📊 Log Analysis & Monitoring: Osservabilità della Sicurezza

Target: Centralizzazione degli eventi di sistema, rilevamento delle intrusioni in tempo reale e analisi forense.

::: info L’analisi dei log è l’ultimo strato del modello Defense in Depth. Se un attaccante riesce a bypassare il firewall e l’MFA, la sua attività deve essere rilevata dai log di sistema. Monitorare significa trasformare dati grezzi in Security Intelligence. :::

1. Architettura SIEM-lite (Small Infrastructure)

In un ambiente professionale o in un laboratorio evoluto, non analizziamo i log su ogni singolo nodo. Implementiamo una centralizzazione per avere una visione olistica.

Log Gathering: Ogni macchina (Mac Pro, Laptop, VM) invia i log a un server centrale via Syslog (UDP/514).
Log Storage: Utilizzo di database indicizzati (es. Elasticsearch o Loki) per ricerche rapide.
Dashboarding: Visualizzazione dei tentativi di accesso e del traffico anomalo (es. Grafana).

2. Eventi Critici da Monitorare

Un ingegnere deve filtrare il “rumore” e concentrarsi sui segnali di compromissione (IoC - Indicators of Compromise).

Sorgente	Evento Critico	Rischio
SSH (`auth.log`)	`Failed password` ripetuti.	Attacco Brute-force / Dictionary.
Nginx (`access.log`)	`404` massivi o `SQL injection` patterns.	Vulnerability scanning / Web exploit.
Proxmox	Modifiche a configurazioni hardware VM.	Escalation di privilegi / Persistenza.
Home Assistant	Login da IP geograficamente insoliti.	Account Takeover.

3. Rilevamento Attivo con CrowdSec

Oltre al già citato Fail2Ban, ti suggerisco l’uso di CrowdSec per un approccio moderno e collaborativo.

Funzionamento: Analizza i log, identifica comportamenti malevoli e applica rimedi (banning) a livello di Firewall.
Vantaggio: Condivide gli IP malevoli con una rete globale (Crowdsourced Threat Intelligence), bloccando preventivamente gli attaccanti che hanno già colpito altri utenti.

📉 Workflow: Dal Log all’Allerta (Mermaid)

graph TD
    EV[Evento: Login Fallito] --> LOG[Scrittura Log Locale]
    LOG --> AGENT[Log Shipper: Vector / Promtail]
    AGENT --> CENT[Central Log Server: Loki / Syslog]
    CENT --> ANALYZE{Analyzer: CrowdSec / Script}
    ANALYZE -- Pattern Malevolo --> ALERT[Notifica: Home Assistant / Telegram]
    ANALYZE -- Pattern Malevolo --> BLOCK[Azione: IP Ban Firewall]
    
    style BLOCK fill:#f66,color:#fff
    style ALERT fill:#f96,color:#fff

🛠️ Integrazione con Home Assistant (Alerting Hub)

Usa Home Assistant come terminale per le notifiche di sicurezza critiche.

Esempio di automazione (concettuale):

Il server Linux rileva un accesso root via SSH.
Invia un evento via Webhook a Home Assistant.
Home Assistant invia una notifica push sul tuo smartphone: "⚠️ Accesso SSH rilevato sul nodo Proxmox-01!".

💡 Note dell’Architetto (Critical Thinking)

Log Rotation: Assicurati che la rotazione dei log sia configurata correttamente (visto nel modulo Docker). Un attacco DoS basato sul riempimento del disco tramite log eccessivi è una minaccia reale.
NTP (Time Sync): In informatica forense, il tempo è tutto. Assicurati che tutti i tuoi nodi siano sincronizzati via NTP. Log con timestamp sfasati rendono impossibile ricostruire la cronologia di un attacco.
Principio di Integrità: Se un attaccante ottiene i privilegi di root, la sua prima azione sarà cancellare i log (rm -rf /var/log/*). Per questo i log devono essere inviati istantaneamente a un server esterno.

Tags: #CyberSecurity #Logging #Monitoring #SIEM #CrowdSec #Syslog #Forensics*