Descrizione Prodotto

MicroSIEM è la soluzione definitiva per l’hardening automatizzato e il monitoraggio continuo di infrastrutture Linux. Progettato per PMI e startup che necessitano di protezione enterprise-grade senza la complessità dei SIEM tradizionali, MicroSIEM trasforma server vulnerabili in sistemi fortificati conformi agli standard internazionali.

Attraverso una console web intuitiva, MicroSIEM permette di applicare configurazioni di sicurezza basate su best practice consolidate (CIS Benchmarks, NIST, DISA STIG) e di monitorare in tempo reale ogni attività sospetta o non conforme. Il sistema rileva automaticamente asset nella rete, applica hardening personalizzato in base al ruolo del server e genera alert immediati su qualsiasi deviazione dalle policy di sicurezza.

Disponibile in due versioni:

  • MicroSIEM Base: Hardening e monitoring completo
  • MicroSIEM + Intellidog: Aggiunge threat intelligence, exploit detection e virtual patching

Caratteristiche Principali

🛡️ Hardening Automatizzato

Configurazione Sistema Operativo:

  • Kernel hardening tramite sysctl (network stack, memory protection, kernel modules)
  • Mandatory Access Control con AppArmor o SELinux (policy predefinite e custom)
  • Filesystem hardening: mount options (noexec, nosuid), permission enforcement
  • Service minimization: disabilitazione automatica servizi non necessari
  • User management: policy password robuste, sudo restriction, shell timeout

Modelli Predefiniti per Compliance:

  • NIS2 Directive: Template conformi agli obblighi di cybersecurity
  • ISO 27001: Controlli tecnici Annex A (A.8, A.9, A.12)
  • PCI-DSS v4.0: Requirement 2 (secure configurations)
  • CIS Benchmarks: Level 1 (essenziali) e Level 2 (avanzati)
  • Custom: Creazione template personalizzati per esigenze specifiche

Modelli per Ruolo Server:

  • Web Server: Hardening Apache/Nginx, ModSecurity, TLS/SSL config
  • Database Server: MySQL/PostgreSQL hardening, network isolation
  • Application Server: Java/Node.js/Python environment security
  • Gateway/Firewall: Routing sicuro, NAT hardening, VPN config
  • DNS Server: BIND/Unbound hardening, DNSSEC

Testing e Rollback:

  • Dry-run mode: Simula modifiche senza applicarle
  • Staged deployment: Test su staging prima di produzione
  • Automatic rollback: Ripristino automatico se server unreachable dopo 5 minuti
  • Configuration versioning: Storico modifiche con diff visualizer
  • Health checks: Verifica post-hardening (servizi attivi, connectivity)

📊 Monitoring in Tempo Reale

Audit Logging Avanzato:

  • auditd integration: Syscall monitoring con regole pre-configurate
  • File integrity monitoring: Hash SHA-512 di file critici (/etc, /bin, /usr/bin)
  • Command logging: Tracciamento completo comandi privilegiati
  • Sudo activity: Log dettagliato chi fa cosa con sudo
  • Login monitoring: Successi/fallimenti, orari anomali, geoIP tracking

Network Monitoring:

  • Connection tracking: TCP/UDP connections con stato (ESTABLISHED, LISTEN)
  • Remote access monitoring: SSH, RDP, VNC session tracking
  • Port monitoring: Alert su porte inaspettatamente aperte
  • Traffic analysis: Volume anomalo, protocolli inusuali
  • DNS monitoring: Query DNS sospette (DGA domains, tunneling)

Security Events Detection:

  • Privilege escalation attempts: SUID/SGID abuse, kernel exploit patterns
  • Rootkit detection: Kernel module inspection, hidden processes
  • Configuration tampering: Unauthorized changes to critical files
  • Service anomalies: Unexpected service starts/stops
  • User anomalies: Account creation, password changes, privilege modifications

Performance Monitoring:

  • CPU, RAM, Disk I/O per correlation security events
  • Process monitoring (high CPU = cryptominer?)
  • Network bandwidth usage
  • Integration con metriche business (downtime = incident?)

