La gestione centralizzata dei log è uno dei modi più concreti per trasformare i requisiti NIS 2 in evidenze operative. Wazuh può raccogliere log endpoint, ricevere syslog, analizzare eventi e generare alert. Il valore di conformità dipende da cosa viene raccolto, per quanto tempo viene conservato e come vengono gestiti gli alert.
Fonti: raccolta log Wazuh, configurazione syslog Wazuh, Direttiva NIS 2, determinazione ACN obblighi di base.
Punti chiave
- Wazuh supporta raccolta, analisi e alerting centralizzati.
- Le evidenze NIS 2 richiedono sorgenti, retention, accessi e processo di review documentati.
- I log devono mappare servizi critici, identità, controlli di rete, endpoint e cloud.
- Integrità e segregazione contano quanto il volume raccolto.
- Wazuh supporta il rilevamento, ma la notifica regolatoria resta un processo di governance.
Requisiti di logging e rilevamento della NIS 2
La NIS 2 richiede misure di gestione del rischio e capacità di gestione incidenti. I materiali ACN traducono queste aspettative in logica di governance, identificazione, protezione, rilevamento, risposta e ripristino. Il logging è il livello di evidenza che collega i controlli agli eventi reali.
Mapping Wazuh verso controlli NIS 2
| Obiettivo controllo | Capacità Wazuh | Evidenza da conservare |
|---|---|---|
| Monitoraggio eventi | Raccolta agent e syslog, decoder, regole. | Inventario sorgenti, configurazioni, storico alert. |
| Rilevamento anomalie | Regole e correlazione di comportamenti sospetti. | Decisioni di tuning, alert di test, note investigation. |
| Visibilità vulnerabilità | Inventory software e vulnerability detection. | Report vulnerabilità, remediation. |
| Risposta incidenti | Workflow alert a supporto di triage ed escalation. | Ticket, log escalation, post-incident review. |
| Audit readiness | Dashboard, export e dati evento conservati. | Retention, access log, report management. |
Cosa loggare: sorgenti minime
- Servizi di identità e directory.
- Sistemi di accesso privilegiato.
- Server ed endpoint critici.
- Firewall, VPN, router e switch tramite syslog dove appropriato.
- Control plane cloud e servizi di sicurezza tramite API o forwarding.
- Backup, endpoint protection e vulnerability management.
Retention e integrità dei log
La documentazione Wazuh indica che log e alert possono essere conservati in file archive e alert, e che la retention va governata in base a requisiti legali e regolatori. Per la NIS 2, definire retention da esigenze di investigation, audit e continuità. Proteggere indici, export e backup da modifiche non autorizzate.
Alerting e incident detection
Una regola di detection è utile solo se qualcuno la riceve, la comprende e può agire. Definire soglie, escalation, orari, gestione fuori orario, review falsi positivi e responsabilità. Collegare gli alert critici ai playbook incidente.
Reporting per CdA e readiness ACN
Il management non ha bisogno del volume grezzo di log. Ha bisogno di indicatori su copertura, eventi severi, incidenti aperti, gap di rilevamento e remediation. Per soggetti regolati, gli output Wazuh devono alimentare reporting direzionale ed evidence pack.
Limiti: cosa Wazuh non copre
- Non decide la notifica legale a CSIRT Italia o ACN.
- Non sostituisce ownership di incident response.
- Non risolve da solo le evidenze sul rischio fornitore.
- Non garantisce detection completa senza copertura e tuning.
Piano di onboarding delle sorgenti log
L’onboarding deve essere graduale. Iniziare da sorgenti che supportano identità, accesso remoto, esposizione Internet, azioni privilegiate e integrità dei backup. Poi aggiungere applicazioni business e workload cloud. Ogni sorgente deve avere owner, finalità, stato parsing, criticità e cadenza di review.
| Classe sorgente | Motivo raccolta | Domanda controllo |
|---|---|---|
| Sistemi identità | Rilevare abuso account e privilege escalation. | Vediamo pattern sospetti di autenticazione? |
| Sicurezza rete | Monitorare perimetro e movimenti laterali. | Possiamo ricostruire traffico e accessi? |
| Server critici | Rilevare disruption e modifiche non autorizzate. | Possiamo provare monitoraggio sui sistemi essenziali? |
| Piattaforme backup | Proteggere recovery da manomissioni. | Possiamo rilevare cancellazione o fallimento backup? |
| Control plane cloud | Monitorare cambi amministrativi e abuso API. | Vediamo eventi cloud privilegiati? |
Modello decisionale per retention
La retention deve essere esplicita. Un modello utile separa dati hot di ricerca, dati warm di investigation e archivi cold. L’organizzazione deve documentare perché ogni periodo è sufficiente per investigation, audit e business. Se lo storage forza retention breve, il rischio deve essere visibile al management.
