Programma del corso
Percorso strutturato in 6 moduli formativi, progettato per trasformare un analista SOC già operativo in una figura più autonoma, capace di gestire casi complessi, migliorare le logiche di rilevamento e contribuire all’evoluzione del SOC.
Modulo 1 - Evoluzione del ruolo SOC Analyst Senior ∇
• Differenze operative tra analista SOC Junior, Senior e Lead
• Responsabilità tecniche e decisionali dell’analista senior
• Gestione di alert complessi e incidenti multi-fase
• Prioritizzazione basata su rischio, impatto e contesto aziendale
• Comunicazione tecnica verso IT, management e stakeholder
• Qualità dell’analisi, ownership e documentazione operativa
Modulo 2 - Analisi avanzata, correlazione e triage evoluto ∇
• Analisi avanzata di alert EDR, SIEM, identity, email e network
• Correlazione tra eventi, log source e timeline di attacco
• Costruzione di una attack story a partire da segnali deboli
• Distinzione tra falso positivo, evento sospetto e incidente reale
• Arricchimento con IOC, asset criticality, user context e threat intelligence
• Analisi di casi: phishing avanzato, account compromise, lateral movement e malware execution
Modulo 3 - Detection engineering e use case SIEM ∇
• Come nasce un use case di detection
• Traduzione di scenari MITRE ATT&CK in logiche di rilevamento
• Fonti log, prerequisiti tecnici e qualità dei dati
• Scrittura e revisione di detection logic
• Tuning delle regole per ridurre falsi positivi e alert fatigue
• Validazione dei controlli tramite test, simulazioni e scenari Purple Team
• Gestione del ciclo di vita delle regole SIEM
Modulo 4 - Threat hunting operativo ∇
• Differenza tra monitoring, investigation e threat hunting
• Hunting hypothesis: come formulare un’ipotesi investigativa
• Hunting su endpoint, identità, autenticazioni, email e rete
• Ricerca di comportamenti anomali e indicatori comportamentali
• Uso di MITRE ATT&CK per guidare attività di hunting
• Documentazione delle evidenze e conversione in nuove detection
• Esempi di hunting: persistence, suspicious PowerShell, impossible travel, brute force e data exfiltration
Modulo 5 - Incident handling e coordinamento operativo ∇
• Gestione end-to-end di un incidente complesso
• Containment, eradication e recovery dal punto di vista SOC
• Decisioni operative: quando isolare un host, disabilitare un account o bloccare indicatori
• Coordinamento con IT, infrastruttura, identity team, service desk e management
• Escalation tecnica e comunicazione durante l’incidente
• Preparazione di incident timeline, executive summary e report tecnico
• Post-incident review e lesson learned
Modulo 6 - Miglioramento continuo del SOC ∇
• KPI e metriche operative: MTTD, MTTR, MTTC, escalation rate e false positive rate
• Analisi della qualità degli alert e backlog operativo
• Playbook, runbook e standardizzazione delle procedure
• Knowledge base SOC e documentazione riutilizzabile
• Collaborazione con MDR, EDR provider e team interni
• Roadmap di maturità SOC: persone, processi e tecnologia
• Piano personale di crescita verso SOC Lead, Threat Hunter o Detection Engineer
Descrizione del corso
Il corso SOC Analyst Senior è pensato per analisti già operativi che vogliono evolvere verso un ruolo più autonomo, tecnico e decisionale all’interno di un Security Operation Center. Il percorso approfondisce le competenze necessarie per gestire alert complessi, correlare eventi provenienti da fonti diverse e contribuire al miglioramento delle capacità di detection.
Verranno affrontati temi come analisi avanzata, detection engineering, use case SIEM, threat hunting operativo, incident handling, tuning delle regole, riduzione dei falsi positivi, gestione delle escalation e coordinamento durante incidenti complessi.
Una parte importante del corso è dedicata al miglioramento continuo del SOC: metriche operative, qualità degli alert, playbook, knowledge base, lesson learned e roadmap di maturità. L’obiettivo è formare figure capaci non solo di analizzare eventi, ma anche di migliorare il modo in cui il SOC rileva, risponde e comunica.
A chi è rivolto
Analisti SOC già operativi
Figure con esperienza di base nel triage alert che vogliono consolidare competenze avanzate di analisi, correlazione e gestione incidenti.
SOC Analyst di secondo livello
Professionisti che desiderano rafforzare la capacità di investigazione, threat hunting, tuning SIEM e coordinamento operativo.
Blue Team e Incident Responder junior
Operatori tecnici che vogliono acquisire un metodo strutturato per affrontare casi complessi e contribuire alla maturità del SOC.
Informazioni corso live
Prezzo
Su richiesta
Posti limitati
Prossima data
In definizione
Nuova classe live
Frequenza
Weekend
Sabato e domenica
Formato pensato per analisti già operativi:
lezioni live nel weekend, casi realistici, discussione guidata e focus su attività avanzate di analisi, detection e risposta agli incidenti.