🚨 Alerting Multi-Canale

Notification Channels:

  • Email: SMTP configurabile, template HTML personalizzabili
  • Slack: Webhook integration con rich formatting e thread
  • Telegram: Bot integration per notifiche mobile instant
  • WhatsApp Business API: Per organizzazioni enterprise
  • Webhook generici: Integration custom (PagerDuty, Opsgenie, etc.)
  • SMS (via provider terzi): Per alert critici

Alert Severity Levels:

  • Critical: Compromissione confermata, azione immediata richiesta
  • High: Attività altamente sospetta, investigazione urgente
  • Medium: Anomalia rilevata, review necessaria
  • Low: Info per audit trail, nessuna azione immediata
  • Info: Eventi non-security per troubleshooting

Alert Intelligence:

  • Deduplication: Evita spam di alert identici
  • Aggregation: Raggruppa alert correlati in single incident
  • Throttling: Rate limiting per evitare notification flood
  • Escalation: Se alert non acknowledged entro X minuti → escalation manager
  • Scheduling: Quiet hours configurabili (no alert notturni per Low severity)

Alert Customization:

  • Custom rules: Crea alert su condizioni specifiche (regex su log, threshold metriche)
  • Filtering: Alert solo per asset/severity/orari specifici
  • Routing: Alert diversi a team diversi (SSH failures → NetOps, sudo abuse → SecOps)

🎛️ Gestione Centralizzata

Asset Discovery:

  • ARP scanning: Discovery automatica host su rete locale
  • Subnet scanning: Scansione CIDR per identificare tutti i server
  • Import da file: CSV/TXT con lista IP per bulk import
  • Cloud integration (roadmap): Auto-discovery AWS EC2, Azure VM, GCP Compute
  • Agent-based discovery: Agent comunica automaticamente con CMS

Deployment Automatizzato:

  • SSH key-based: Authentication via chiavi ellittiche (Ed25519)
  • Ansible-like: Orchestrazione configurazioni su fleet di server
  • Parallel execution: Deploy simultaneo su N server
  • Progress tracking: Real-time status deploy con log dettagliato
  • Pre-flight checks: Validazione connettività, OS compatibility, dependencies

Role-Based Access Control (RBAC):

  • Sysadmin: Full access, può modificare tutto
  • Team Leader: Gestione team, deploy su asset assegnati, reporting
  • Operator: Deploy configurazioni predefinite, monitoring read-only
  • Reporter: Solo visualizzazione dashboard e generazione report
  • Auditor: Read-only completo per audit trail

Multi-Tenancy (roadmap v2.5):

  • MSP possono gestire clienti multipli
  • Isolamento dati tra tenant
  • Branding personalizzabile per tenant
  • Billing per tenant

📈 Reportistica e Compliance

Compliance Dashboards:

  • Real-time compliance score: Percentuale conformità per framework (NIS2, ISO, PCI)
  • Control mapping: Quali controlli sono implementati, quali mancano
  • Gap analysis: Prioritizzazione remediation per colmare gap
  • Historical trends: Evoluzione compliance nel tempo
  • Multi-framework view: Confronta conformità tra framework diversi

Report Templates:

  • Executive Summary: 1-pager per management (status, trend, risks)
  • Technical Report: Dettaglio configurazioni, evidenze tecniche
  • Audit Report: Per auditor esterni (evidenze, timestamp, approvals)
  • Compliance Report: Mapping asset → controlli → compliance status
  • Incident Report: Timeline eventi security, azioni intraprese

Export Formats:

  • PDF (branding personalizzabile)
  • HTML (interattivo con grafici)
  • CSV (per analisi custom)
  • JSON (per integration automation)
  • DOCX (per editing ulteriore)

Scheduled Reports:

  • Daily: Security events summary per team operativo
  • Weekly: Compliance status per manager
  • Monthly: Executive summary per C-level
  • Quarterly: Audit-ready report per compliance officer

🧠 Modulo Intellidog (Premium)

Intellidog è il cervello analitico di MicroSIEM che trasforma il monitoring da reattivo a proattivo attraverso threat intelligence e correlation avanzata.

