta automatizzata: definizione e valore
• Architettura e componenti QRadar SOAR: playbook, incidenti, azioni automazione e data actions
• Integrazione QRadar SOAR: collegamento SIEM, EDR, threat intelligence e sistemi ticketing (ServiceNow, Jira)
• SOAR vs automazione tradizionale: orchestrazione flusso di lavoro guidata da playbook

6.2 Progettazione ed Esecuzione Playbook

• Creazione playbook: costruzione flussi di lavoro investigativi e di risposta automatizzati
• Trigger playbook: creazione offense, trigger regole e attivazione manuale
• Azioni playbook: arricchimento IP, blocco IP, creazione ticket, query feed threat intelligence
• Condizioni playbook e logica branching

6.3 Automazione Risposta Incidenti

• Risposta automatica incidenti: dall'alert al containment in minuti
• Threat hunting automatizzato: investigazione minacce guidata da playbook
• Containment incidente automatizzato: blocco IP, isolamento endpoint e sospensione account
• Flussi di lavoro risposta incidente automatizzata per ransomware, phishing, attacchi brute-force e minacce interne

6.4 Integrazione con Sistemi Esterni

• Integrazioni QRadar SOAR con ServiceNow, Jira, Slack, email e sistemi webhook-based
• Integrazione API personalizzata con piattaforme Threat Intelligence
• Integrazione EDR per azioni endpoint automatizzate
• Automazione analisi payload (file, URL, dominio)

Competenze Allineate al Mercato: Orchestrazione Sicurezza, Automazione AI e Risposta (SOAR), IBM QRadar SOAR, Automazione Playbook, Design Runbook, Orchestrazione Flusso di Lavoro Risposta Incidente Automatizzata, Automazione Sicurezza Basata su API, Integrazione Threat Intelligence, Automazione Containment Incidente, Analisi Minacce Automatizzata, Integrazione ServiceNow per Sicurezza, Automazione Sistemi Ticketing, Automazione Risposta Endpoint, Blacklisting IP Automatizzata, Automazione Risposta Phishing, Automazione Risposta Ransomware

Modulo 7: Forensics QRadar, Network Forensics e Analisi Dati

Copre IBM QRadar Incident Forensics (QRIF) e capacità di indagine forense, network forensics (NFI) per l'analisi del packet capture e tecniche di analisi forense utilizzate nell'investigazione degli incidenti.

7.1 IBM QRadar Forensics (QRIF)

• QRIF: raccolta e archiviazione dati forensi per le indagini
• Sorgenti dati forensi: packet captures, log eventi e forensics endpoint
• Analisi forense: ricostruzione timeline, analisi file e analisi network forensics
• Preservazione prove forensi e catena di custodia
• Strumenti e tecniche di analisi forense all'interno di QRIF

7.2 Network Forensics e Ispezione (NFI)

• Network forensics: analisi packet capture e ispezione traffico di rete
• Analisi dati flusso: NetFlow, sFlow e IPFIX nel network forensics QRadar
• Analisi protocolli: HTTP, DNS, SMTP, SSH, FTP e ispezione protocolli personalizzati
• Rilevamento minacce attraverso network forensics: beaconing C2, esfiltrazione dati e rilevamento movimento laterale
• Identificazione pattern traffico sospetti

7.3 User and Entity Behavior Analytics (UEBA)

• UEBA: comprensione baseline comportamento utente e rilevamento anomalie
• Sorgenti dati UEBA: Active Directory, proxy log, endpoint log, DLP log, log autenticazione, cloud log
• Scoring UEBA: punteggi rischio utente e punteggi rischio entità
• Rilevamento minacce guidato da UEBA: account compromessi, minacce interne ed esfiltrazione dati

Competenze Allineate al Mercato: QRadar Incident Forensics (QRIF), Raccolta Dati Forensi, Investigazione e Analisi Forense, Network Forensics, Analisi Packet Capture, Analisi Dati Flusso, Rilevamento Minacce Attraverso Network Forensics, User and Entity Behavior Analytics (UEBA), Rilevamento Anomalie Utente, Rilevamento Minaccia Interna, Rilevamento Account Compromesso, Esfiltrazione Dati attraverso Comportamento Utente, Rilevamento Beaconing C2, Movimento Laterale Attraverso Network Forensics, Digital Forensics and Incident Response (DFIR), Preservazione Prove e Catena di Custodia, Analisi Protocolli, Forensics Log Sicurezza, Threat Hunting Analitico di Rete

Modulo 8: Cloud SIEM, SIEM-as-Code, Compliance e Operazioni SIEM

Valuta le operazioni IBM QRadar, scaling, reporting compliance, integrazione cloud SIEM, pratiche detection-as-code e governance SOC essenziali per la distribuzione SIEM su scala enterprise.

