Observability on u-random

DLP e Wazuh

Thu, 04 Jun 2026 00:00:00 +0000

TL;DR

DLP fatto in casa: con 50 righe di Python e inotify monitoriamo in tempo reale la scrittura di file sensibili.
Pattern matching: uno switch match/case in Python 3.10+ intercetta SSN, carte di credito e codici fiscali.
Wazuh in Docker: integrazione con il manager tramite regole custom, superando i limiti di permessi e decodificatori.
Tre errori reali: come risolvere il blocco PEP 668 su Ubuntu 24.04, i permessi di docker cp e l'errore del decoder syslog.

▶ $ history

python3 -m venv ~/dlp-venv
source ~/dlp-venv/bin/activate
pip install inotify
docker cp single-node-wazuh.manager-1:/var/ossec/etc/rules/local_rules.xml ./local_rules.xml
docker exec single-node-wazuh.manager-1 chown wazuh:wazuh /var/ossec/etc/rules/local_rules.xml
tail -f /var/log/syslog

Apro la dashboard Wazuh. Nella colonna full_log c'è scritto:

Il Kernel Sospende il Giudizio

Fri, 29 May 2026 00:00:00 +0000

TL;DR

IDS (af-packet): copia del traffico → Suricata vede tutto, non può bloccare niente → [**] in fast.log
IPS (nfqueue): traffico originale trattenuto → il kernel aspetta il verdetto → [Drop] in fast.log
iptables -I INPUT -j NFQUEUE --queue-num 0 è la singola regola che trasforma il sistema
fail-open: no = fail-closed: se Suricata muore, tutto il traffico viene droppato
Il Docker bridge (br-XXXX) bypassa NFQUEUE - la SYN-ACK di ritorno viene bloccata e Wazuh si disconnette
La persistenza al reboot richiede un systemd service dedicato (non iptables-persistent, che rimuove UFW)

▶ $ history

suricata -T -c /etc/suricata/suricata.yaml -v
suricata-update
iptables -I INPUT 1 -j NFQUEUE --queue-num 0
iptables -L INPUT -n -v --line-numbers
nmap --min-rate 1000 -p 1-1000 192.168.64.3
hping3 -S --flood 192.168.64.3
cat /proc/net/tcp

Voglio vedere cosa succede quando Suricata non si limita a guardare il traffico, ma lo blocca davvero.

816 tentativi zero successi

Wed, 27 May 2026 00:00:00 +0000

TL;DR

HIDS (Wazuh agent) monitora il singolo host dall'interno - log, file, processi.
SIEM (Wazuh manager) raccoglie tutto, correla, genera alert.
HIPS (fail2ban) agisce automaticamente dopo la detection - blocca l'IP attaccante.
IDS e IPS non sono prodotti diversi: è la stessa categoria, con o senza capacità di blocco.

▶ $ history

hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.64.3 -t 4
tail -f /var/log/auth.log
tail -f /var/log/fail2ban.log

Il lab è semplice: Ubuntu con Wazuh, Kali con Hydra, una wordlist da 14 milioni di password. Obiettivo: vedere cosa succede dall'altra parte quando un attaccante tenta il brute force SSH.

IDS e IPS - detection e prevention, host e rete

Wed, 27 May 2026 00:00:00 +0000

IDS rileva, IPS blocca. HIDS/HIPS agiscono sull'host, NIDS/NIPS sulla rete. La differenza inline/non-inline determina quando il blocco avviene.

Il Postino Lavora di Notte

Tue, 19 May 2026 00:00:00 +0000

TL;DR

SMTP consegna le email, IMAP/POP3 le recuperano - protocolli separati con porte e ruoli distinti
Una workstation che apre connessioni dirette sulla porta 25 è anomala: quel traffico spetta al mail server aziendale
base64 negli allegati non è cifratura: su SMTP senza TLS, qualsiasi allegato è estraibile dal pcap in chiaro
SPF, DKIM e DMARC sono i tre record DNS che distinguono un dominio difeso da uno esposto allo spoofing

▶ $ history

tshark -r capture.pcap -Y "smtp" -T fields -e ip.src -e ip.dst -e smtp.req.command -e smtp.req.parameter
dig MX dominio.com
dig TXT _dmarc.dominio.com

Cap 1 - Security Fundamentals

Wed, 13 May 2026 00:00:00 +0000

CIA Triad, Risk Concepts, Security Controls (categorie e tipi), Logs e SIEM. Capitolo 1 del Gibson SY0-701.

Ruoli Aziendali - C-Suite e figure Security

Mon, 11 May 2026 00:00:00 +0000

Mappa delle figure dirigenziali e dei ruoli security in un'organizzazione. Utile per domande di governance e GRC sul Security+.

Security Controls - Tipi e Funzioni

Sun, 10 May 2026 00:00:00 +0000

Classificazione dei controlli di sicurezza per tipo (Technical/Administrative/Physical) e per funzione (Preventive/Detective/Corrective/Compensating/Deterrent/Directive).

Incident Response - Modiga cap 9 - Analisi e risposta agli incidenti

Wed, 06 May 2026 00:00:00 +0000

Gestione degli incidenti secondo Modiga cap 9: fasi IH, detection, analisi, prioritizzazione, SIEM tuning, containment. Nota in corso - p. 509.

SOC - Struttura e Organizzazione

Mon, 04 May 2026 00:00:00 +0000

Struttura operativa di un SOC: tier, ruoli specializzati, modelli di deployment (interno/esterno/ibrido), SLA, KPI, differenza SOC vs NOC.