Threat Intelligence Integration:

  • MISP: Malware Information Sharing Platform (community + private feeds)
  • AlienVault OTX: Open Threat Exchange con milioni di IoC
  • Shodan: Internet-wide scanning data per asset exposure
  • VirusTotal: File/URL/IP reputation checking
  • AbuseIPDB: IP blacklist con confidence scoring
  • Custom feeds: Import IoC da fonti proprietarie (STIX 2.x format)

Exploit Detection Engine: Correlazione multi-sorgente per determinare se vulnerabilità è attivamente sfruttata:

  1. Vulnerability Context (da Sentinel Core o detection generica)
  2. IoC Matching: Confronto log/network con IoC database
  3. Behavioral Analysis:
    • Syscall anomali (eBPF monitoring)
    • Process tree anomalies (fork bombs, reverse shells)
    • Network anomalies (C2 beaconing, data exfiltration patterns)
    • File system anomalies (webshell upload, suspicious script execution)
  4. Pattern Recognition: Signatures exploit noti (Metasploit, public PoC)
  5. Timeline Correlation: Eventi sospetti cluster temporale

Confidence Scoring:

  • Low (0-30%): Attività anomala ma ambigua
  • Medium (30-70%): Comportamento sospetto, investigazione consigliata
  • High (70-90%): Forte indicazione exploit, remediation urgente
  • Confirmed (90-100%): Exploit confermato, incident response immediato

Virtual Patching: Quando patch ufficiale non disponibile o non applicabile (legacy systems):

  • IDS/IPS-like rules: Blocco pattern traffico malevolo
  • Application-level filtering: Blocco request specifici (SQL injection, command injection)
  • Network isolation: Quarantena temporanea asset vulnerabile
  • Service modification: Disabilitazione feature vulnerabile
  • Integration Firedog: Regole firewall automatiche per mitigation

Virtual Patch Lifecycle:

  1. Detection: Vulnerabilità critica senza patch disponibile
  2. Analysis: Intellidog analizza exploit vectors
  3. Patch Creation: Genera regole mitigation (automatic o manual)
  4. Testing: Deploy in “alert mode” per 24-48h (no blocking)
  5. Validation: Se zero falsi positivi → attivazione blocking mode
  6. Monitoring: Tracking tentativi exploit bloccati
  7. Decommission: Quando patch ufficiale disponibile, rimuovi virtual patch

Threat Hunting:

  • Sigma Rules Library: 500+ regole detection pre-configurate
  • Custom Queries: Query builder per ricerca minacce specifiche
  • Historical Search: Ricerca IoC su log retention (30-90 giorni)
  • Hunting Campaigns: Campagne automatiche su nuove CVE zero-day
  • MITRE ATT&CK Mapping: Tecnica adversary identificata → contromisure

Proactive Alerting:

  • Alert quando nuovo IoC match su log storici (“compromesso 2 settimane fa?”)
  • Alert quando vulnerabilità scoperta e traffico sospetto rilevato in passato
  • Alert quando CVE zero-day pubblicato e pattern simili rilevati
  • Weekly digest minacce potenziali rilevate (non confirmed ma suspicous)

Casi d’Uso

Caso 1: Startup FinTech – Conformità PCI-DSS

Scenario:
Startup italiana di payment processing deve ottenere certificazione PCI-DSS per processare carte di credito. 15 server (web, API, database) da hardenare.

Implementazione:

  1. Discovery: MicroSIEM scansiona infrastruttura, identifica 15 server
  2. Classification: Utente classifica server (web, app, db, cardholder data environment)
  3. Hardening: Apply template “PCI-DSS-Web” e “PCI-DSS-Database”
    • Disable servizi non-necessari (75% servizi disabilitati)
    • Firewall locale con whitelist (solo porte 443, 3306 verso app tier)
    • Strong password policy + sudo restriction
    • TLS 1.3 only con cipher suite PCI-compliant
  4. Monitoring: Audit logging attivo su tutti server CDE
    • Log accessi database
    • Log modifiche configurazioni
    • Log sudo commands
  5. Reporting: Report PCI-DSS generato automaticamente
    • Requirement 2: 95% compliant (manca disk encryption → manual)
    • Requirement 10: 100% compliant (audit logging attivo)

Risultato:

  • Before: 0% PCI-DSS compliance
  • After 7 giorni: 85% compliance (tecnica)
  • QSA audit: Passato con minor findings
  • Tempo risparmiato: 40 ore vs configurazione manuale

Caso 2: PMI Manifatturiera – Obbligo NIS2

Scenario:
Azienda manifatturiera 200 dipendenti, obbligo NIS2 per settore critico. 50 server misti (ERP, MES, SCADA, file server). Zero competenze security interne.