8.1 Operazioni e Amministrazione QRadar

• Amministrare QRadar: ruoli utente, permessi e policy di sicurezza
• Audit configurazioni QRadar e log accesso
• Report programmati e design report personalizzato per management e compliance
• Task programmati: backup/restore, pulizia database e manutenzione
• Configurazione server Syslog per forward log SIEM
• Aggiornamenti software e gestione patch per appliances QRadar

8.2 Reporting Compliance e Mappatura Regolamentare

• Requisiti SIEM PCI DSS e reporting compliance QRadar
• Mappatura conformità HIPAA, GDPR, SOX, NIST CSF e ISO 27001 con report QRadar
• Reporting audit regolamentare: template report personalizzati per auditor PCI DSS e HIPAA
• Monitoraggio compliance in tempo reale e dashboard continua conformità

8.3 SIEM-as-Code e Infrastructure as Code

• Gestione regole SIEM con versioning: distribuzione regole basata su Git
• Terraform e Ansible per provisioning e configurazione appliances QRadar
• Pipeline CI/CD per regole SIEM e playbook
• Automazione basata su API QRadar per distribuzione e gestione regole

8.4 Cloud SIEM e Sicurezza Hybrid Cloud

• Integrazione sorgenti log cloud: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor


• Strategie SIEM native cloud: SIEM per ambienti SaaS (AWS, Azure, GCP, Office 365, AWS)
• Integrazioni SIEM Microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs, Google Cloud Logging
• Monitoraggio identità e accesso cloud: IAM, Active Directory, Entra ID
• Protezione workload cloud e integrazione SIEM

8.5 Identity Threat Detection

• L'identità come nuovo confine di minaccia: rilevamento compromissione account
• Rilevamento minacce Active Directory: Kerberoasting, AS-REP roasting, attacchi ticket Golden/Sid
• Rilevamento bypass Multi-Factor Authentication (MFA)
• Monitoraggio Privileged Identity Management (PIM)

8.6 Zero Trust Monitoring

• Monitoraggio architettura Zero Trust: controlli identità, dispositivo e rete
• Monitoraggio microsegmentazione e validazione enforcement policy


• Reporting conformità Zero Trust tramite integrazione SIEM

8.7 Operazioni SOC e Governance SIEM

• Metriche e KPI SOC: MTTR (Mean Time to Respond), MTTD per monitoraggio SIEM
• Valutazione maturità SOC e miglioramento SOC guidato da SIEM


• Governance SIEM: gestione regole, tracciamento falsi positivi e miglioramento continuo
• Best practices operative SIEM: monitoraggio, alerting e procedure escalation

Competenze Allineate al Mercato: Amministrazione QRadar, Operazioni e Gestione SIEM, Gestione Compliance SIEM, Reporting Compliance SIEM PCI DSS, Compliance SIEM HIPAA e GDPR, Compliance SIEM SOX e ISO 27001, Mappatura SIEM NIST CSF, Monitoraggio Continuo Compliance, Reporting Compliance Personalizzato, SIEM-as-Code e Infrastructure as Code, Terraform per SIEM, Ansible per Deployment SIEM, CI/CD per Regole SIEM, Automazione API QRadar, Integrazione Cloud SIEM, AWS CloudTrail SIEM, Integrazione Microsoft Sentinel, Google Cloud Logging SIEM GCP, Azure Monitor SIEM, Integrazione SIEM Office 365, SIEM Native Cloud, Monitoring Zero Trust, Rilevamento Minacce IAM, Rilevamento Minacce Identità, Rilevamento Minacce Active Directory, Rilevamento Attacchi Kerberos, Monitoraggio Identità Privilegiata, Sicurezza Multi-Factor Authentication (MFA), Gestione Metriche e KPI SOC, Valutazione Maturità SOC, Best Practices Operative SIEM, Governance Risposta Incidenti, Gestione Ciclo di Vita Regole SIEM, Governance Enterprise SIEM

Modulo 9: Progetto Finale e Scenari Minacce Reali

Un capstone hands-on completo che simula scenari di sicurezza enterprise inclusi rilevamento minacce, investigazione e risposta incidenti utilizzando IBM QRadar.

9.1 Progetto Finale: Scenario Sicurezza Enterprise

• Setup ambiente enterprise simulato con sorgenti log realistiche e scenari attacco
• Distribuzione sorgenti log e configurazione policy raccolta log
• Creazione regole di rilevamento mappate a MITRE ATT&CK
• Investigazione dati offense reali in QRadar ed esecuzione analisi forense
• Progettazione e distribuzione playbook SOAR per risposta automatizzata
• Generazione report compliance per PCI DSS, HIPAA e GDPR
• Esecuzione capacity planning e scaling della distribuzione SIEM

9.2 Scenari Minacce Reali

• Attacchi simulati: deployment ransomware, minaccia interna, movimento laterale, attacchi brute-force, supply chain attacks e phishing
• Rilevamento ransomware: movimento laterale, staging dati e rilevamento movimento laterale
• Minaccia interna: tentativi esfiltrazione dati e rilevamento anomalie
• Rilevamento attacco supply chain: rilevamento accesso vendor compromesso
• Risposta phishing: blocco URL automatizzato e flussi di lavoro investigazione email
• Threat hunting zero-day: rilevamento minacce sconosciute utilizzando tecniche di hunting senza regole
• Rilevamento Advanced Persistent Threat (APT) utilizzando UEBA e analisi forense

Competenze Allineate al Mercato: Consegna Progetto Sicurezza Capstone, Simulazione Enterprise SIEM, Design Scenario Minaccia Reale, Deployment Regole Rilevamento MITRE ATT&CK, Investigazione Incidente SOC, Design Playbook QRadar SOAR, Simulazione Risposta Ransomware, Rilevamento Minaccia Interna, Automazione Risposta Phishing, Rilevamento Attacco Supply Chain, Threat Hunting Zero-Day, Rilevamento Advanced Persistent Threat (APT), Capacity Planning e Scaling SIEM, Reporting Multi-Compliance (PCI DSS, HIPAA, GDPR), Risposta Minacce Enterprise, Investigazione Minacce Forensi, Arricchimento Threat Intelligence, Containment Incidente Automatizzato, Simulazione Operazioni SOC, Pratica Ingegneria SIEM Full-Scale