Forma i tuoi analisti SOC sullo stack open-source dei professionisti

Percorsi tecnici specialistici su Wazuh, Graylog, Velociraptor, Nuclei e detection engineering. Lab reali, scenari di attacco/risposta e attestato Dadonet Academy. Per team interni, PA e MSP che devono costruire e mantenere un SOC vero.

Catalogo corsi

Sette percorsi per costruire competenza SOC reale

Ogni corso è strutturato su quattro blocchi chiari — obiettivo, destinatari, modalità di erogazione e output per il cliente — con lab reali ed esami/attestati inclusi nei pacchetti enterprise.

Wazuh SIEM/XDR Administrator

Base / Intermedio 3 giorni In aula o remoto

Wazuh

Obiettivo: Installare, configurare e gestire Wazuh come SIEM/XDR: deploy di manager, indexer e dashboard, agent su endpoint, raccolta e correlazione log, File Integrity Monitoring, vulnerability detection e alerting.
Destinatari: Sistemisti, IT manager, junior SOC analyst e tecnici MSP che avviano un SIEM open-source.
Modalità di erogazione: Lezioni teoriche e lab guidati su ambiente Docker reale; esercizi su agent Windows/Linux. Nessun prerequisito oltre a basi di networking e Linux.
Output per il cliente: Capacità di gestire un’istanza Wazuh in produzione, dashboard funzionanti e primi alert qualificati. Attestato Dadonet Academy “Wazuh Administrator”.

Detection Engineering & Wazuh Rules

Intermedio / Avanzato 2 giorni Misto

WazuhSOCFortressMITRE ATT&CK

Obiettivo: Scrivere e mettere a punto regole di detection, ridurre i falsi positivi, integrare il ruleset avanzato SOCFortress e mappare le detection su MITRE ATT&CK.
Destinatari: SOC analyst L1/L2, detection engineer e security specialist di MSP.
Modalità di erogazione: Workshop su regole reali, tuning live, validazione delle detection con Atomic Red Team e Velociraptor, mapping ATT&CK.
Output per il cliente: Set di regole curate e tarate sull’ambiente del cliente, metodo ripetibile di tuning e riduzione misurabile del rumore. Attestato “Detection Engineering Specialist”.

Graylog Log Management & Pipeline

Intermedio 2 giorni Misto

GraylogWazuh

Obiettivo: Ingestione, normalizzazione, arricchimento e routing dei log (firewall, router, syslog, fonti cloud) verso il Wazuh-Indexer; pipeline rules, GeoIP ed enrichment esterni.
Destinatari: Sistemisti, log/SIEM engineer e tecnici MSP multi-tenant.
Modalità di erogazione: Lab su input syslog/GELF, costruzione di pipeline, integrazione con Wazuh, gestione indici e retention.
Output per il cliente: Architettura di log ingestion multi-sorgente funzionante e pipeline di normalizzazione/arricchimento operative. Attestato “Graylog Engineer”.

DFIR con Velociraptor

Intermedio / Avanzato 2 giorni In aula o remoto

Velociraptor

Obiettivo: Endpoint visibility, threat hunting e digital forensics & incident response con Velociraptor: deploy server/agent, artifact, hunt su flotte, VQL e raccolta evidenze.
Destinatari: Incident responder, SOC analyst L2/L3, CSIRT e team DFIR di PA e MSP.
Modalità di erogazione: Lab di live triage ed enterprise hunt, scrittura di query VQL, simulazioni di incident con raccolta strutturata delle evidenze.
Output per il cliente: Capacità di condurre indagini DFIR remote su scala, libreria di artifact e query VQL riutilizzabili, playbook di raccolta evidenze. Attestato “Velociraptor DFIR Practitioner”.

Vulnerability Scanning con Nuclei

Base / Intermedio 1 giorno Misto

Nuclei

Obiettivo: Eseguire scansioni di vulnerabilità rapide e a basso rumore con Nuclei (template YAML), scrivere template custom e integrare i risultati nel flusso SOC.
Destinatari: Security analyst, pentester junior e tecnici che gestiscono il vulnerability management.
Modalità di erogazione: Lab su scansioni di applicazioni, reti e DNS, scrittura di template YAML, prioritizzazione e remediation.
Output per il cliente: Processo di vulnerability scanning ripetibile, template custom per l’ambiente e prioritizzazione delle remediation. Attestato “Nuclei Vulnerability Scanning”.

SOC Operations & CoPilot

Intermedio 2 giorni Misto

SOCFortress CoPilotVelociraptorShuffle

Obiettivo: Operare un SOC open-source end-to-end con SOCFortress CoPilot: triage degli alert, case management, lancio artifact Velociraptor, orchestrazione playbook Shuffle (SOAR) e vista multi-tenant.
Destinatari: SOC manager, analyst L1/L2 e MSP che erogano SOC a più clienti.
Modalità di erogazione: Simulazione di un turno SOC reale su CoPilot: dall’alert al case, all’IR automatizzato, fino al report.
Output per il cliente: Procedure operative SOC, uso fluente di CoPilot e primi playbook di automazione. Attestato “SOC Operations Analyst”.

07 Percorso completo

SOC Engineering Bootcamp

Avanzato · percorso completo 8–10 giorni Misto · project work

WazuhGraylogVelociraptorNucleiCoPilotShuffle

Obiettivo: Costruire da zero e mandare in produzione un SOC completo sullo stack SOCFortress, integrando tutti i tool e i processi operativi.
Destinatari: Team che devono internalizzare un SOC reale e MSP che lanciano una nuova business unit di sicurezza gestita.
Modalità di erogazione: Percorso intensivo che combina i corsi 1–6 in un progetto guidato end-to-end, con project work finale su ambiente reale.
Output per il cliente: SOC funzionante in produzione, team operativo autonomo e documentazione/runbook completi. Attestato “SOC Engineering Bootcamp”.