Implementazione:

  1. Assessment iniziale: Consultant esterno fa assessment → identifica 50 asset critici
  2. Deploy MicroSIEM: Installazione su server centrale in DMZ
  3. Bulk import: Import 50 IP da CSV
  4. Staged hardening:
    • Week 1: Hardening NIS2-base su 10 server non-critici (test)
    • Week 2-3: Hardening 30 server produzione (finestre manutenzione)
    • Week 4: Hardening 10 server SCADA (ultra-careful, backup completo)
  5. Monitoring attivo: Alert su Slack canale #security
  6. Monthly reports: Report NIS2 compliance per CISO

Risultato:

  • Compliance NIS2: Da 30% a 78% in 1 mese
  • Incident detection: Rilevato brute-force SSH su SCADA (bloccato in 5 minuti)
  • Audit preparedness: Documentazione completa per audit NIS2
  • ROI: Evitata sanzione potenziale €10M (4% fatturato annuo)

Caso 3: MSP – Gestione 20 Clienti

Scenario:
Managed Service Provider gestisce IT per 20 PMI (500 server totali). Necessità monitoring centralizzato e compliance multi-cliente.

Implementazione:

  1. Multi-tenant setup (custom deployment, roadmap v2.5 ufficiale):
    • Istanza MicroSIEM dedicata per cliente (isolamento dati)
    • Dashboard MSP centralizzata (aggregata tutti clienti)
  2. Standardizzazione:
    • Template hardening uniformi per tipologia cliente (law firm, medical, retail)
    • Policy alert uniformi (Critical → PagerDuty, High → Email)
  3. White-labeling:
    • Report con logo cliente
    • Email alert “da IT di Cliente X”
  4. Automation:
    • Onboarding nuovo cliente: 2 ore (vs 2 giorni manual)
    • Monthly report generation automatica per 20 clienti

Risultato:

  • Efficienza operativa: 1 operatore gestisce 500 server (vs 3 operatori prima)
  • Upselling: Venduto “Compliance NIS2” come servizio aggiuntivo (+€800/cliente/anno)
  • Differenziazione: Unico MSP locale con compliance automation
  • Churn reduction: Da 15% a 5% annuo (clienti soddisfatti monitoring proattivo)

Caso 4: E-commerce – Hardening Infrastructure Cloud

Scenario:
E-commerce Magento su AWS, 25 istanze EC2 (web, cache, database, ElasticSearch). Subito attacco credential stuffing + scraping.

Implementazione:

  1. Emergency hardening:
    • Deploy MicroSIEM su bastion host AWS
    • Hardening immediato web tier (rate limiting, fail2ban, ModSecurity WAF rules)
    • SSH hardening: disable password auth, key-only, port change
  2. MicroSIEM + Intellidog:
    • Threat intel attivo: IP attaccanti identificati (AbuseIPDB + MISP)
    • Pattern detection: 10.000 req/min da subnet /24 → botnet
    • Auto-mitigation: Regole AWS Security Group automatiche (via API)
  3. Monitoring avanzato:
    • Alert su accessi admin panel fuori orario
    • Alert su query SQL anomale (possibile SQL injection)
    • Alert su upload file in directory non-previste

Risultato:

  • Attack mitigation: 99.8% traffico malevolo bloccato (10M request/giorno)
  • Zero downtime: Nessun impatto clienti legittimi
  • Cost saving: Evitato bandwidth overage AWS (~€5k/mese)
  • Reputation: Nessuna compromissione dati clienti

Caso 5: Healthcare – GDPR + Security per Dati Sensibili

Scenario:
Clinica privata con Electronic Health Records (EHR) system. 10 server con dati pazienti. Obbligo GDPR Art. 32 (security measures).

Implementazione:

  1. Hardening medical-grade:
    • Disk encryption enforcement (LUKS)
    • Database encryption at rest (PostgreSQL TDE)
    • Strict access control: medici accedono solo ai propri pazienti
  2. Audit logging GDPR-compliant:
    • Log ogni accesso a dati paziente (who, when, which record)
    • Log export dati (GDPR right to data portability)
    • Log cancellazioni (GDPR right to be forgotten)
    • Retention 7 anni (obbligo legale)
  3. Monitoring anomalie:
    • Alert se utente accede a >100 record/giorno (possibile data breach)
    • Alert se export dati fuori orario lavorativo
    • Alert se accesso da IP geograficamente anomalo
  4. Compliance reporting:
    • Report GDPR Art. 30 (record processing activities)
    • Report per Garante Privacy in caso di audit