Wazuh + auditd: rilevare una reverse shell con regola custom

Sat, 02 May 2026 00:00:00 +0000

Come integrare auditd con Wazuh (Docker) per rilevare bash /dev/tcp: architettura agent/manager, permessi, formato log, regola XML custom.

Incident Response - Framework e Lifecycle

Tue, 28 Apr 2026 00:00:00 +0000

Definizione di IR, confronto framework (NIST, PICERL, MITRE ATT&CK, Time Based Security) e dettaglio operativo delle fasi PICERL con checklist.

MITRE ATT&CK Framework

Tue, 28 Apr 2026 00:00:00 +0000

Adversarial Tactics, Techniques, and Common Knowledge. Matrice globale per la tassonomia dei comportamenti avversari, con guida operativa all'uso in un SOC.

df - disk free

Sun, 26 Apr 2026 00:00:00 +0000

Mostra lo spazio disponibile e usato sui filesystem montati. Primo comando da eseguire quando il disco sembra pieno o un servizio si blocca per spazio insufficiente.

du

Sun, 26 Apr 2026 00:00:00 +0000

Stima e visualizza lo spazio occupato da file e directory sul filesystem. Usato con sort per trovare chi occupa spazio — primo step dopo df quando il disco è pieno.

tee - duplica stdout su file

Sun, 26 Apr 2026 00:00:00 +0000

Legge da stdin e scrive contemporaneamente su stdout e su file. Usato con sudo per scrivere file di sistema senza aprire editor come root.

Architettura di Wazuh SIEM/XDR

Wed, 22 Apr 2026 00:00:00 +0000

Analisi dei componenti core di Wazuh: Agent, Manager, Indexer e Dashboard. Funzionamento del flusso di telemetria.

EICAR Test File - Lo standard per il test malware

Wed, 22 Apr 2026 00:00:00 +0000

Una stringa standard di 68 caratteri utilizzata per testare il corretto funzionamento di antivirus, EDR e SIEM senza usare codice malevolo reale.

Indirizzi IP e Listening Ports - Guida SOC

Wed, 22 Apr 2026 00:00:00 +0000

Interpretazione degli indirizzi IP (0.0.0.0, 127.0.0.1, ::) e delle porte in ascolto durante l'investigazione SOC.

lsof - list open files

Wed, 22 Apr 2026 00:00:00 +0000

Elenca tutti i file aperti dal sistema. Fondamentale in incident response per trovare processi sospetti, connessioni anomale e file nascosti (deleted).

Investigazione Incidenti Linux - Cheat Sheet

Mon, 20 Apr 2026 00:00:00 +0000

Comandi essenziali per l'identificazione di anomalie, processi malevoli e connessioni sospette su sistemi UNIX/Linux.

Investigazione Incidenti Windows - Cheat Sheet

Mon, 20 Apr 2026 00:00:00 +0000

Comandi e strumenti essenziali per rilevare anomalie, persistenza e account sospetti in ambiente Windows.

SOC Tiers - Ruoli e Responsabilità

Mon, 20 Apr 2026 00:00:00 +0000

Livelli gerarchici del SOC, attività operative Tier 1-3, impatto dell'AI (SOC 2.0) e vantaggi del background da Developer.

tshark - terminal Wireshark

Sun, 05 Apr 2026 00:00:00 +0000

Wireshark da terminale. Stessa logica e stessi filtri display di Wireshark GUI, ma tutto da riga di comando. Cattura traffico live o analizza file .dfir. Indispensabile su server senza GUI e per automatizzare analisi con script bash.

tcpdump - dump traffic on a network

Mon, 30 Mar 2026 00:00:00 +0000

Cattura e analizza pacchetti di rete direttamente dal terminale. Legge il traffico sull'interfaccia di rete in tempo reale o da file .dfir. Strumento fondamentale per incident response e analisi traffico.

auth.log - log di autenticazione

Wed, 25 Mar 2026 00:00:00 +0000

auth.log e' il file di log delle autenticazioni su sistemi Debian/Ubuntu. Registra login SSH, sudo, su, adduser, userdel e ogni evento PAM. E' un file di testo alterabile da root - il journal e' piu' resistente alla manomissione.

Cancellato. Ma non abbastanza.

Wed, 25 Mar 2026 00:00:00 +0000

TL;DR

testuser compare all'01:14, tenta l'escalation, poi viene cancellato alle 04:47
auth.log registra ogni evento: creazione, tre sudo falliti, disconnessione
find / -uid 1001 2>/dev/null trova i file rimasti anche dopo userdel
Cancellare un utente non cancella la sua storia - cancella solo il nome

▶ $ history

grep -E "useradd|userdel" /var/log/auth.log
grep "testuser" /var/log/auth.log
last testuser
find / -uid 1001 2>/dev/null
cat /home/testuser/.bash_history
journalctl --since "2026-03-25 04:40"

journald - systemd-journald

Wed, 25 Mar 2026 00:00:00 +0000

systemd-journald e' il demone che raccoglie e indicizza tutti i log di sistema in un database binario strutturato. A differenza di auth.log, usa FSS per rendere le modifiche rilevabili. Si legge con journalctl.

last / lastb - login history

Wed, 25 Mar 2026 00:00:00 +0000

last mostra la cronologia dei login riusciti da /var/log/wtmp. lastb mostra i login falliti da /var/log/btmp. Entrambi leggono file binari — non usare cat, usare questi comandi.

Reverse Proxy

Thu, 19 Mar 2026 00:00:00 +0000

Server intermediario che si posiziona davanti all'infrastruttura interna, accettando tutte le richieste esterne e distribuendole ai server giusti. Protegge il server, non il client.

Cut