Controlli di integrità sulle evidenze log
- Limitare accessi amministrativi a indici e archive.
- Separare amministratori SIEM e amministratori dei sistemi monitorati dove possibile.
- Salvare configurazioni ed evidenze critiche in posizione protetta.
- Registrare modifiche a regole, decoder, retention e diritti accesso.
- Testare che le evidenze esportate siano leggibili e spiegabili dopo un incidente.
Metriche di qualità degli alert
La copertura non basta. Misurare volume alert, falsi positivi, tempo medio di triage, alert non assegnati, regole rumorose e lesson learned da detection mancate. Queste metriche mostrano se Wazuh migliora davvero il rilevamento.
Reporting pronto per gli organi
Un report trimestrale dovrebbe riepilogare asset critici monitorati, alert severi, incidenti confermati, gap detection aperti, trend vulnerabilità e remediation. Così l’operatività SIEM diventa evidenza di governance allineata alla NIS 2.
Catalogo scenari di detection
Un programma Wazuh orientato alla NIS 2 dovrebbe mantenere un piccolo catalogo di scenari. Esempi: abuso account privilegiati, fallimenti autenticazione ripetuti, processi sospetti, alert malware, modifiche servizio non autorizzate, cancellazione backup, anomalie VPN e picchi deny firewall. Ogni scenario deve avere sorgente, regola, owner ed escalation.
| Scenario | Sorgenti minime | Risposta operativa |
|---|---|---|
| Anomalia login privilegiato | Log identità, endpoint, VPN. | Verificare utente, sessione, IP sorgente e change window. |
| Manomissione backup | Piattaforma backup, log admin, endpoint. | Escalation immediata a recovery owner e incident lead. |
| Alert malware | Endpoint protection, agent Wazuh, log rete. | Contenere host, raccogliere evidenze, verificare movimento laterale. |
| Failure servizio critico | Log applicativi, sistema, eventi monitoraggio. | Valutare impatto servizio e classificazione incidente. |
Cadenza di review qualità log
La qualità dei log degrada se non viene rivista. Nuove applicazioni, servizi cloud, cambi identità, sostituzioni endpoint e integrazioni fornitore possono creare gap. Una review mensile dovrebbe confrontare inventario asset e registro sorgenti, evidenziando sistemi critici non coperti.
Workflow evidenze da alert ad audit
- L’alert viene generato e classificato per severità.
- L’analyst registra triage e asset impattato.
- L’incident owner decide se serve escalation.
- Le evidenze sono allegate a ticket o case record.
- La chiusura spiega causa, impatto e remediation.
- Il report mensile aggrega trend e gap aperti.
Questo workflow rende gli output Wazuh riutilizzabili per audit. Senza di esso, le dashboard mostrano attività, ma auditor e management non vedono se l’organizzazione ha agito sul segnale.
Navigazione della serie
- introduzione a Wazuh
- deployment passo-passo Wazuh
- Wazuh vs SIEM commerciale
- rilevamento ed event monitoring NIS2
- registri operativi e log
Per un modello operativo managed, vedi Cyber Console Aegister e vCISO Aegister.
FAQ
Per quanto tempo conservare i log?
Non esiste una risposta unica. Definire la retention da obblighi legali, investigation, risk assessment e vincoli storage. Documentare la decisione.
Wazuh supporta syslog?
Sì. La documentazione Wazuh descrive ingestione syslog per dispositivi dove non si può installare agent.
Wazuh può produrre report per il CdA?
Può fornire dati e dashboard, ma il report direzionale richiede interpretazione business, contesto di rischio e accountability.