Risultato:

  • GDPR compliance: Art. 32 fully compliant (security measures)
  • Data breach prevention: Rilevato tentativo accesso non autorizzato da ex-dipendente (licenziato)
  • Audit success: Audit Garante Privacy superato senza sanzioni
  • Patient trust: Certificazione “Data Protection Compliant” visibile su sito

FAQ – MicroSIEM

Generale

Q: MicroSIEM è un SIEM tradizionale come Splunk o ELK?
A: No, MicroSIEM è focalizzato su hardening e compliance monitoring, non su correlation avanzata di security events enterprise-wide. È più leggero, più economico e più facile da deployare. Complementare a SIEM enterprise ma può funzionare standalone per PMI.

Q: Su quali sistemi operativi funziona?
A: Target host: Linux (Debian, Ubuntu, CentOS, RHEL, Rocky Linux, AlmaLinux, Fedora Server).
Server centrale: Qualsiasi Linux con Docker, o deployment bare-metal.
Roadmap: Windows Server 2016+ (Q2 2026), macOS Server (Q4 2026).

Q: Quanti asset posso gestire?
A: Licenza base: Fino a 50 asset.
Scale-up:

  • 51-200 asset: fascia 1
  • 201-500 asset: fascia 2
  • 500-1000 asset: fascia 1
  • 1000+ asset: Quotazione personalizzata (architettura distribuita)

Q: Serve agent sui server target?
A: v1.x (attuale): No agent, utilizza SSH con chiavi pubbliche.
v2.0 (Q3 2026): Agent opzionale lightweight (<50MB RAM, <5% CPU) per performance migliori e funzionalità avanzate (eBPF monitoring, real-time response).

Q: Quanto tempo serve per deployare MicroSIEM?
A: Setup base: 2-4 ore (install server, config SMTP, test su 3-5 host).
Production deployment (50 host): 2-3 giorni (discovery, classification, staged hardening, tuning alerts).
Enterprise deployment (200+ host): 1-2 settimane con nostro supporto.

Hardening

Q: L’hardening può rendere il server inutilizzabile?
A: Risk mitigato con:

  • Dry-run mode: Simula modifiche, mostra cosa cambierebbe (nessun impatto)
  • Staged deployment: Test su staging environment prima di prod
  • Automatic rollback: Se server unreachable dopo 5 min → rollback automatico
  • Health checks: Post-hardening verifica servizi critici (HTTP, DB, SSH)
  • Backup config: Ogni modifica crea backup timestamped

Best practice: SEMPRE testare su ambiente non-produzione first.

Q: Quali framework di hardening supportate?
A: Template predefiniti per:

  • CIS Benchmarks: Level 1 (essenziali) e Level 2 (difensivi)
  • NIST SP 800-53: Security controls per federal systems
  • DISA STIG: Military-grade hardening (molto strict)
  • PCI-DSS v4.0: Payment card industry
  • HIPAA: Healthcare data protection (US)
  • Custom: Crea i tuoi template YAML/JSON

Q: Posso personalizzare i template di hardening?
A: Sì, completamente:

  • Template sono file YAML human-readable
  • Puoi editarli via UI o text editor
  • Validator sintattico integrato (previene errori)
  • Versioning: ogni modifica crea nuova versione template
  • Testing: dry-run su host sacrificale prima di deploy fleet-wide

Q: Hardening impatta performance?
A: Impatto minimo:

  • Kernel hardening (sysctl): <1% CPU overhead
  • AppArmor/SELinux: 2-5% CPU overhead (dipende da policy)
  • Audit logging: 3-8% CPU overhead (configurabile verbosity)
  • Overall: ~5-10% CPU, 100-200MB RAM aggiuntiva

Per server ad alte performance (database, cache), possiamo tuning profiling specifico.

Q: Supporta container (Docker, Kubernetes)?
A: Container hardening in roadmap v2.5 (Q4 2025):

  • Docker daemon hardening
  • Container runtime security (AppArmor profiles)
  • Image scanning integration
  • Kubernetes pod security policies

Attualmente: hardening dell’host sottostante (buona pratica comunque).

Monitoring

Q: Ogni quanto vengono raccolti i dati?
A: Configurabile:

  • Real-time: Eventi critici (root login, sudo abuse) → immediato
  • High-frequency: Metriche performance → ogni 30 secondi
  • Standard: File integrity, connection status → ogni 5 minuti
  • Low-frequency: Software inventory, user list → ogni 1 ora

Default bilanciato: Mix sopra, ~5 minuti aggregate collection.

Q: Quanto spazio disco serve per i log?
A: Storage estimates (per asset):

  • Minimal logging: ~50MB/mese
  • Standard logging: ~200MB/mese
  • Verbose logging: ~500MB/mese
  • Paranoid logging (audit everything): ~2GB/mese

Fleet 50 asset, standard logging: ~10GB/mese.
Compression: gzip riduce ~70-80% (30GB → 6-9GB stored).
Retention: Default 90 giorni, poi automatic purging.

Q: MicroSIEM impatta performance dei server monitorati?
A: Overhead tipico:

  • auditd: 3-5% CPU (dipende da rules)
  • Log shipping SSH: <1% CPU, 10-50KB/sec bandwidth
  • File integrity checks: CPU spike breve ogni 5 min (<2% average)

Total overhead: 5-8% CPU, 50-100MB RAM, trascurabile bandwidth.

Server ad alte performance: possiamo tuning (e.g. audit solo syscall critici).

Q: Supporta monitoring applicazioni (non solo OS)?
A: Sì, tramite plugin/custom scripts:

  • Apache/Nginx: Access log parsing, error detection
  • MySQL/PostgreSQL: Slow query detection, connection anomalies
  • Redis/Memcached: Memory usage, eviction rates
  • Custom apps: Log file monitoring con regex rules

Q: Posso creare alert custom?
A: Sì, alert builder UI:

  • Regex su log lines
  • Threshold su metriche (e.g. CPU >80% per >5 min)
  • Composite conditions (IF X AND Y THEN alert)
  • Severity level customizable
  • Notification channel per alert type

Modulo Intellidog

Q: Intellidog è obbligatorio?
A: No, è modulo premium opzionale. MicroSIEM Base è completo e funzionale senza Intellidog.

Quando serve Intellidog:

  • Asset esposti Internet con storico attacchi
  • Compliance richiede threat intelligence (e.g. NIS2 advanced)
  • Sistemi legacy non patchabili (need virtual patching)
  • Team security vuole threat hunting proattivo
  • Budget permette (+€2.500/anno)

Q: Intellidog rallenta MicroSIEM?
A: No, overhead minimo:

  • Threat intel sync: Background task ogni 4h (~2 min duration)
  • IoC matching: In-memory cache, <50ms latency per event
  • Analysis engine: Async processing, non blocca monitoring
  • CPU: +10-15% durante analysis burst
  • RAM: +200-300MB per cache IoC (100k+ indicators)

Q: Serve Shodan a pagamento?
A: Consigliato ma non obbligatorio:

  • Senza Shodan: Funziona con feed gratuiti (MISP, AlienVault OTX, AbuseIPDB) → 70% coverage
  • Con Shodan ($59/mese o $899/anno): +30% coverage, historical data, asset exposure discovery

ROI Shodan: Se rilevi 1 exploit/anno grazie a Shodan → eviti breach → $59/mese è irrisorio vs costo incident.

Q: Intellidog condivide i miei dati?
A: Assolutamente NO. Intellidog:

  • Download IoC da fonti esterne
  • Non upload dati vostri (IP, vulnerabilità, log)

Opt-in (volontario): Puoi contribuire IoC anonimizzati a MISP community per migliorare threat intel globale.

Q: Virtual patching è sicuro?
A: È una mitigazione, non una fix:

  • Pro: Protegge immediatamente, no downtime, reversibile
  • ⚠️ Contro: Non elimina vulnerabilità (exploit potrebbe evolvere), può avere falsi positivi

Best practice:

  1. Virtual patch come temporary solution
  2. Applicare patch ufficiale appena disponibile
  3. Testing mode 24-48h prima di blocking mode
  4. Monitoring continuo efficacia virtual patch

Use case ideale: Sistemi legacy EOL (Windows 2008, RHEL 6) dove patch ufficiale non esisterà mai.

Q: Quanti IoC gestisce Intellidog?
A: Database IoC locale:

  • Default: ~100.000 IoC (IP, domain, file hash, YARA rules)
  • Storage: ~500MB compressed
  • Update frequency: Ogni 4 ore (configurable)
  • Match performance: <50ms per 10k log lines

Enterprise deployment: Può scalare a milioni di IoC con database dedicato.

Integration & Automation

Q: MicroSIEM ha API?
A: Sì, REST API completa:

  • Authentication: JWT token-based
  • Endpoints: Asset management, hardening deploy, monitoring data retrieval, alert config
  • Documentation: OpenAPI 3.0 spec (Swagger UI)
  • Rate limiting: 1000 req/hour (configurable)

Use case API:

  • Automation con Ansible/Terraform
  • Integration SOAR/SIEM
  • Custom dashboard (Grafana, Kibana)
  • CI/CD pipeline hardening automation

Q: Supporta webhook per alert?
A: Sì, webhook generici per integration con:

  • PagerDuty, Opsgenie (incident management)
  • Jira, ServiceNow (ticketing)
  • Microsoft Teams, Discord (chat)
  • Custom systems (POST JSON a qualsiasi URL)

Q: Posso integrare con Ansible?
A: Sì, in due modi:

  1. MicroSIEM comanda Ansible: Trigger playbook Ansible per remediation
  2. Ansible comanda MicroSIEM: Ansible module per deploy hardening via MicroSIEM API

Q: Integration con SIEM enterprise (Splunk, ELK)?
A: Sì, via syslog forwarding:

  • MicroSIEM invia log a SIEM esterno (RFC 5424 format)
  • Correlation avanzata fatta da SIEM enterprise
  • MicroSIEM mantiene focus su hardening/compliance

Architecture: MicroSIEM (hardening + compliance) + Splunk (correlation + forensics) = best of both.

Compliance & Reporting

Q: Report sono audit-ready?
A: Sì, designed per auditor:

  • Timestamp certificato (NTP sync)
  • Digital signature opzionale (per immutability)
  • Evidence trail: Screenshot config, log excerpts, command output
  • Approval workflow: Change records con approver ID
  • Export PDF con watermark “Official Report”

Q: Supporta multiple compliance framework simultaneously?
A: Sì, multi-framework tracking:

  • Un asset può avere tag “PCI-DSS + ISO27001 + NIS2”
  • Dashboard mostra compliance % per ogni framework
  • Report può essere multi-framework o framework-specific

Q: Quanto tempo serve per generare report?
A: Generation time:

  • Executive summary: <10 secondi
  • Technical report (10 asset): ~1 minuto
  • Compliance report (50 asset, multi-framework): ~5 minuti
  • Historical analysis (90 giorni, 100 asset): ~10 minuti

Report vengono cachati, re-generation solo se dati cambiano.

Q: Posso customizzare logo/branding nei report?
A: Sì, white-labeling:

  • Upload logo aziendale (header/footer)
  • Custom color scheme
  • Custom footer text (e.g. “Confidential – Client XYZ”)
  • Custom cover page

Ideale per MSP che rivendono servizio a clienti.

Licensing & Support

Q: Licenza è perpetua o subscription?
A: Subscription annuale (Software-as-a-Service model). Include:

  • Software updates
  • Security patches (critici rilasciati entro 24h)
  • Supporto standard email 48h
  • Access documentazione e knowledge base
  • Community forum

Q: Cosa succede se non rinnovo licenza?
A: Grace period 30 giorni:

  • Giorni 1-30: Software funziona normalmente, reminder rinnovo
  • Giorni 31-90: Software funziona ma features limitate (no new hardening deploy, monitoring read-only)
  • Dopo 90 giorni: Software in read-only mode (solo visualizzazione dati esistenti)

No data loss: Dati rimangono intatti, solo funzionalità limitate.

Q: Posso fare trial prima di comprare?
A: Sì, 3 opzioni trial:

  1. Trial cloud 30 giorni:
    • Ambiente sandbox cloud (managed by us)
    • Max 5 asset
    • Full features (incluso Intellidog)
    • Zero install necessario
    • Gratis
  2. PoC on-premise 60 giorni:
    • Deploy su vostra infra
    • Max 20 asset
    • Assistenza deployment da nostro team
    • Dopo trial: import config in licenza prod (zero re-work)
    • Gratis (richiede NDA)
  3. Demo live 1-2 ore:
    • Video call con solutions architect
    • Live demo su ambiente nostro
    • Q&A tecnico
    • Gratis, no commitment

Q: Supporto include training?
A: Supporto base: No training formale, solo documentazione + video tutorial.

Supporto premium: Include 1 giornata training (on-site o remote).

Training addizionale (acquistabile separatamente):

  • Workshop 2 giorni: max 10 partecipanti
  • Certification program (in sviluppo): erogato per persona

Q: Supporto è in italiano?
A: Sì, supporto italiano nativo:

  • Team italiano-based
  • Documentazione bilingue IT/EN (in sviluppo)
  • Video tutorial in italiano
  • Supporto EN disponibile per team internazionali

Q: Tempo risposta supporto?
A: Standard support (incluso):

  • P1 Critical (sistema down): 24h first response
  • P2 High (funzionalità limitata): 48h
  • P3 Medium (domande): 72h
  • P4 Low (feature request): Best effort

Premium support (+€2.000/anno, SLA contrattuale):

  • P1: 4h first response, escalation automatic a senior engineer
  • P2: 12h
  • P3: 24h
  • P4: 48h
  • 24/7 hotline (solo P1/P2)

Technical

Q: Requisiti hardware server centrale?
A: Minimum (fino 50 asset):

  • CPU: 4 cores (2.5GHz+)
  • RAM: 8GB
  • Disk: 100GB SSD
  • Network: 100Mbps

Recommended (50-200 asset):

  • CPU: 8 cores (3GHz+)
  • RAM: 16GB
  • Disk: 500GB SSD (o NAS per log storage)
  • Network: 1Gbps

Enterprise (200+ asset):

  • CPU: 16+ cores
  • RAM: 32GB+
  • Disk: 1TB+ SSD (RAID 10) + NAS backup
  • Network: 10Gbps
  • Database: PostgreSQL su host dedicato

Q: Supporta High Availability?
A: Roadmap v3.0 (2026):

  • Active-passive HA con failover automatico
  • Database replication (PostgreSQL streaming replication)
  • Shared storage (NFS/GlusterFS)

Attualmente: Single instance, backup/restore manuale (automated via script).

Q: Serve connessione Internet costante?
A: Server centrale:

  • Internet necessaria per: Threat intel updates (Intellidog), email alerts, webhook
  • Funziona offline: Monitoring continua, usa threat intel cached
  • Bandwidth: ~100MB/giorno per threat intel sync

Agent/SSH monitoring:

  • No Internet necessario, comunicazione solo verso server centrale (LAN)

Q: Compatibile con ambienti air-gapped?
A: Sì, con limitazioni:

  • MicroSIEM Base: Funziona 100% offline (hardening + monitoring locale)
  • Intellidog: Richiede threat intel sync (opzioni):
    • Manual sync: Export/import USB drive (weekly)
    • Proxy dedicato: Server con Internet → sync → copia interna
    • Offline mode: Usa solo IoC custom (no external feeds)

Q: Database supportati?
A: – PostgreSQL 12+ (preferred, best performance)

  • MySQL/MariaDB 8.0+ (supported)
  • SQLite (development only, not production)

Time-series metrics: TimescaleDB extension (PostgreSQL) recommended per performance.

Q: Supporta IPv6?
A: Sì, dual-stack:

  • Discovery: ARP scan (IPv4) + NDP scan (IPv6)
  • Monitoring: IPv4 + IPv6 connection tracking
  • Hardening: iptables (IPv4) + ip6tables (IPv6)

Q: Posso hostare su cloud?
A: Sì, compatibile con:

  • AWS: EC2 instance, RDS per database
  • Azure: VM, Azure Database for PostgreSQL
  • GCP: Compute Engine, Cloud SQL
  • DigitalOcean, Linode, Hetzner: VPS any size

Best practice: Security group / firewall rules per limitare accesso (solo IP aziendali).

CONTATTACI

Contatta il team vendite

Contattaci

Dognet Technologies SRL

Via XXV Aprile 47, 24055
Cologno al Serio (Bg)

Tel: 351.5568240 | 352.0321176

Mail: info@dognet.tech

PI e CF: 04867480164
BG N.R.E.A. 495176

Italy

Pages

Proudly powered by WordPress

ItalianoitItalianoItaliano
ItalianoitItalianoItalianoIngleseenIngleseEnglish